DBA需要知道的Oracle 10g的审计内容

Oracle 数据库 10g 审计以一种非常详细的级别捕获用户行为，它可以消除手动的、基于触发器的审计。假定用户 Joe 具有更新那张表的权限，并按如下所示的方式更新了表中的一行数据。

update SCOTT.EMP set salary = 12000 where empno = 123456;

您怎么样在数据库中跟踪这种行为呢？在 Oracle 9i 数据库及其较低版本中，审计只能捕获“谁”执行此操作，而不能捕获执行了“什么”内容。例如，它让您知道 Joe 更新了 SCOTT 所有的表 EMP，但它不会显示他更新了该表中员工号为 123456 的薪水列。它不会显示更改前的薪水列的值—要捕获如此详细的更改，您将不得不编写您自己的触发器来捕获更改前的值，或使用 Log Miner 将它们从存档日志中检索出来。

这两种方法都能让您跟踪更改的内容并记录更改前的值，但其成本非常高。使用触发器编写审计数据可能会对性能产生主要的影响；鉴于此，在某些情况下（如在第三方应用中）禁止使用用户定义的触发器。Log Miner 不会影响性能，但它是依赖于存档日志的可用性来跟踪更改的。

细粒度审计 (FGA)，是在 Oracle 9i 中引入的，能够记录 SCN 号和行级的更改以重建旧的数据，但是它们只能用于 select 语句，而不能用于 DML，如 update、insert 和 delete 语句。因此，对于 Oracle 数据库 10g 之前的版本，使用触发器虽然对于以行级跟踪用户初始的更改是没有吸引力的选择,但它也是唯一可靠的方法。

随着 Oracle 10g 的到来，由于审计能力的两个重大的改变，这些限制也随之而去。由于两种审计类型涉及到—标准审计（在所有版本中均可用）和细粒度审计（在 Oracle 9i 及其以上版本中可用）—我们将分别对它们进行处理，然后看看它们是怎么样相互补充以提供一个单一的、强大的跟踪功能。

新特性

首先，FGA 现在除了支持 select 语句外，还支持 DMA 语句。这些更改都记录在同一个位置，即表 FGA_LOG$ 中，并通过 DBA_FGA_AUDIT_TRAIL 视图显示出来。除了 DML 外，您现在可以选择只有在访问了所有或者甚至很少的相关的列后，才可以触发一个线索。（有关 FGA 在 Oracle 10g 中是怎么样工作的详细信息，请参阅该主题的我的技术文章的内容。）

标准审计，是由 SQL 命令 AUDIT 执行的，可用于为特定的对象快速、容易地设置跟踪。例如，如果您想跟踪对 Scott 所拥有的表 EMP 的所有更新，您可以发出如下命令：

　　
　　audit UPDATE on SCOTT.EMP by access;

任何用户每一次更新表 SCOTT.EMP 时，该命令都会把所有的更新记录到审计跟踪表 AUD$ 中，可以通过 DBA_AUDIT_TRAIL 视图来查看。

这个功能对于 Oracle 10g 之前的版本也是可用的。但是，在那些版本中，写到跟踪中的信息仅限于少数相关的项，如：发出该语句的用户、时间、终端标识号等等；它缺少某些重要的信息，如绑定变量的值。在 Oracle 10g 中，除了以前的版本中所收集到的内容之外，审计操作还捕获了许多这些重要的信息片断。用于审计的原始表 AUD$，包含若干个用于记录它们的新列，相应地，DBA_AUDIT_TRAIL 视图也包含这些列。让我们详细地研究一下。

EXTENDED_TIMESTAMP。 该列以 TIMESTAMP (6) 格式记录了审计记录的时间戳，它是用格林尼治标准时间（也称为全球统一时间）来记录时间的，其小数点后的秒数到 9 为止，并且带有时区信息。以这种格式存储的时间的一个例子如下所示。2004-3-13 18.10.13.123456000 -5:0日期表示为 2004 年 3 月 13 日，是美国的东部标准时间，它比全球统一时间晚 5 小时（用 -5.0 来表示）。这种以扩展格式显示的时间有助于把审计跟踪精确定位到一个更窄的时间间隔中，从而增强了它们的用途，特别是在数据库横跨多个时区时更是如此。

GLOBAL_UID 和 PROXY_SESSIONID。 当使用某种身份管理组件如 Oracle Internet Directory 进行身份验证时，用户对数据库的访问权限稍有不同。例如，当将他们访问数据库时，可能将他们视为企业用户。审计这些用户不会在 DBA_AUDIT_TRAIL 视图的 USERNAME 列中记录他们的企业用户标识号，以使该信息无用。在 Oracle 数据库 10g 中，全局（或企业）用户唯一的标识号记录在 GLOBAL_UID 列中，并且没有作进一步的处理或设置。该列可用于查询目录服务器，以查找有关该企业用户的完整的详细信息。

有时企业用户也许是通过一个代理用户连接到数据库，特别是在多层应用中。可以通过命令为用户提供代理身份验证:

　　
　　alter user scott grant connect to appuser;