ORACLE数据库DDL审计触发器与隐藏参数_system_trig

最近，在我们开发库要对一套实例做一个DDL审计触发器，触发器代码如下所示：
---- 存储DDL语句的表
create table audit_ddl
(
opertime timestamp PRIMARY KEY,
ip varchar2(20),
hostname varchar2(30),
operation varchar2(30),
object_type varchar2(30),
object_name varchar2(30),
sql_stmt clob,
db_schema varchar2(30)
);
---- 捕获DDL语句的触发器
create or replace trigger trg_audit_ddl
after create or drop or truncate ON DATABASE
DECLARE
PRAGMA AUTONOMOUS_TRANSACTION;
n NUMBER;
stmt clob := NULL;
sql_text ora_name_list_t;
BEGIN
n := ora_sql_txt(sql_text);
FOR i IN 1 .. n LOOP
stmt := stmt || sql_text(i);
END LOOP;
INSERT INTO audit_ddl
(opertime, ip, hostname, operation, object_type, object_name, sql_stmt,db_schema)
VALUES
(systimestamp,
sys_context('userenv', 'ip_address'),
sys_context('userenv', 'terminal'),
ora_sysevent,
ora_dict_obj_type,
ora_dict_obj_name,
stmt,
user
);
COMMIT;
END;

/
创建审计DDL的触发器成功，并且是生效的，如图：

但是，我用测试用户创建表、删除表、truncate表，都无法审计到，过程如下：
--具有或非DBA权限用户，执行建表
create table trg_ddl_test as select * from dba_data_files;
--然后用sys或创建ddl审计的用户，查询DDL审计表，无记录返回
[oracle@oradbs ~]$ sqlplus / as sysdba
SQL*Plus: Release 11.2.0.3.0 Production on Thu May 19 19:31:16 2016
Copyright (c) 1982, 2011, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options
SQL> select * from audit_ddl;
no rows selected
SQL>
但是，相同的触发器在相同服务器，相同版本的其他数据库实例上执行，都能捕获到DDL，如图所示：

后来，对DDL审计触发器做了修改，就是创建测试表，触发触发器，让触发器向DDL审计触发器插入一个1，没有成功；由此，怀疑，DDL审计触发器不起作用的数据库实例参数配置肯定有问题，通过对比发现：隐藏参数_system_trig_enabled在DDL审计触发器不起作用的服务器上被设置为了false：
SQL> show parameter _system_trig_enabled
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
_system_trig_enabled boolean FALSE
该参数是动态参数，执行alter system set "_system_trig_enabled"=true; 将参数设置为true
SQL> alter system set "_system_trig_enabled"=true;
System altered.
SQL> show parameter _system_trig_enabled
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
_system_trig_enabled boolean TRUE
设置完隐藏参数为true后，数据库实例可以正常审计数据库级别的DDL：
--test用户truncate表，drop表
SQL> select * from tab;
TNAME TABTYPE CLUSTERID
------------------------------ ------- ----------
CDBA_DATA_FILES TABLE
TRG_DDL_TEST TABLE
SQL> truncate table TRG_DDL_TEST;
Table truncated.
SQL> drop table TRG_DDL_TEST;
Table dropped.
--DDL审计用户查询审计记录：

需要注意的这里只审计了create、drop和truncate，如果需要审计所有DDL，只需要修改：after create or drop or truncate on database为after ddl on database即可。

ORACLE数据库DDL审计触发器与隐藏参数_system_trig_enabled相关推荐

Oracle数据库 —— DDL
时间:2016-10-5 14:55 逆风的方向更适合飞翔我不怕千万人阻挡只怕自己投降 --------------------------------------- 一.表的创建与管理 1.表 ...
oracle数据库登录失败触发器,oracle数据库登录、DDL触发器的应用
登录触发器 oracle登录记录触发器: 1.创建日志记录表: CREATE TABLE SYSTEM.LOGIN_LOG ( SESSION_ID NUMBER, LOGIN_ON_TIME DAT ...
oracle数据库登录审计,oracle数据库审计
一.何谓数据库审计? 数据库审计,就是对数据库的活动做跟踪记录,主要包括数据库连接,SQL语句执行,数据库对象访问这些方面的跟踪记录. 二.审记记录的存储方式分为两种:一种是存储在操作系统文件中,一 ...
Oracle数据库之审计（五）
目录 1.审计 2.登录审计 3.操作审计 4.对象审计 5.权限审计 Oracle学习的相关知识点(汇总) 1.审计审计是监视和记录所选用户的数据活动,通常用于调查可疑活动,以及监视与收集特定数据 ...
oracle建个触发器,oracle数据库如何创建触发器实例
Oracle DBA Studio 工具里面就能创建触发器 CREATE TRIGGER 名称 CREATE TRIGGER - 创建一个新触发器语法 CREATE TRIGGER name { B ...
oracle数据库userenv,Oracle数据库中userenv、sys_context的参数
1. USERENV(OPTION) 返回当前的会话信息. OPTION= 1. USERENV(OPTION) 返回当前的会话信息. OPTION='ISDBA'若当前是DBA角色,则为TRUE,否 ...
达梦数据库或者oracle数据库报错：超过最大参数个数(32767)
Oracle 批量插入list 有最大参数限制,需要分批插入处理 private void saveAndUpdate(ArrayList<ServeRecord> insertList) ...
oracle创建dml触发器,Oracle数据库创建DML触发器
触发器的基本分类 1.行触发器:数据库表中的每一行有变化都会触发一次触发器代码 2.语句触发器:与语句所影响的行数无关,仅触发一次 3.BEFORE触发器:在DML语句执行之前触发 4.ALFTER触 ...
oracle的clob赋值_oracle 存储过程clob参数
.Net处理Oracle中Clob类型字段总结最近在做项目中用到Clob这个字段,Clob是存储无限长字符的Oracle字段,用的时候网上找资料找了好久,内容不是很多,大部分都不能用,当然也有可以用 ...

ORACLE数据库DDL审计触发器与隐藏参数_system_trig_enabled

ORACLE数据库DDL审计触发器与隐藏参数_system_trig_enabled相关推荐

最新文章

热门文章