目录
一、标准数据库审计
在创建新的Oracle Database 12c数据库时,默认情况下为混合模式审计,也支持统一审计。
混合模式审计允许使用:
—Oracle数据库12c前审计功能
—Oracle Database 12c的统一审计特性
Oracle DB 进行标准审计和细粒度审计时跟踪相同的字段,这使您可以轻松分析数据库 活动。为实现这一点,标准审计线索和细粒度审计线索包含了彼此互补的属性。 通过标准审计收集的额外信息包括:
• 系统更改号 (SCN),记录对系统的每一项更改。
• 用户执行的确切 SQL 文本及与 SQL 文本一起使用的绑定变量。只有已指定 AUDIT_TRAIL=DB, EXTENDED 的情况下,这些列才会出现。
通过细粒度审计收集的额外信息包括:
• 每个审计记录的序列号。
• 将源自一条语句的多个审计条目联系起来的语句编号。
公共属性包括:
• 用全球标准时间 (UTC) 表示的全球时间戳。这个字段在监视不同地理位置和不同 时区中的数据库时特别有用。
• 每个 Real Application Cluster (RAC) 实例的唯一实例编号。
• 用于将一个事务处理的审计记录组成一组的事务处理标识符。 DBA_COMMON_AUDIT_TRAIL 视图中组合了标准审计日志记录和细粒度审计日志记录。
二、启用和禁用审计策略
1.启用审计策略:
对所有用户生效:
SQL> AUDIT POLICY audit_syspriv_pol1;
只适用于部分用户:
SQL> AUDIT POLICY audit_pol2 BY scott, oe;
SQL> AUDIT POLICY audit_pol3 BY sys;
排除一些用户:
SQL> AUDIT POLICY audit_pol4 EXCEPT jim, george;
根据操作失败或成功进行录音审计:
SQL> AUDIT POLICY audit_syspriv_pol1 WHENEVER SUCCESSFUL ;
SQL> AUDIT POLICY audit_objpriv_pol2 WHENEVER NOT SUCCESSFUL ;
SQL> AUDIT POLICY auditpol5 BY joe WHENEVER SUCCESSFUL ;
2.使用NOAUDIT命令关闭审计策略。
三、清除审计跟踪记录
1.自动清除:
DBMS_AUDIT_MGMT.CREATE_PURGE_JOB
(AUDIT_TRAIL_TYPE=> DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED,
AUDIT_TRAIL_PURGE_INTERVAL => 12,
AUDIT_TRAIL_PURGE_NAME => 'Audit_Trail_PJ',
USE_LAST_ARCH_TIMESTAMP => TRUE,
CONTAINER => DBMS_AUDIT_MGMT.CONTAINER_CURRENT);
2.手动清除:
DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL(
AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED)