Oracle審計(jì)功能介紹

1、Oracle審計(jì)功能審計(jì)分類(lèi)：Oracle中審計(jì)總體上可分為“標(biāo)準(zhǔn)審計(jì)”和“細(xì)粒度審計(jì)”后者也稱(chēng)為“基于政策的審計(jì)”，在Oracle10G之后功能得到很大增強(qiáng)。其中標(biāo)準(zhǔn)審計(jì)可分為用戶(hù)級(jí)審計(jì)和系統(tǒng)級(jí)審計(jì)。用戶(hù)級(jí)審計(jì)是任何Oracle用戶(hù)可設(shè)置的審計(jì)，主要是用戶(hù)針對(duì)自己創(chuàng)建的數(shù)據(jù)庫(kù)表或視圖進(jìn)行審計(jì)，記錄所有用戶(hù)對(duì)這些表或視圖的一切成功和(或)不成功的訪問(wèn)要求以及各種類(lèi)型的SQL操作。系統(tǒng)級(jí)審計(jì)只能由DBA設(shè)置，用以監(jiān)測(cè)成功或失敗的登錄要求、監(jiān)測(cè)GRANT和REVOKE操作以及其他數(shù)據(jù)庫(kù)級(jí)權(quán)限下的操作。標(biāo)準(zhǔn)審計(jì)：2.1 分類(lèi)：在ORACLEE中分別支持以以下三種標(biāo)準(zhǔn)準(zhǔn)審計(jì)類(lèi)型： 語(yǔ)句句審計(jì)，對(duì)某某種

2、類(lèi)型的SSQL語(yǔ)句審審計(jì)，不指定定結(jié)構(gòu)或?qū)ο笙蟆?特權(quán)權(quán)審計(jì)，對(duì)執(zhí)執(zhí)行相應(yīng)動(dòng)作作的系統(tǒng)特權(quán)權(quán)的使用審計(jì)計(jì)。 對(duì)象象審計(jì)，對(duì)一一特殊模式對(duì)對(duì)象上的指定定語(yǔ)句的審計(jì)計(jì)。這三種標(biāo)準(zhǔn)審計(jì)計(jì)類(lèi)型分別對(duì)對(duì)如下3方面面進(jìn)行審計(jì)： 審計(jì)計(jì)語(yǔ)句的成功功執(zhí)行、不成成功執(zhí)行，或或者其兩者。 對(duì)每每一用戶(hù)會(huì)話(huà)話(huà)審計(jì)語(yǔ)句執(zhí)執(zhí)行一次或者者對(duì)語(yǔ)句每次次執(zhí)行審計(jì)一一次。 對(duì)全全部用戶(hù)或指指定用戶(hù)的活活動(dòng)的審計(jì)。 當(dāng)數(shù)數(shù)據(jù)庫(kù)的審計(jì)計(jì)功能打開(kāi)后后，在語(yǔ)句執(zhí)執(zhí)行階段產(chǎn)生生審計(jì)記錄。審審計(jì)記錄包含含有審計(jì)的操操作、用戶(hù)執(zhí)執(zhí)行的操作、操操作的日期和和時(shí)間等信息息。審計(jì)記錄錄可存在數(shù)據(jù)據(jù)字典表（稱(chēng)稱(chēng)為審計(jì)記錄錄）或操作系系統(tǒng)審計(jì)記錄錄中

3、。數(shù)據(jù)庫(kù)庫(kù)審計(jì)記錄是是在SYS模式的的AUD$表中中。2.2設(shè)置ORRACLE標(biāo)標(biāo)準(zhǔn)審計(jì)：下列步驟可以設(shè)設(shè)置ORACCLE的標(biāo)準(zhǔn)準(zhǔn)審計(jì)功能： 修改初始化參數(shù)數(shù)文件（innit.orra）如果使用服務(wù)器器參數(shù)文件使使用alteer sysstem sset = scopee=spfiile|booth，詳情情參照1.11節(jié)中關(guān)于參參數(shù)文件的介介紹），設(shè)置置 AUDIIT_TRAAIL參數(shù)，并并且重啟數(shù)據(jù)據(jù)庫(kù)。AUDDIT_TRRAIL的取取值如下： DB/TRUE：?jiǎn)?dòng)審計(jì)功功能，并且把把審計(jì)結(jié)果存存放在數(shù)據(jù)庫(kù)庫(kù)的 SYSS.AUD$ 表中 OS：?jiǎn)?dòng)審審計(jì)功能，并并把審計(jì)結(jié)果果存放在操作作系統(tǒng)

4、的審計(jì)計(jì)信息中 DB_EXTENNDED：具具有DB/TTRUE的功功能，另外填填寫(xiě)AUD$的SQLBIIND和SQLTEEXT字段 NONNE/FALLSE：關(guān)閉閉審計(jì)功能 2.設(shè)置AUDDIT_TRRAIL參數(shù)數(shù)：如果設(shè)置 AUUDIT_TTRAIL = OS, 還需要修修改參數(shù)AUUDIT_FFILE_DDEST。 如果操操作系統(tǒng)支持持設(shè)置AUDDIT_TRRAIL=OOS，文件會(huì)會(huì)自動(dòng)存放在在AUDITT_FILEE_DEST所指指定的目錄下下，并且文件件名包含進(jìn)程程的PID。 比如： AUDDIT_FIILE_DEEST = $ORACCLE_HOOME/rddbms/aaudit

5、$ lls -l $ORACCLE_HOOME/rddbms/aaudit -rw-rw- 1 ora922 ddba 881 MMar 177 09:557 oraa_132664.audd $ pps -eff|grepp 132664 oraa92 133264 113235 0 09:56:433 ? 0:00 orracleVV92 (DDESCRIIPTIONN=(LOCCAL=Y) SQLL sellect sspid, progrram, uusernaame frrom v$proceess; SPIID PROOGRAM USEERNAMEE - - - . 132664

6、ooracleefrhpp11 (TTNS V11-V3) oora92 3. 確認(rèn)審計(jì)計(jì)相關(guān)的表是是否已經(jīng)安裝裝 SQLPPLUS conneect / AS SYYSDBA SQLPPLUS selecct * ffrom ssys.auud$; - 沒(méi)有有記錄返回 SQLPPLUS selecct * ffrom ddba_auudit_ttrail; - 沒(méi)有記記錄返回 如果做上述述查詢(xún)的時(shí)候候發(fā)現(xiàn)表不存存在，說(shuō)明審審計(jì)相關(guān)的表表還沒(méi)有安裝裝，需要安裝裝。 SQLPPLUS conneect / as syysdba SQLPPLUS $ORAACLE_HHOME/rrdbms/adm

7、inn/cataaudit.sql 審計(jì)表安裝裝在SYSTTEM表空間間。所以要確確保SYSTTEM表空間間又足夠的空空間存放審計(jì)計(jì)信息。4. 關(guān)閉并重重啟數(shù)據(jù)庫(kù) 5. 設(shè)置所需需要的審計(jì)信信息 下面是一個(gè)例例子 SQL connnect ssystemm/manaager SQL grannt auddit syystem to sccott; SQL connnect sscott/tigerr SQL audiit sesssion; 停止審計(jì)： SQL noauudit ssessioon; 通常設(shè)置了標(biāo)準(zhǔn)準(zhǔn)審計(jì)后都是是通過(guò)Auddit語(yǔ)句開(kāi)開(kāi)啟審計(jì)，使使用noauudit語(yǔ)句句收回審

8、計(jì)。如如下所示：對(duì)修改SC表結(jié)結(jié)構(gòu)或數(shù)據(jù)的的操作進(jìn)行審審計(jì)可使用如如下語(yǔ)句：AUDIE AALTER，UUPDATEE ON SSC;取消對(duì)SC表的的一切審計(jì)可可使用如下語(yǔ)語(yǔ)句：NOAUDITT ALL ON SCC;2.3設(shè)置審計(jì)計(jì)的實(shí)例（對(duì)對(duì)試圖嘗試口口令的訪問(wèn)的的審計(jì)）：以下是一個(gè)審計(jì)計(jì)的實(shí)例，用用于記錄嘗試試通過(guò)野蠻嘗嘗試法破譯OORACLEE帳號(hào)口令的的例子：1. 修改審計(jì)計(jì)相關(guān)參數(shù)（參參照上面介紹紹的方法） 2. 重啟數(shù)據(jù)據(jù)庫(kù) 3. 設(shè)置審計(jì)計(jì)信息 SQLAUDITT ALL BY ACCCESS WHENEEVER NNOT SUUCCESSSFUL 4. 查詢(xún)AUUD$ SQL

9、 seleect reeturnccode, actioon#, uuseridd, useerhostt, terrminall,timeestampp from auud$ RETUURNCODDE ACTIOON# USSERID USEERHOSTT TERRMINALL - - - - - 10117 1100 SCCOTT WPRRATA-BBR 10117 1100 SCCOTT WPRRATA-BBR 10117 1100 SCCOTT WPRRATA-BBR ORA-10017的含義義為錯(cuò)誤的用用戶(hù)名口令。通通過(guò)查看AUUD$表可以以清楚地看到到WPRATTA-BR嘗嘗試破譯

10、SCCOTT的口口令?？梢酝ㄍㄟ^(guò)下面一個(gè)個(gè)存儲(chǔ)過(guò)程來(lái)來(lái)分析AUDD$表，找出出可疑的信息息：create or reeplacee procceduree AudiitLogiin(Sinnce Vaarcharr2,Timmes PLLS_Intteger)isUSER_IDD VARCCHAR2(20);cursor c1 iss seleect usserid,countt(*) ffrom ssys.auud$ whhere rreturnncode=10177 andd timeestampp#=too_datee(Sincce,yyyyy-mmm-dd) groupp by uus

11、eridd;cursor C2 ISS Seleect usserhosst, teerminaal,TO_CHAR(timesstamp#,YYYYY-MM-DD:HHH24:MII:SS) from sys.aaud$ WWHERE returrncodee=10117 annd timmestammp#=tto_datte(Sinnce,yyyyy-mmm-dd) ANDD USERRID=USSER_IDD;ct PLS_INTEGGER;V_USERHHOST VVARCHAAR2(400);V_TERMIINAL VVARCHAAR(40);V_DATE VARCHHAR2(440

12、);BEGIN OPEEN C1; dbmms_outtput.eenablee(10244000); LOOOP FFETCH C1 INNTO USSER_IDD,CT; EEXIT WWHEN CC1%NOTTFOUNDD; IIF(CT=TIMEES) THHEN DBMSS_OUTPPUT.PUUT_LINNE(USSER BRROKEN ALARMM:|UUSER_IID); OPENN C2; LOOPP FEETCH CC2 INTTO V_UUSERhOOST,V_TERMIINAL,VV_DATEE; DBBMS_OUUTPUT.PUT_LLINE(CCHR(9)|HOOS

13、T:|V_USSERHOSST|,TERM:|V_TERMIINAL|,TIMME:|V_DATTE); EXXIT WHHEN C22%NOTFFOUND; END LOOP; closse c2; EEND IFF; ENDD LOOPP; cloose c11;END;/一下是執(zhí)行結(jié)果果：SQLsett servverouttput oon;SQL exxecutee audiitlogiin(20004-011-01,2);USER BRROKEN ALARMM:SYS HOSTT:,TERRM:XUJJI,TIMME:20004-09-22:111:08:000 HOSTT:,TER

14、RM:XUJJI,TIMME:20004-09-22:111:08:001 HOSTT:,TERRM:XUJJI,TIMME:20004-09-22:111:09:229 HOSTT:,TERRM:XUJJI,TIMME:20004-09-22:111:09:229PL/SQL 過(guò)程已成功功完成。2.4將審計(jì)相相關(guān)的表移動(dòng)動(dòng)到其他表空空間：由于AUD$表表等審計(jì)相關(guān)關(guān)的表存放在在SYSTEEM表空間，因因此為了不影影響系統(tǒng)的性性能，保護(hù)SSYSTEMM表空間，最最好把AUDD$移動(dòng)到其其他的表空間間上?？梢允故褂孟旅娴恼Z(yǔ)語(yǔ)句來(lái)進(jìn)行移移動(dòng)：sqlconnnect / as sysdbba;sql

15、altter taable aaud$ mmove ttablesspace ;sqlaltter inndex II_aud11 rebuuild oonlinee tabllespacce ;SQL allter ttable auditt$ movve tabblespaace ;SQL allter iindex i_auddit reebuildd onliine taablesppace ;SQL allter ttable auditt_actiions mmove ttablesspace ;SQL allter iindex i_auddit_acctionss rebuui

16、ld oonlinee tabllespacce ;細(xì)粒度審計(jì)： 細(xì)粒度度審計(jì) (FFGA)（通通過(guò) Oraacle9ii 引入）可可以理解為“基基于政策的審審計(jì)”。與標(biāo)標(biāo)準(zhǔn)的審計(jì)功功能相反，F(xiàn)FGA 可用用于指定生成成審計(jì)記錄必必需的條件：FGA 政策通通過(guò)使用“ddbms_ffga”程序序包以編程方方式綁定到對(duì)對(duì)象（表、視視圖）。類(lèi)似似于用于通過(guò)過(guò) VPD (dbmms_rlss) 進(jìn)行行訪問(wèn)控制的的程序包，它它允許您創(chuàng)建建任何需要的的條件，例如如：僅當(dāng)以下下條件為真時(shí)時(shí)審計(jì)事件： 在早上九點(diǎn)到下下午六點(diǎn)之間間或在星期六六和星期日對(duì)對(duì)某個(gè)表進(jìn)行行了訪問(wèn)。 使用了公司網(wǎng)絡(luò)絡(luò)外部的某個(gè)個(gè) IP

17、 地地址。 選定或更新了特特定列。 使用了該列的特特定值。 這將創(chuàng)建更有意意義的審計(jì)線(xiàn)線(xiàn)索，因?yàn)闊o(wú)無(wú)需記錄每一一個(gè)人對(duì)表的的每一次訪問(wèn)問(wèn)。從 Orracle 數(shù)據(jù)庫(kù) 110g 開(kāi)始始，F(xiàn)GA 支持在一個(gè)個(gè)策略中使用用“選擇”、“插插入”、“更更新”和“刪刪除”語(yǔ)句的的任意組合。事事實(shí)上，綁定定到表的 FFGA 政策策簡(jiǎn)化了審計(jì)計(jì)政策的管理理，因?yàn)檫@將將只需在數(shù)據(jù)據(jù)庫(kù)中對(duì)其更更改一次，不不用在每個(gè)應(yīng)應(yīng)用程序中一一次次進(jìn)行。此此外。無(wú)論用用戶(hù)通過(guò)何種種方式連接至至數(shù)據(jù)庫(kù)（通通過(guò)應(yīng)用程序序、Web 接口或通過(guò)過(guò) SQL*Plus），其其操作都會(huì)記記錄下來(lái)。3.1 使用細(xì)細(xì)粒度審計(jì)： 1、創(chuàng)建建測(cè)試表

18、： creaate tablee ACCOUUNT(AACT_NNO nummber not null, CUUST_IDD numbber not null, BAALANCEE numbber(15,2); 2、添加加審計(jì)策略： begiin DBMMS_FGAA.DROPP_POLIICY(obbject_schemma = TESTT, objeect_naame = AACCOUNNT, poliicy_naame = AACCOUNNT_ACCCESS);end;這段代碼必須由由具有執(zhí)行程程序包 dbbms_fgga 權(quán)限的的用戶(hù)來(lái)執(zhí)行行。建議應(yīng)該該建立一個(gè)專(zhuān)專(zhuān)門(mén)的用戶(hù)來(lái)來(lái)專(zhuān)門(mén)負(fù)責(zé)

19、添添加審計(jì)策略略。該過(guò)程有有許多參數(shù)，具具體含義如下下：OBJECT_SCHEMMA對(duì)其定義了 FFGA 策略略的表或視圖圖的所有者OBJECT_NAME表或視圖的名稱(chēng)稱(chēng)POLICY_NAME策略的名稱(chēng)，由由用戶(hù)自定義義 例如如，ACCOOUNTS_ACCESSSPOLICY_TEXT在添加策略時(shí)指指定的審計(jì)條條件 例例如，BALLANCE = 111000POLICY_COLUMMN審計(jì)列 例例如，BALLANCEENABLEDD如果啟用則為 YES，否否則為 NOO PF_SCHEEMA擁有策略處理器器模塊的模式式（如果存在在）PF_PACKKAGE處理器模塊的程程序包名稱(chēng)（如如果存在）P

20、F_FUNCCTION處理器模塊的過(guò)過(guò)程名稱(chēng)（如如果存在）3、在定義了策策略以后，當(dāng)當(dāng)用戶(hù)以通常常的方式對(duì)表表進(jìn)行查詢(xún)時(shí)時(shí)，如下所示示： select * froom bannk.acccountss; 審計(jì)線(xiàn)索記錄此此操作?？梢砸允褂靡韵抡Z(yǔ)語(yǔ)句查看線(xiàn)索索： select timesstamp, db_userr,os_userr,object_schemma,object_name,sql_texxtfrom dbba_fgaa_audiit_traail;TIMESTAAMP DBB_USERR OS_UUSER OOBJECTT_ OBJJECT_NN SQL_TEXT- - - - -

21、 -26-MAR-10 TEST anaanda TEST ACCCOUNT selecct * ffrom aaccounnt注意名為 DBBA_FGAA_AUDIIT_TRAAIL 的新新視圖，它記記錄細(xì)粒度的的訪問(wèn)信息。其其中顯示了審審計(jì)事件的時(shí)時(shí)間標(biāo)記、查查詢(xún)者的數(shù)據(jù)據(jù)庫(kù)用戶(hù) IID、操作系系統(tǒng)用戶(hù) IID、查詢(xún)中中所使用表的的名稱(chēng)和所有有者，最后還還有確切的查查詢(xún)語(yǔ)句。3.2 審計(jì)列列和審計(jì)條件件：默認(rèn)情況下會(huì)對(duì)對(duì)被審計(jì)對(duì)象象的所有列開(kāi)開(kāi)啟審計(jì)，當(dāng)當(dāng)任何一列被被訪問(wèn)時(shí)都會(huì)會(huì)紀(jì)錄一條審審計(jì)信息，這這在現(xiàn)實(shí)情況況下不太常見(jiàn)見(jiàn)，因?yàn)檫@樣樣會(huì)使審計(jì)信信息表增長(zhǎng)過(guò)過(guò)快造成存儲(chǔ)儲(chǔ)空間的壓力力，因

22、此通常常都會(huì)設(shè)置審審計(jì)條件，當(dāng)當(dāng)條件觸發(fā)時(shí)時(shí)再發(fā)起審計(jì)計(jì)。例如我們們可以對(duì)Acccountt表的Ballance列列設(shè)置審計(jì)條條件，當(dāng)訪問(wèn)問(wèn)該列并觸發(fā)發(fā)審計(jì)條件時(shí)時(shí)才進(jìn)行審計(jì)計(jì)。如下所示示：begindbms_fgga.addd_poliicy (object_schemma=TTEST,object_name=ACCCOUNT,policy_name=ACCCOUNT_ACCESSS,audit_ccolumnn = BALANNCE,audit_ccondittion = BAALANCEE = 111000 );end;該策略將在訪問(wèn)問(wèn)BALANNCE列并且且只有訪問(wèn)列列值大于等于于11

23、0000時(shí)才發(fā)起審審計(jì)。因此根根據(jù)該條件戶(hù)戶(hù)有如下不同同審計(jì)狀態(tài)：SQL 語(yǔ)句審計(jì)狀態(tài)select balannce frrom acccountt;進(jìn)行審計(jì)。用戶(hù)戶(hù)選擇了在添添加策略時(shí)所所指定的審計(jì)計(jì)列 BALLANCE。select * froom acccount;進(jìn)行審計(jì)。即使使用戶(hù)沒(méi)有明明確指定列 BALANNCE，* 也隱含地選選擇了它。select cust_id frrom acccountt wherre ballance TESTT,object_name = AACCOUNNT,policy_name = AACCOUNNT_ACCCESS );end;對(duì)于更改策略而而言

24、，沒(méi)有隨隨取隨用的解解決方案。要要更改策略中中的任何參數(shù)數(shù)，必須刪除除策略，再使使用更改后的的參數(shù)添加策策略。但是可可以暫時(shí)禁用用已有策略，如如下所示：begindbms_fgga.enaable_ppolicyy (object_schemma = TESTT,object_name = AACCOUNNT,policy_name = AACCOUNNT_ACCCESS,enable = FAALSE );end;若要重新啟用它它，可使用同同一函數(shù)，只只需將參數(shù) enablle 設(shè)置為為 TRUEE。3.5 FGAA 數(shù)據(jù)字典典視圖：FGA 策略的的定義位于數(shù)數(shù)據(jù)字典視圖圖 DBA_AUDI

25、TT_POLIICIES 中。該市途途中各列含義義如下：SESSIONN_ID審計(jì)會(huì)話(huà)標(biāo)識(shí)符符；與 V$SESSIION 視圖圖中的會(huì)話(huà)標(biāo)標(biāo)識(shí)符不同TIMESTAAMP審計(jì)記錄生成時(shí)時(shí)的時(shí)間標(biāo)記記DB_USERR發(fā)出查詢(xún)的數(shù)據(jù)據(jù)庫(kù)用戶(hù)OS_USERR操作系統(tǒng)用戶(hù)USERHOSST用戶(hù)連接的機(jī)器器的主機(jī)名CLIENT_ID客戶(hù)標(biāo)識(shí)符（如如果由對(duì)打包包過(guò)程 dbbms_seessionn.set_identtifierr 的調(diào)用所所設(shè)置）EXT_NAMME外部認(rèn)證的客戶(hù)戶(hù)名稱(chēng)，如 LDAP 用戶(hù)OBJECT_SCHEMMA對(duì)該表的訪問(wèn)觸觸發(fā)了審計(jì)的的表所有者OBJECT_NAME對(duì)該表的 SEEL

26、ECT 操作觸發(fā)了了審計(jì)的表名名稱(chēng)POLICY_NAME觸發(fā)審計(jì)的策略略名稱(chēng)（如果果對(duì)表定義了了多個(gè)策略，則則每個(gè)策略將將插入一條記記錄。在此情情況下，該列列顯示哪些行行是由哪個(gè)策策略插入的。)SCN記錄了審計(jì)的 Oraclle 系統(tǒng)更更改號(hào)SQL_TEXXT由用戶(hù)提交的 SQL 語(yǔ)語(yǔ)句 SQL_BINND由 SQL 語(yǔ)語(yǔ)句使用的綁綁定變量（如如果存在）3.6視圖和 FGA：假定在 ACCCOUNTSS 表上定義義視圖 VWW_ACCOOUNT 如如下： create view vw_acccountt as sselectt * frrom acccountt;現(xiàn)在，如果用戶(hù)戶(hù)從視圖中而而不

27、是從表中中進(jìn)行選擇： select * froom vw_accouunt;您將看到以下審審計(jì)線(xiàn)索： select objecct_namme, sqql_texxt froom dbaa_fga_auditt_traiil;OBJECT_NAME SQL_TTEXT- -ACCOUNTT sselectt * frrom vww_accoount注意，是基表名名稱(chēng)而不是視視圖名稱(chēng)出現(xiàn)現(xiàn)在 OBJJECT_NNAME 列列中，因?yàn)橐曇晥D中的選擇擇是從基表中中進(jìn)行選擇。但但是，SQLL_TEXTT 列記錄了了用戶(hù)提交的的實(shí)際語(yǔ)句。如果只希望審計(jì)計(jì)對(duì)視圖的查查詢(xún)而不是對(duì)對(duì)表的查詢(xún)，可可以對(duì)視圖本本

28、身建立策略略。通過(guò)將視視圖名稱(chēng)而不不是表的名稱(chēng)稱(chēng)傳遞給打包包的過(guò)程 ddbms_ffga.addd_pollicy 中中的參數(shù) oobjectt_namee，可以完成成這項(xiàng)工作。隨隨后 DBAA_FGA_AUDITT_TRAIIL 中的 OBJECCT_NAMME 列將顯顯示視圖的名名稱(chēng)，并且不不會(huì)出現(xiàn)有關(guān)關(guān)表訪問(wèn)的附附加記錄。3.7 其它用用途： 除了記錄對(duì)表的的選擇訪問(wèn)，F(xiàn)FGA 還可可用于某些其其它情況： 可以對(duì)數(shù)據(jù)倉(cāng)庫(kù)庫(kù)使用 FGGA，以捕獲獲特定的表、視視圖或物化視視圖上發(fā)生的的所有語(yǔ)句，這這有助于計(jì)劃劃索引。不需需要到 V$SQL 視視圖去獲取這這些信息。即即使 SQLL 語(yǔ)句已經(jīng)

29、經(jīng)超出了 VV$SQL 的期限，在在 FGA 審計(jì)線(xiàn)索中中將會(huì)始終提提供它。 由于 FGA 捕獲綁定變變量，它可以以幫助了解綁綁定變量值的的模式，這有有助于設(shè)計(jì)直直方圖集合等等。 可以向?qū)徲?jì)者或或 DBA 發(fā)送警告，這這有助于跟蹤蹤惡意應(yīng)用程程序。 由于 FGA 可以作為 SELECCT 語(yǔ)句的的觸發(fā)器，可可以在需要這這種功能的任任何時(shí)候使用用它。FGA在10GG中的增強(qiáng)：3.8.1 對(duì)對(duì)所有DMLL的審計(jì)： 在9i中中FGA只能能對(duì)Seleect語(yǔ)句進(jìn)進(jìn)行審計(jì)，而而不能對(duì)其他他DML語(yǔ)句句（Updaate、Deelete、IInsertt）進(jìn)行審計(jì)計(jì)，如果想對(duì)對(duì)其他DMLL語(yǔ)句進(jìn)行審審計(jì)那么

30、只能能采取數(shù)據(jù)庫(kù)庫(kù)處發(fā)起的形形式來(lái)實(shí)現(xiàn)。在在10G中實(shí)實(shí)現(xiàn)了對(duì)所有有DML語(yǔ)句句的審計(jì)，如如下所示：begin dbmss_fga.add_ppolicyy ( oobjectt_scheema = TTEST, oobjectt_namee = AACCOUNNT, ppolicyy_namee = AACCOUNNT_ACCCESS, aaudit_colummn = BBALANCCE, aaudit_condiition = BBALANCCE = 3000， sstatemment_ttypes = IINSERTT, UPDDATE, DELETTE, SEELECT );end;

31、通過(guò)stateement_typess = INSERRT, UPPDATE, DELEETE, SSELECTT參數(shù)制定定了新的策略略，該策略可可以對(duì)Sellect之外外的所有DMML操作進(jìn)行行審計(jì)。因此此根據(jù)新的審審計(jì)條件和審審計(jì)策略會(huì)有有如下不同情情況：第 1 種情況況 之前：BALAANCE = 10000 用戶(hù)發(fā)出： update accouunt seet ballance = 12000 wheere ACCCOUNTT_NO = .舊的和新的 bbalancce 都小于于 3,0000，審計(jì)條條件不滿(mǎn)足；因此這條語(yǔ)語(yǔ)句將不會(huì)被被審計(jì)。第 2 種情況況 之前：BALAANCE =

32、 10000 用戶(hù)發(fā)出： update accouunt seet ballance = 32000 wheere ACCCOUNTT_NO = .新的 balaance 大大于 3,0000，審計(jì)計(jì)條件滿(mǎn)足；因此這條語(yǔ)語(yǔ)句將 會(huì)被被審計(jì)。 第 3 種情況況 之前：BALAANCE = 32000 用戶(hù)發(fā)出： update accouunt seet ballance = 12000 wheere ACCCOUNTT_NO = .新的 balaance 小小于 3,0000，但舊舊的 ballance 大于 3,000。因因此審計(jì)條件件滿(mǎn)足，這條條語(yǔ)句將被審審計(jì)。 第 4 種情況況 用戶(hù)插入一

33、行，其其中有 BAALANCEE = 30000 結(jié)果果為 FALLSE），這這條語(yǔ)句不會(huì)會(huì)被審計(jì)。重重要注意事項(xiàng)項(xiàng)：假設(shè)該列列有一個(gè)大于于 3,0000 的默認(rèn)認(rèn)值時(shí)，這條條語(yǔ)句仍然不不會(huì)被審計(jì)，即即使插入行的的 balaance 列列值大于 33000。 注意對(duì)于DDML語(yǔ)句的的審計(jì)是由一一個(gè)自動(dòng)事務(wù)務(wù)插入的；即即使回滾 DDML語(yǔ)句的操作，審計(jì)記錄也將將存在不會(huì)跟跟著回滾。3.8.2制定定相關(guān)的列策略略：在表 ACCOOUNT 上上定義的一個(gè)個(gè)策略，如下下： begin dbmss_fga.add_ppolicyy ( oobjectt_scheema = TTEST, oobjectt

34、_namee = AACCOUNNT, ppolicyy_namee = AACCOUNNT_SELL, aaudit_colummn = AACCOUNNT_NO, BALAANCE, aaudit_condiition = BBALANCCE = 3000, sstatemment_ttypes = SSELECTT );end;在某些情況下，列列的組合可能能很重要，而而不是某個(gè)特特定的列。以以上策略是在在 ACCOOUNT_NNO 和 BBALANCCE 上定義義的。那么如果用戶(hù)戶(hù)發(fā)出以下語(yǔ)語(yǔ)句： select balannce frrom acccountts wheere accco

35、untt_no = 99955;這條語(yǔ)句將被審審計(jì)，因?yàn)?balannce 列被被選中，且余余額為 3,200，大大于 3,0000，滿(mǎn)足足審計(jì)條件。如果一個(gè)用戶(hù)想想查出在銀行行的總余額，他發(fā)出： select sum(bbalancce) frrom acccountt;這條查詢(xún)幾乎沒(méi)沒(méi)什么害處；它不明確指指出帳戶(hù)所有有者和帳戶(hù)余余額。因此安全策略略可能不會(huì)要要求審計(jì)這條條查詢(xún)。不過(guò)，這條條查詢(xún) select balannce frrom acccountt wherre acccount_no = 9995必須被審計(jì)；因因?yàn)樗鞔_地地指定了一個(gè)個(gè)帳戶(hù)。默認(rèn)認(rèn)地，所有語(yǔ)語(yǔ)句都被審計(jì)計(jì)（無(wú)論使

36、用用了什么樣的的列組合）。這這將創(chuàng)建大量量不需要的審審計(jì)線(xiàn)索項(xiàng)目目，并可能帶帶來(lái)一些空間間限制問(wèn)題。為為了限制它們們，您可以指指定僅當(dāng)在查查詢(xún)中使用了了希望的列組組合時(shí)才開(kāi)始始審計(jì)。當(dāng)定定義策略時(shí)，您您可以使用一一個(gè)新的參數(shù)數(shù)： audit_ccolumnn_optss = DDBMS_FFGA.ALLL_COLLUMNS這個(gè)參數(shù)將使策策略?xún)H當(dāng)列 ACCOUUNT_NOO 和 BAALANCEE 在查詢(xún)中中都被訪問(wèn)時(shí)時(shí)才創(chuàng)建審計(jì)計(jì)線(xiàn)索項(xiàng)目。例例如，以下查查詢(xún)將產(chǎn)生一一個(gè)審計(jì)線(xiàn)索索項(xiàng)目。 select accouunt_noo, ballance from accouunt;但這條查詢(xún)不會(huì)會(huì)產(chǎn)生

37、審計(jì)線(xiàn)線(xiàn)索項(xiàng)目。 select accouunt_noo fromm accoount;使用這個(gè)參數(shù)將將把審計(jì)的數(shù)數(shù)量限制在一一個(gè)更易管理理的大小。如如果希望采用用默認(rèn)的行為為 即任任意列被選中中時(shí)都進(jìn)行審審計(jì)，那么您您可以對(duì)同一一參數(shù)的使用用不同值。 audit_ccolumnn_optss = DDBMS_FFGA.ANNY_COLLUMNS3.8.3 與與標(biāo)準(zhǔn)審計(jì)的的結(jié)合： 通過(guò)制定定如下審計(jì)策策略實(shí)現(xiàn)標(biāo)準(zhǔn)準(zhǔn)審計(jì)與細(xì)粒粒度審計(jì)的結(jié)結(jié)合begin dbmss_fga.add_ppolicyy ( oobjectt_scheema = TESTT, oobjectt_namee = ACCO

38、OUNT, ppolicyy_namee = ACCOOUNT_SSEL, aaudit_colummn = ACCOOUNT_NNO, BAALANCEE, aaudit_condiition = BALAANCE = 30000, sstatemment_ttypes = SELEECT, aaudit_colummn_optts = DBMS_FGA.AALL_COOLUMNSS, aaudit_traill = DB );end;通過(guò)指定auddit_trrail = DB參參數(shù)實(shí)現(xiàn)在細(xì)細(xì)粒度審計(jì)時(shí)時(shí)開(kāi)啟標(biāo)準(zhǔn)審審計(jì)。在 OOraclee Dataabase 10g 中，標(biāo)準(zhǔn)審計(jì)也得得到了巨大的的改進(jìn)。通過(guò)過(guò) AUDIIT 命令執(zhí)執(zhí)行標(biāo)準(zhǔn)審計(jì)，它它現(xiàn)在能夠捕捕獲大量