1. 首先我们建立一个简单的表,我们将为这张表添加FGA审计策略。
create table xx.test(a varchar2(100),b varchar2(100),c varchar2(100));
2. 接着我们为其添加审计策略:
--为表test添加了一个名为test_fga的审计策略,这个策略将监视对test的所有查询,新增,更改以及删除动作。
begin
dbms_fga.add_policy(object_schema => 'xx', --schema名(默认当前操作用户)
object_name => 'test', --被操作object对象
policy_name => 'test_fga', --policy名(唯一)
audit_condition => NULL,
audit_column => NULL, --监视的字段(默认为全部)
handler_schema => NULL,
handler_module => NULL,
enable => TRUE,
statement_types => 'select,insert,update,delete',--受影响的操作
audit_trail => dbms_fga.DB_EXTENDED, --默认值
audit_column_opts => dbms_fga.ANY_COLUMNS); --默认值
end;
注意:默认情况下,用户没有dbms_fga的执行权限。如果想在用户下使用dbms_fga,需要已sys登录,并将包的执行权限赋给该用户。grant execute on dbms_fga to xx;
3. 测试select语句的审计信息。
执行查询语句 select * from xx.test;
--之后,我们用以下来检查审计视图中的信息:
SQL> select db_user,os_user,object_schema,object_name,policy_name,scn,sql_text,sql_bind,extended_timestamp from DBA_FGA_AUDIT_TRAIL;
-------------------------------------------------------------------------------------------------
DB_USER OS_USER OBJECT_SCHEMA OBJECT_NAME POLICY_NAME SCN SQL_TEXT SQL_BIND EXTENDED_TIMESTAMP
XX zhangsan XX TEST BEN_AUDIT_FGA 11360993432130 "select * from xx.test
" 23-JAN-13 02.35.12.508666 PM +08:00
审计策略记录了我们这一查询的数据库用户(xx),操作系统用户(zhangsan),表所属于的schema(xx),被审计表的名称(test),审计策略的名称(TEST_FGA),执行查询时的系统SCN(11360993432130 ),执行查询的SQL语句(select from xx.test),以及一个精确的查询时刻(23-JAN-13 02.35.12.508666 PM +08:00)*
4. 测试insert语句的审计信息:
执行 INSERT INTO XX.TEST(A,B,C) VALUES(1,2,3);
这时候我们先不提交插入,也就是先不commit,直接查询审计表,发现虽然我们还没有提交,但是审计信息已经有了
-------------------------------------------------------------------------------------------------
XX ZHANGSAN XX TEST TEST_FGA 11360993534082 "INSERT INTO XX.TEST(A,B,C) VALUES(1,2,3)
" 23-JAN-13 02.42.04.036896 PM +08:00
我们可以发现,即使我们回滚了这次insert(roll back),最终不向表中插入任何数据,这行审计信息依然会保留下来。这表示任何对该表操作的尝试,无论是否成功,都会被我们记录下来。这是一个严肃的审计的基本要求。
很多sql是带参数的,我们可以通过审计信息表中的 sql_bind 字段来查看具体执行sql所使用的参数的
注意:针对繁忙表开启审计功能要注意system表空间的情况,或者将审计日志表指定到其他表空间。
可以使用审计功能监控表操作的情况尽量不采用触发器方式。