记录sys用户登陆后进行过哪些操作:
默认是记录在 audit_file_dest目录中的。并且如果audit_sys_operations=true 则会记录详细的操作过程。修改audit_sys_operations 需要重启数据库。

查看当前数据库用户的spid 和 sid
select a.spid "process id" ,b.sid "session id"  from v$process a,v$session b
where   a.addr=b.paddr
and b.sid=(select sid from v$mystat where  rownum =1);

process id   session id
------------ ----------
10538               153


普通用户scott审计功能通过audit_trail控制。默认关闭的。修改需要重启数据库。
参数值可以等于 db,xml,os 等
分别表示记录都sys.aud$,xml文件,和os日志文件中。


audit_trail 设置为os,则需要设置 audit_syslog_level参数
过程如下
alter  system set audit_trail =os  scope=spfile;
alter system set audit_syslog_level="local1.warning" scope=spfile;
shutdown immediate
startup
在操作系统设置报警root
touch /var/log/audit.log
echo "local1.warning        /var/log/audit.log"  >>/etc/syslog.conf
/etc/init.d/syslog stop
/etc/init.d/syslog start
开启对scott用户的审计
audit all by  scott by access;


oracle FGA 特性可以对审计功能进一步强化,记录对表具体的操作记录语句。
审计信息被记录到FGA_LOG$中。