oracle中ddl中enable,ORACLE数据库DDL审计触发器与隐藏参数_system_trig_enabled

最新推荐文章于 2022-01-04 16:00:12 发布
最新推荐文章于 2022-01-04 16:00:12 发布
阅读量622 收藏
点赞数
文章标签: oracle中ddl中enable

最近,在我们开发库要对一套实例做一个DDL审计触发器,触发器代码如下所示:

---- 存储DDL语句的表

create table audit_ddl

(

opertime timestamp PRIMARY KEY,

ip varchar2(20),

hostname varchar2(30),

operation varchar2(30),

object_type varchar2(30),

object_name varchar2(30),

sql_stmt clob,

db_schema varchar2(30)

);

---- 捕获DDL语句的触发器

create or replace trigger trg_audit_ddl

after create or drop or truncate ON DATABASE

DECLARE

PRAGMA AUTONOMOUS_TRANSACTION;

n        NUMBER;

stmt     clob := NULL;

sql_text ora_name_list_t;

BEGIN

n := ora_sql_txt(sql_text);

FOR i IN 1 .. n LOOP

stmt := stmt || sql_text(i);

END LOOP;

INSERT INTO audit_ddl

(opertime, ip, hostname, operation, object_type, object_name, sql_stmt,db_schema)

VALUES

(systimestamp,

sys_context('userenv', 'ip_address'),

sys_context('userenv', 'terminal'),

ora_sysevent,

ora_dict_obj_type,

ora_dict_obj_name,

stmt,

user

);

COMMIT;

END;

/

创建审计DDL的触发器成功,并且是生效的,如图:

fd422315780814eb83813c2375505a70.png

但是,我用测试用户创建表、删除表、truncate表,都无法审计到,过程如下:

--具有或非DBA权限用户,执行建表

create table trg_ddl_test as select * from dba_data_files;

--然后用sys或创建ddl审计的用户,查询DDL审计表,无记录返回

[oracle@oradbs ~]$ sqlplus / as sysdba

SQL*Plus: Release 11.2.0.3.0 Production on Thu May 19 19:31:16 2016

Copyright (c) 1982, 2011, Oracle.  All rights reserved.

Connected to:

Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production

With the Partitioning, OLAP, Data Mining and Real Application Testing options

SQL> select * from audit_ddl;

no rows selected

SQL>

但是,相同的触发器在相同服务器,相同版本的其他数据库实例上执行,都能捕获到DDL,如图所示:

ff0f2a1d1ad85a4e4eec5257c6ffba16.png

后来,对DDL审计触发器做了修改,就是创建测试表,触发触发器,让触发器向DDL审计触发器插入一个1,没有成功;由此,怀疑,DDL审计触发器不起作用的数据库实例参数配置肯定有问题,通过对比发现:隐藏参数_system_trig_enabled在DDL审计触发器不起作用的服务器上被设置为了false:

SQL> show parameter _system_trig_enabled

NAME                              TYPE    VALUE

------------------------------------ ----------- ------------------------------

_system_trig_enabled     boolean    FALSE

该参数是动态参数,执行alter system set "

_system_trig_enabled"=true; 将参数设置为true

SQL> alter system set "_system_trig_enabled"=true;

System altered.

SQL> show parameter _system_trig_enabled

NAME                             TYPE      VALUE

------------------------------------ ----------- ------------------------------

_system_trig_enabled        boolean  TRUE

设置完隐藏参数为true后,数据库实例可以正常审计数据库级别的DDL:

--test用户truncate表,drop表

SQL> select * from tab;

TNAME       TABTYPE CLUSTERID

------------------------------ ------- ----------

CDBA_DATA_FILES       TABLE

TRG_DDL_TEST       TABLE

SQL> truncate table TRG_DDL_TEST;

Table truncated.

SQL> drop table TRG_DDL_TEST;

Table dropped.

--DDL审计用户查询审计记录:

2181dd6bee52e6693cd1001256ec535b.png

需要注意的这里只审计了create、drop和truncate,如果需要审计所有DDL,只需要修改:after create or drop or truncate on database为after ddl on database即可。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/26736162/viewspace-2131205/,如需转载,请注明出处,否则将追究法律责任。

勃斯丶李mkq0.~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ORACLE审计DDL语句
Breath_wang的博客
05-03 2287
创建存储DDL语句的表 创建 捕获DDL语句的触发器 创建审计DDL触发器成功,并且是生效的 查看并确认隐藏参数_system_trig_enabled 为 true: 创建测试账户test 进行测试 创建存储DDL语句的表 create table audit_ddl ( opertime timestamp PRIMARY KEY, ip varchar2(20...
[Oracle] dbms_metadata.get_ddl 的使用方法总结
09-10
Oracle数据库的`dbms_metadata.get_ddl`是一个非常实用的包,它允许开发人员和管理员获取数据库对象的创建语句(DDL),这对于备份和恢复、迁移或者理解对象定义非常有帮助。下面我们将深入探讨`dbms_metadata.get...
ORACLE数据库DDL审计触发器隐藏参数_system_trig_enabled
clm20482的博客
06-08 211
最近,在我们开发库要对一套实例做一个DDL审计触发器触发器代码如下所示: ---- 存储DDL语句的表 create table audit_ddl ( opertime timestamp PR...
oracle隐含参数"_system_trig_enabled"
wish503的博客
05-16 2977
可以禁用所有的trigger。 SQL> ALTER SYSTEM SET "_system_trig_enabled"=false;   System altered.
_SYSTEM_TRIG_ENABLED -----trigger
mengxiangfeiyang的专栏
02-25 2440
_SYSTEM_TRIG_ENABLED Subject: IMPORTANT: Set "_SYSTEM_TRIG_ENABLED=FALSE" When Upgrading / Downgrading / Applying Important Step when Upgrading / Downgrading / Installing / Deinstalling O
oracleddlenable,oracle 禁用表的DDL 实现真正的READ ONLY
weixin_30499091的博客
04-03 153
首先提几个问题:1,只读表空间可不可以后来创建表2,只读表空间里先创建的表能不能删除3,read only 是不是只禁用dml下面看我的实验,环境oracle 1og R2SQL> create tablespace tbsread datafile '/oradata/orcl/tbsread.dbf' size 10m ;Tablespace created.SQL> alter...
ORACLE9I数据库用户DDL语句审计
cuidong1521的博客
01-19 174
作者:shenguokunhttp://sinobestdba.itpub.net通过DDL触发器进行DDL语句审计[@more@]1.创建日志表-- Create tablecreate table T_ZYK_AUDIT_D...
oracle-DDL-DML-DCL-TCL.rar_The Oracle
最新发布
09-23
Oracle数据库系统是世界上最广泛使用的数据库管理系统之一,尤其在企业级应用占据主导地位。DDL(Data Definition Language)、DML(Data Manipulation Language)、DCL(Data Control Language)和TCL...
wm_concat函数DDL.zip
08-06
Oracle数据库,`wm_concat`函数曾是一个非常实用的工具,用于将多个行的数据合并成单个字符串,尤其在需要进行数据汇总时非常方便。然而,从Oracle 11g版本开始,出于性能和安全性的考虑,Oracle官方取消了这个...
SQL Server 2008的代码安全(二) DDL触发器与登录触发器
12-15
首先,DDL触发器是在数据库对数据定义语言(DDL)事件做出反应的特殊类型触发器。当用户执行像CREATE、ALTER或DROP这样的DDL语句时,这些触发器会被激活。通过创建DDL触发器,你可以监控并控制数据库对象的更改,...
oracle安全审计之登录登出、ddl操作记录触发器
07-28
oracle的登录、登出触发器(时间、来访ip、用户信息、sid等等),ddl操作记录触发器(含create、drop、alter、truncate等),都属于事后触发,不影响业务操作
oracleddlenable,12c 特性(enable_ddl_logging)
weixin_36295555的博客
04-03 182
1、设置参数,动态参数SQL> alter system set enable_ddl_logging=true;System altered.SQL> create table t (id int);Table created.SQL> alter session set container=pdb1;Session altered.SQL> drop table t;T...
oracle enable关键字,Oracle之表示约束状态的关键字Enable/Disable/Validate/Novalidate
weixin_31109487的博客
04-15 663
1组合特性说明Enable/Disable和Validate/Novalidate这两组关键字修饰的都是同一个对象,即constraint这种类型的对象。Validate的作用: 确保已有数据符合约束;Novalidate的作用:不必考虑已有数据是否符合约束。由此可以看出,Validate和Novalidate的不同点在于表已有数据的作用上:Validate验证已有数据是否符合约束;N...
ORACLE审计管理
IIOOHHHSSSS的博客
01-04 1954
审计(audit)用于监视用户所执行的数据库操作,审计记录可存在数据字典表,存储在system表空间的 sys.aud$表,可通过视图dba_audit_trail查看 默认位置为$oracle_base/admin/$oracle_sid/adump/ oracle 10g 默认情况下审计是没有开启的 oracle 11g 默认情况下审计是开启的 审计的三个视图 dba_audit_trail:保存所有的audit trail,实际上它只是一个基于aud$的视图。其它的视图dba_audit_sess
oracle 关键字 enable,Oracle约束的关键字Enable/Disable/Validate/Novalidate
weixin_31653971的博客
04-04 212
1组合特性说明ValidateNovalidate已有记录新增/删除记录已有记录新增/删除记录EnableYesYesNoYesDisableYesNoNoNoValidate确保已有数据符合约束;Novalidate不必考虑已有数据是否符合约束。除非Novalidate被指定,Enable默认Validate;除非Validate被指定,Disable默认Novalidate。Enable Va...
oracle 12c undo,Oracle 12c 新特性之临时Undo--temp_undo_enabled
weixin_30122219的博客
04-03 409
Oracle 12c 新特性之临时Undo--temp_undo_enabled每个Oracle数据库包含一组与系统相关的表空间,例如SYSTEM,SYSAUX,UNDO&TEMP,并且它们在Oracle数据库每个都用于不同的目的。在Oracle 12c之前,临时表生成的Undo记录是存储在Undo表空间和Redo日志文件的,通用表和持久表的undo记录也是存储在Undo表空间的,从...
oracle 未明确列义,案例:Oracle缺少同义词DDL语句无法执行 ORA-00604 ORA-00942
weixin_39522423的博客
04-05 279
天萃荷净在执行DDL语句时无法执行,报错ORA 00604 ORA 00942,通过隐含参数来解决同义词问题在最近的一个客户案例,因为缺少dual同义词,导致ddl语句无法执行。这里_system_trig_enabled参数和upgrade模式两种来解决该问题,整体上来说_system_trig_enabled不用重启数据库终止业务,更加人性化.1.Oracle缺少dual同义词现场SQL&g...
oracle查看隐藏参数
lijiastone的专栏
10-26 1013
要用户sys才可以查到该视图 --查看所有的隐藏参数 select i.ksppinm name,        i.ksppdesc description,        cv.ksppstvl value,        cv.ksppstdf isdefault,        decode(bitand(cv.ksppstvf, 7),               1,
Oracle DDL:创建与管理数据库
"Oracle数据定义语言(DDL)" 是Oracle数据库管理系统用于创建和管理数据库对象的语言,主要包括对表、视图、序列、索引和同义词等对象的操作。本章重点介绍了如何使用DDL来创建和管理Oracle表,以及相关的命名规则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值