审计相关信息

关于Oracle 11g数据库中的Audit

1 audot_trail
在Oracle 10g中,数据库参数audit_trail默认的设置为NONE
到11g中,创建数据库时如果选择了default security settings,audit_trail默认设置为DB,此时表明启用了默认的audit
默认的audit会记录session登录数据库的信息,数据库关闭/启动,用户授权等信息.
关于审计类型详细信息请参考Oracle® Database Security Guide
11g Release 1 (11.1)
Part Number B28531-05
第九章Verifying Security Access with Auditing的select an Auditing Type部分

SQL> select action_name, count(*) from dba_audit_trail group by action_name;

ACTION_NAME                    COUNT(*)
---------------------------- ----------
LOGOFF                             2137
LOGON                              1839
CREATE ROLE                           1
ALTER USER                            1
SET ROLE                             16
SYSTEM GRANT                         24
CREATE USER                           9
ALTER DATABASE                        6

8 rows selected.

select count(*) from dba_audit_trail

SQL> show parameter audit_trail

NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
audit_trail                          string      DB

2 Oracle数据库中的强制审计
不管数据库审计是否是打开的,以下操作都将强制进行审计,并写到$ORACLE_HOME/admin/$ORACLE_SID/adump directory 目录(在UNIX系统上)
  1)数据库启动
  2)数据库关闭
  3)DML操作,包括insert,update,merge操作
即使此时audit_trail=DB,oracle数据库仍会将以上操作的审计信息记录在强制审计的目录，因此要注意检查ADUMP目录，及时清空多余记录

3 audit_trail=db
audit_trail=db 表示进行审计,并将审计记录存储在数据库中
默认的是记录在 sys.aud$表中
同时,在DBA_AUDIT_TRAIL和DBA_COMMON_AUDIT_TRAIL 这两个数据字典视图中可以查看详细的审计记录信息


4 取消audit
将初始化参数audit_trail设置为NONE
alter system set audit_trail=none scope=spfile;
然后重启数据库.
对已锁用户，可使用以下命令解锁：
alter user 用户名 account unlock

5 相关其它操作
truncate table SYS.AUD$;