Oracle 细粒度审计

(^o^)/~完美

　　从Oracle9i开始，就可以使用DBMS_FGA可以对指定的表的select语句进行审计
　　但是在9i中只能对select语句进行审计，在10g中可以实现对DML的审计功能
　　下面用DBMS_FGA来展示select语句的审计功能
　　① 假定我们存在表t，包含记录为
　　sys@ORCL> select * from hr.t;

　　>　　---------- --------------------
　　1 a
　　2 b
　　3 c
　　4 d
　　5 e
　　② 分析该表，让其使用CBO优化模式
　　sys@ORCL> analyze table hr.t compute statistics;
　　Table analyzed.
　　③ 检查以前的审计策略与审计日志
　　sys@ORCL> select OBJECT_SCHEMA,OBJECT_NAME,POLICY_NAME from dba_audit_policies;
　　no rows selected
　　sys@ORCL> select OBJECT_SCHEMA,OBJECT_NAME,POLICY_NAME,SQL_TEXT from dba_fga_audit_trail;
　　no rows selected
　　dba_audit_policies:用来存放审计策略
　　dba_fga_audit_trail:用来存放审计日志，即执行了那些SQL语句
　　通过以上的查询，我们也可以看到，以前没有审计策略，也没有审计日志
　　④ 现在，我们在hr.t表增加一个审计策略
　　sys@ORCL> begin
　　2    dbms_fga.add_policy(object_schema=>'HR',
　　3              object_name=>'T',
　　4              policy_name=>'chk_t',
　　5              audit_condition=>'id=2',
　　6              audit_column=>'NAME',
　　7              enable=>TRUE,
　　8              statement_types=>'SELECT,INSERT,UPDATE,DELETE'
　　9              );
　　10    end;
　　11 /
　　PL/SQL procedure successfully completed.
　　⑤ 我们再查询dba_audit_policies，就可以发现这条审计策略了
　　sys@ORCL> select OBJECT_SCHEMA,OBJECT_NAME,POLICY_NAME,ENABLED from dba_audit_policies;
　　OBJECT_SCHEMA         OBJECT_NAME          POLICY_NAME          ENA
　　------------------------------ ------------------------------ ------------------------------ ---
　　HR               T               CHK_T             YES
　　⑥ 那么就让我们看看该审计策略怎么生效，假定我们执行如下的一些语句

　　u1@ORCL> select count(*) from hr.t where>　　COUNT(*)
　　----------
　　1
　　可以看到，该查询返回的结果集中显然没有id=2的行，所以，该查询不能被审计

　　u1@ORCL> select count(*) from hr.t where>　　COUNT(*)
　　----------
　　1
　　有人说这个语句包含了id=2,该被审计了吧,然，我们的审计条件中还有一个是审计列必须要有name
　　count(*)没有包含name，所以该语句还是没有被审计
　　u1@ORCL> select count(*) from hr.t where name='b';
　　COUNT(*)
　　----------
　　1
　　这个语句被审计了，因为已经包含了列name在where中，而name=b正好是id=2的行，所以id=2是被隐式包含的

　　u1@ORCL> select * from hr.t where>
　　>　　---------- --------------------
　　2 b
　　该语句肯定被审计，所有列肯定包含审计列name，谓语条件正好是id=2

　　u1@ORCL> select>
　　>　　----------
　　3
　　这个语句肯定就不被审计了，典型的什么都不满足
　　u1@ORCL> select name from hr.t where name='b';
　　NAME
　　--------------------
　　b
　　这个语句也被审计，为什么呢？这个语句包含审计列，而且隐式包含了id=2（因为id=2与name=b是同一行）
　　u1@ORCL> select name from hr.t where name='d';
　　NAME
　　--------------------
　　d
　　这个语句没有被审计，因为虽然满足了审计列的条件，但是没有显式或隐式包含id=2
　　但是如果在您的环境中，这个语句如果被审计了，就请您确信是否分析过表，该查询是否是使用的CBO优化计划
　　综合以上结果，以上被审计的语句应当是3个：
　　sys@ORCL> select OBJECT_SCHEMA,OBJECT_NAME,POLICY_NAME,SQL_TEXT from dba_fga_audit_trail;
　　OBJEC OBJEC POLIC SQL_TEXT
　　----- ----- ----- ---------------------------------------------
　　HR  T   CHK_T select count(*) from hr.t where name='b'

　　HR  T   CHK_T select * from hr.t where>　　HR  T   CHK_T select name from hr.t where name='b'
　　对于越来越多的审计记录，我们必须手工维护，删除没有参考价值的记录，我们可以运行如下查询来删除审计记录（需要delete any table的权限或在sys下执行）：
　　delete from sys.fga_log$
　　or
　　delete from Dba_Fga_Audit_Trail
　　到这里，大家总该明白了怎么样审计表的Select语句，同普通审计与DML触发器一样，对过多的表进行审计，将会严重影响性能。
　　但是，在特定的情况下，如果想跟踪一个表的Select语句已便于优化，也还是可以的
　　⑦ 相关注意事项
　　没有提交也被审计
　　sys不被审计，我第一次实验时用sys便错了
　　oracle视频教程请关注:http://u.youku.com/user_video/id_UMzAzMjkxMjE2.html