第41章 实施数据库审计

授权要谨慎
强制性审计
标准数据库审计
1.启用数据库审计
2.指定审计选项
3.复查审计信息
4.维护审计线索

操作审计查看
10g 11g 12c都是一样的
1>查看参数有没有打开10g
show parameter audit_trail
show parameter audit_trail
如果是打开的，那么VALUE是DB

如果VALUE的值是NONE,那么修改参数文件，并且重启数据库
alter system set audit_trail=db scope=spfile;
shutdown immediate
startup
这样审计的功能就被打开了

使用AUDIT_TRAIL执行审计查看

审计sql语句
AUDIT table;
audit select any table,create any trigger;
audit select any table by hr by session;
audit all on hr.employess;
audit update,delete on hr.employees by access;

设置审计，只要Scott创建表，那么就会记录下来
audit create table by scott;
查看scott用户有没有创建表
select count(*) from dba_common_audite_trail;
连接到scott用户下
sqlplus scott/tiger
create table a(id number);
但是无论表是否创建成功，都会被记录到审计表中
之后查看就会有结果

删除记录
truncate table aud$;
select count(*) from dba_common_audit_trail;

select * from dba_audit_object;

FGA策略和SYSDBA 审计
查看审计的状态
show parameter audit_t
关闭数据库审计
alter system set audit_trail=none scope=spfile;
shutdown immediate
startup

基于值得审计
自己写的触发器

细粒度审计
根据内容监视数据访问
审计select insert update delete merge
可连接到表或试图中的一列或多列
可能会触发过程
使用DBMS_FGA程序包进行管理

最重要的是审计行的操作

select sal from emp where deptno=10;
conn / as sysdba
desc dbms_fga
object_schema
object_name
policy_name
audit_condition
desc dba_polices
查看当前有哪些策略名
select object_echema,object_name,polict_name,enable from dba_policies;
关闭策略
exec dbms_fga.disable_policy)'scott','emp','fga1');
开启策略
exec dbms_fga.enable_policy)'scott','emp','fga1');
查看fga1策略状态
select object_schema,object_name,police_name,enambled from dba_audit_polices where policy_name='FGA1';

12c里面限制的是pdb一般不做到cdb里面

show parameter audit
里面的audit_file_dest 这个功能一般不打开

12c --> audit_trail --cdb
audit <> pdb