审计:数据库操作行为监视器
目的:监视数据库用户操作
记录指定用户数据库操作行为
记录特定数据库行为的信息
审计的方式:session(相同操作之记录一条)和access
audit drop on default by access
by access / by session:
by access 每一个被审计的操作都会生成一条audit trail。
by session 一个会话里面同类型的操作只会生成一条audit trail,默认为by session。
审计的类型:
标准审计
细粒度审计:更详细的审计,基于内容的审计,例如大于小于条件查询操作记录
管理员审计
标准审计写在下面的的位置
1.SYS.AUD$系统表,这个是基表我们一般不访问,通过访问数据字典访问信息
2.操作系统文件
show parameter audit_file_dest查看存在目录;
AUDIT_FILE_DEST,是一个动态参数,指定了操作系统审计信息的位置,默认的位置在Unix/Linux在
$ORACLE_HOME/admin/$ORACLE_SID/adump下。在windows中是在事件日志中。
缺省审计:不管开没开启审计都记录的操作
实例的启动和关闭
管理员特权
参数alter system set audit_trail=DB scope=spfile;
audit_trail=DB|OS|NONE开启审计,因为是动态参数,修改后要重启;
DB:日志放数据库表 OS:日志放操作系统 NONE:不开启
启动管理员审计
设置audit_sys_operations=true;
表达式审计:
AUDIT TABLE;
特权审计:
AUDIT create any trigger;
用户对象审计:
AUDIT SELECT ON xxwz.GG; 对xxwz用户的GG表的select操作进行审计;
取消审计
noaudit session by u1;取消用户的审计
将对应审计语句的audit改为noaudit即可,如audit session whenever successful对应的取消审计语句
为noaudit session whenever successful;
数据字典
审计信息:
all_def_audit_opts;
dba_stmt_audit_opts;
dba_priv_audit_opts;
dba_obj_audit_opts;
审计结果:
dba_audit_trail;
dba_audit_exists;
dba_audit_object;
dba_audit_session;
dba_audit_statement;