AUDIT_SYS_OPERATIONS
启用或禁用顶级操作,这是与连接时,直接由用户发出的SQL语句的审计SYSASM
,SYSBACKUP
,SYSDBA
,SYSDG
,SYSKM
,或SYSOPER
特权。(从PL / SQL过程或函数内部运行的SQL语句不被视为顶级。)审核记录被写入到操作系统的审核记录中。如果AUDIT_TRAIL
初始化参数设置为xml
或,则审核记录将以XML格式写入xml, extended
。
在UNIX平台上,如果AUDIT_SYSLOG_LEVEL
还设置了参数,则它将覆盖该AUDIT_TRAIL
参数,并且使用该SYSLOG
实用程序将SYS审核记录写入系统审核日志。
在CDB中,此初始化参数的设置范围是CDB。尽管在CDB中为每个PDB提供了审计跟踪,但是无法为单个PDB配置此初始化参数。
我们可以通过将audit_sys_operations的值设置为TRUE来审核sys操作。系统审核日志将存储在操作系统级别(audit_file_dest)。
检查audit_sys_operations的值
SQL> show parameter audit
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
audit_file_dest string /oracle/app/oracle/admin/B2CRB
MD1/adump
audit_sys_operations boolean FALSE
audit_syslog_level string
audit_trail string DB
启用sys操作审核。
SQL>ALTER SYSTEM SET audit_sys_operations=true SCOPE=spfile;
system altered.
SQL> SHUTDOWN IMMEDIATE
SQL> STARTUP
SQL> show parameter audit
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
audit_file_dest string /oracle/app/oracle/admin/B2CRB
MD1/adump
audit_sys_operations boolean TRUE
audit_syslog_level string
audit_trail string DB