ORACLE 数据库审计配置说明
1.审计开启选项
None :默认值,不做审计
DB :将audit trail 记录在数据库的审计相关表中,如aud$
OS :将audit trail 记录在操作系统文件中,文件名由audit_file_dest参数指定
2.审计级别
当开启审计功能后(audit_trail=DB/OS),可在三个级别对数据库进行审计:
Statement(语句)
按语句来审计,比如audit table 会审计数据库中所有的create table,drop table,truncate table语句,alter session by cmy会审计cmy用户所有的数据库连接。
Privilege(权限)
按权限来审计,当用户使用了该权限则被审计,如执行grant select any table to a; audit select any table;语句后,当用户a 访问了用户b的表时(如select * from b.t;)会用到select any table权限,故会被审计。注意用户是自己表的所有者,所以用户访问自己的表不会被审计
object(对象)
按对象审计,只审计on关键字指定对象的相关操作,如aduit alter,delete,drop,insert on cmy.t by scott; 这里会对cmy用户的t表进行审计,但同时使用了by子句,所以只会对scott用户发起的操作进行审计.注意Oracle没有提供对schema中所有对象的审计功能,只能一个一个对象审计,对于后面创建的对象,Oracle则提供on default子句来实现自动审计,比如执行audit drop on default by access;后,对于随后创建的对象的drop操作都会审计。但这个default会对之后创建的所有数据库对象有效,似乎没办法指定只对某个用户创建的对象有效,想比trigger可以对schema的DDL进行“审计”,这个功能稍显不足。
3.其他选项