oracle審計詳解-轉

標籤：

http://blog.chinaunix.net/u2/66903/showart_2082884.html
Oracle使用大量不同的審計方法來監控使用何種許可權，以及訪問哪些對象。審計不會防止使用這些許可權，但可以提供有用的資訊，用於揭示許可權的濫用和誤用。下表中總結了Oracle資料庫中不同類型的審計。審 計 類 型說    明語句審計按照語句類型審計SQL語句，而不論訪問何種特定的模式對象。也可以在資料庫中指定一個或多個使用者，針對特定的語句審計這些使用者權限審計審計系統許可權，例如CREATE TABLE或ALTER INDEX。和語句審計一樣，許可權審計可以指定一個或多個特定的使用者作為審計的目標模式對象審計審計特定模式對象上啟動並執行特定語句(例如，DEPARTMENTS表上的UPDATE語句)。模式對象審計總是應用於資料庫中的所有使用者細粒度的審計根據訪問對象的內容來審計表訪問和許可權。使用程式包DBMS_FGA來建立特定表上的策略下面幾節介紹DBA如何管理系統和對象許可權使用的審計。當需要一定的粒度時，DBA可以使用細粒度的審計來監控對錶中某些行或列的訪問，而不僅僅是是否訪問表。和審計相關的主要參數SQL>show parameter auditaudit_file_destaudit_sys_operationsaudit_trailaudit_sys_operations：預設為false，當設定為true時，所有sys使用者（包括以sysdba,sysoper身份登入的使用者）的操作都會被記錄，audit trail不會寫在aud$表中，這個很好理解，如果資料庫還未啟動aud$不可用，那麼像conn /as sysdba這樣的串連資訊，只能記錄在其它地方。如果是windows平台，audti trail會記錄在windows的事件管理中，如果是linux/unix平台則會記錄在audit_file_dest參數指定的檔案中。audit_trail：None：是預設值，不做審計；DB：將audit trail 記錄在資料庫的審計相關表中，如aud$，審計的結果只有串連資訊；DB,Extended：這樣審計結果裡面除了串連資訊還包含了當時執行的具體語句；OS：將audit trail 記錄在作業系統檔案中，檔案名稱由audit_file_dest參數指定；XML：10g裡新增的。10g Values:noneDisables database auditing.osEnables database auditing and directs all audit records to the operating system‘s audit trail.dbEnables database auditing and directs all audit records to the database audit trail (the SYS.AUD$ table).db,extendedEnables database auditing and directs all audit records to the database audit trail (the SYS.AUD$ table). In addition, populates the SQLBIND and SQLTEXT CLOB columns of the SYS.AUD$ table.xmlEnables database auditing and writes all audit records to XML format OS files.xml,extendedEnables database auditing and prints all columns of the audit trail, including SqlText and SqlBind values.註：參數AUDIT_TRAIL不是動態，為了使AUDIT_TRAIL參數中的改動生效，必須關閉資料庫並重新啟動。在對SYS.AUD$表進行審計時，應該注意監控該表的大小，以避免影響SYS資料表空間中其他對象的空間需求。推薦周期性歸檔SYS.AUD$中的行，並且截取該表。Oracle提供了角色 DELETE_CATALOG_ROLE，和批次工作中的特殊賬戶一起使用，用于歸檔和截取審計表。audit_file_dest：Audit_trail=OS時 檔案位置1.語句審計所有類型的審計都使用audit命令來開啟審計，使用noaudit命令來關閉審計。對於語句審計，audit命令的格式看起來如下所示：AUDIT sql_statement_clause BY {SESSION | ACCESS}WHENEVER [NOT] SUCCESSFUL;sql_statement_clause包含很多條不同的資訊，例如希望審計的SQL語句類型以及審計什 麼人。此外，希望在每次動作發生時都對其進行審計(by access)或者只審計一次(by session)。預設是by session。有時希望審計成功的動作：沒有建置錯誤訊息的語句。對於這些語句，添加whenever successful。而有時只關心使用審計語句的命令是否失敗，失敗原因是許可權違犯、用完資料表空間中的空間還是語法錯誤。對於這些情況，使用 whenever not successful。對於大多數類別的審計方法，如果確實希望審計所有類型的表訪問或某個使用者的任何許可權，則可以指定all而不是單個的語句類型或對象。表1列出了可以審計的語句類型，並且在每個類別中包含了相關語句的簡要描述。如果指定all，則審計該列表中的任何語句。然而，表2中的語句類型在啟用審計時不屬於all類別；必須在audit命令中顯式地指定它們。表1 包括在ALL類別中的可審計語句語 句 選 項SQL操作ALTER SYSTEM所有ALTER SYSTEM選項，例如，動態改變執行個體參數，切換到下一個記錄檔組，以及終止使用者會話CLUSTERCREATE、ALTER、DROP或TRUNCATE叢集CONTEXTCREATE CONTEXT或DROP CONTEXTDATABASE LINKCREATE或DROP資料庫連結DIMENSIONCREATE、ALTER或DROP維數DIRECTORYCREATE或DROP目錄INDEXCREATE、ALTER或DROP索引MATERIALIZED VIEWCREATE、ALTER或DROP物化視圖NOT EXISTS由於不存在的引用對象而造成的SQL語句的失敗PROCEDURECREATE或DROP FUNCTION、LIBRARY、PACKAGE、PACKAGE BODY或PROCEDUREPROFILECREATE、ALTER或DROP設定檔PUBLIC DATABASE LINKCREATE或DROP公有資料庫連結PUBLIC SYNONYMCREATE或DROP公有同義字ROLECREATE、ALTER、DROP或SET角色ROLLBACK SEGMENTCREATE、ALTER或DROP復原段SEQUENCECREATE或DROP序列SESSION登入和退出SYNONYMCREATE或DROP同義字SYSTEM AUDIT系統許可權的AUDIT或NOAUDITSYSTEM GRANTGRANT或REVOKE系統許可權和角色TABLECREATE、DROP或TRUNCATE表TABLESPACECREATE、ALTER或DROP資料表空間TRIGGERCREATE、ALTER(啟用/禁用)、DROP觸發器；具有ENABLE ALL TRIGGERS或DISABLE ALL TRIGGERS的ALTER TABLETYPECREATE、ALTER和DROP類型以及類型主體USERCREATE、ALTER或DROP使用者VIEWCREATE或DROP視圖表2 顯式指定的語句類型語 句 選 項SQL 操 作ALTER SEQUENCE任何ALTER SEQUENCE命令ALTER TABLE任何ALTER TABLE命令COMMENT TABLE添加註釋到表、視圖、物化視圖或它們中的任何列DELETE TABLE刪除表或視圖中的行EXECUTE PROCEDURE執行程式包中的過程、函數或任何變數或遊標GRANT DIRECTORYGRANT或REVOKE DIRECTORY對象上的許可權GRANT PROCEDUREGRANT或REVOKE過程、函數或程式包上的許可權GRANT SEQUENCEGRANT或REVOKE序列上的許可權GRANT TABLEGRANT或REVOKE表、視圖或物化視圖上的許可權GRANT TYPEGRANT或REVOKE TYPE上的許可權INSERT TABLEINSERT INTO表或視圖LOCK TABLE表或視圖上的LOCK TABLE命令SELECT SEQUENCE引用序列的CURRVAL或NEXTVAL的任何命令SELECT TABLESELECT FROM表、視圖或物化視圖UPDATE TABLE在表或視圖上執行UPDATE一些樣本可以協助讀者更清楚地瞭解所有這些選項。在樣本資料庫中，使用者KSHELTON具有HR模式和其他模式中所有表上的許可權。允許 KSHELTON建立其中一些表上的索引，但如果有一些與執行計畫改動相關的效能問題，則需要知道何時建立這些索引。可以使用如下命令審計 KSHELTON建立的索引：SQL> audit index by kshelton;Audit succeeded.後面的某一天，KSHELTON在HR.JOBS表上建立了一個索引：SQL> create index job_title_idx on hr.jobs(job_title);Index created.檢查資料字典視圖DBA_AUDIT_TRAIL中的審計跟蹤，可以看到KSHELTON實際上在8月12日的5:15 P.M.建立了索引：SQL> select username, to_char(timestamp,‘MM/DD/YY HH24:MI‘) Timestamp,2      obj_name, action_name, sql_text from dba_audit_trail3  where username = ‘KSHELTON‘;USERNAME    TIMESTAMP        OBJ_NAME         ACTION_NAME      SQL_TEXT---------  --------------  --------------  --------------  ----------------KSHELTON    08/12/07 17:15  JOB_TITLE_IDX   CREATE INDEX     create index hr.job_title_idx onhr.jobs(job_title)1 row selected.注意：從Oracle Database 11g開始，只有在初始參數AUDIT_TRAIL被設定為DB_EXTENDED時，才填充DBA_AUDIT_TRAIL中的列SQL_TEXT和SQL_BIND。預設情況下，AUDIT_TRAIL的值是DB。為了關閉HR.JOBS表上KSHELTON的審計，可以使用noaudit命令，如下所示：SQL> noaudit index by kshelton;Noaudit succeeded.也可能希望按常規方式審計成功的和不成功的登入，這需要兩個audit命令：SQL> audit session whenever successful;Audit succeeded.SQL> audit session whenever not successful;Audit succeeded.2.許可權審計審計系統許可權具有與語句審計相同的基本文法，但審計系統許可權是在sql_statement_clause中，而不是在語句中，指定系統許可權。例如，可能希望將ALTER TABLESPACE許可權授予所有的DBA，但希望在發生這種情況時產生審計記錄。啟用對這種許可權的審計的命令看起來類似於語句審計：SQL> audit alter tablespace by access whenever successful;Audit succeeded.每次成功使用ALTER TABLESPACE許可權時，都會將一行內容添加到SYS.AUD$。使用SYSDBA和SYSOPER許可權或者以SYS使用者串連到資料庫的系統管理員可以利用特殊的審計。為了啟用這種額外的審計層級，可以設定初始參數AUDIT_SYS_OPERATIONS為TRUE。這種審計記錄發送到與作業系統審計記錄相同的位置。因此，這個位置是和作業系統相關的。當使用其中一種許可權時執行的所有SQL語句，以及作為使用者SYS執行的任何SQL語句，都會發送到作業系統審計位置。模式對象審計審計對各種模式對象的訪問看起來類似於語句審計和許可權審計：AUDIT schema_object_clause BY {SESSION | ACCESS}WHENEVER [NOT] SUCCESSFUL;schema_object_clause指定對象訪問的類型以及訪問的對象。可以審計特定對象上14種不同的操作類型，下表中列出了這些操作。對 象 選 項說    明ALTER改變表、序列或物化視圖AUDIT審計任何對象上的命令COMMENT添加註釋到表、視圖或物化視圖DELETE從表、視圖或物化視圖中刪除行EXECUTE執行過程、函數或程式包FLASHBACK執行表或視圖上的閃回操作GRANT授予任何類型對象上的許可權INDEX建立表或物化視圖上的索引INSERT將行插入表、視圖或物化視圖中LOCK鎖定表、視圖或物化視圖READ對DIRECTORY對象的內容執行讀操作RENAME重新命名表、視圖或過程SELECT從表、視圖、序列或物化視圖中選擇行UPDATE更新表、視圖或物化視圖如果希望審計HR.JOBS表上的所有insert和update命令，而不管誰進行中更新，則每次該動作發生時，都可以使用如下所示的audit命令：SQL> audit insert, update on hr.jobs by access whenever successful;Audit successful.使用者KSHELTON決定向HR.JOBS表添加兩個新行：SQL> insert into hr.jobs (job_id, job_title, min_salary, max_salary)2  values (‘IN_CFO‘,‘Internet Chief Fun Officer‘, 7500, 50000);1 row created.SQL> insert into hr.jobs (job_id, job_title, min_salary, max_salary)2  values (‘OE_VLD‘,‘Order Entry CC Validation‘, 5500, 20000);1 row created.查看DBA_AUDIT_TRAIL視圖，可以看到KSHELTON會話中的兩個insert命令：USERNAME   TIMESTAMP      OWNER    OBJ_NAME   ACTION_NAMESQL_TEXT---------- -------------- -------- ---------- ------------------------------------------------------------------------------KSHELTON   08/12/07 22:54 HR       JOBS       INSERTinsert into hr.jobs (job_id, job_title, min_salary, max_salary)values (‘IN_CFO‘,‘Internet Chief Fun Officer‘, 7500, 50000);KSHELTON   08/12/07 22:53 HR       JOBS       INSERTinsert into hr.jobs (job_id, job_title, min_salary, max_salary)values (‘OE_VLD‘,‘Order Entry CC Validation‘, 5500, 20000);KSHELTON   08/12/07 22:51                     LOGON3 rows selected. 4.細粒度的審計從Oracle9i開始，通過引入細粒度的對象審計，或稱為FGA，審計變得更為關注某個方面，並且更為精確。由稱為DBMS_FGA的PL/SQL程式包實現FGA。使用標準的審計，可以輕鬆發現訪問了哪些對象以及由誰訪問，但無法知道訪問了哪些行或列。細粒度的審計可解決這個問題，它不僅為需要訪問的行指定謂詞(或where子句)，還指定了表中訪問的列。通過只在訪問某些行和列時審計對錶的訪問，可以極大地減少審計表條目的數量。程式包DBMS_FGA具有4個過程：ADD_POLICY添加使用謂詞和審計列的審計策略DROP_POLICY刪除審計策略DISABLE_POLICY禁用審計策略，但保留與表或視圖關聯的策略ENABLE_POLICY啟用策略使用者TAMARA通常每天訪問HR.EMPLOYEES表，尋找僱員的電子郵件地址。系統管理員懷疑TAMARA正在查看經理們的薪水資訊，因此他們建立一個FGA策略，用於審計任何經理對SALARY列的任何訪問：begindbms_fga.add_policy(object_schema =>   ‘HR‘,object_name =>     ‘EMPLOYEES‘,policy_name =>     ‘SAL_SELECT_AUDIT‘,audit_condition => ‘instr(job_id,‘‘_MAN‘‘) > 0‘,audit_column =>    ‘SALARY‘);end;可以使用資料字典視圖DBA_FGA_AUDIT_TRAIL訪問細粒度審計的審計記錄。如果一般需要查看標準的審計行和細粒度的審計行，則資料字典視圖DBA_COMMON_AUDIT_TRAIL結合了這兩種審計類型中的行。繼續看樣本，使用者TAMARA運行了如下兩個SQL查詢：SQL> select employee_id, first_name, last_name, email from hr.employees2     where employee_id = 114;EMPLOYEE_ID FIRST_NAME           LAST_NAME                 EMAIL----------- ------------------ ---------------------   --------------114    Den                   Raphaely                  DRAPHEAL1 row selected.SQL> select employee_id, first_name, last_name, salary from hr.employees2     where employee_id = 114;EMPLOYEE_ID FIRST_NAME           LAST_NAME                     SALARY----------- ------------------ -----------------------   ----------114    Den                   Raphaely                       110001 row selected.第一個查詢訪問經理資訊，但沒有訪問SALARY列。第二個查詢與第一個查詢相同，但是訪問了SALARY列，因此觸發了FGA策略，從而在審計跟蹤中產生了一行：SQL> select to_char(timestamp,‘mm/dd/yy hh24:mi‘) timestamp,2      object_schema, object_name, policy_name, statement_type3  from dba_fga_audit_trail4  where db_user = ‘TAMARA‘;TIMESTAMP        OBJECT_SCHEMA  OBJECT_NAME     POLICY_NAME       STATEMENT_TYPE--------------  -------------  -------------  ---------------- --------------08/12/07 18:07  HR               EMPLOYEES       SAL_SELECT_AUDIT SELECT1 row selected.因為在本章前面的VPD樣本中建立了細粒度的存取控制來阻止對SALARY列的未授權訪問，因此需要加倍檢查策略函數，確保仍然正確限制了SALARY資訊。細粒度的審計以及標準審計是確保首先正確建立授權策略的好方法。5.與審計相關的資料字典視圖下表包含了與審計相關的資料字典視圖。資料字典視圖說    明AUDIT_ACTIONS包含審計跟蹤動作類型代碼的描述，例如INSERT、DROP VIEW、DELETE、LOGON和LOCKDBA_AUDIT_OBJECT與資料庫中對象相關的審計追蹤記錄DBA_AUDIT_POLICIES資料庫中的細粒度審計策略DBA_AUDIT_SESSION與CONNECT和DISCONNECT相關的所有審計追蹤記錄DBA_AUDIT_STATEMENT與GRANT、REVOKE、AUDIT、NOAUDIT和ALTER SYSTEM命令相關的審計跟蹤條目DBA_AUDIT_TRAIL包含標準審計跟蹤條目。USER_AUDIT_TRAILUSER_TRAIL_AUDIT只包含已連線的使用者的審計行DBA_FGA_AUDIT_TRAIL細粒度審計策略的審計跟蹤條目                                                                      (續表)  資料字典視圖說    明DBA_COMMON_AUDIT_TRAIL將標準的審計行和細粒度的審計行結合在一個視圖中DBA_OBJ_AUDIT_OPTS對資料庫物件生效的審計選項DBA_PRIV_AUDIT_OPTS對系統許可權生效的審計選項DBA_STMT_AUDIT_OPTS對語句生效的審計選項6.保護審計跟蹤審計跟蹤自身需要受到保護，特別是在非系統使用者必須訪問表SYS.AUD$時。內建的角色DELETE_ANY_CATALOG是非SYS使用者可以訪問審計跟蹤的一種方法(例如，歸檔和截取審計跟蹤，以確保它不會影響到SYS資料表空間中其他對象的空間需求)。為了建立對審計跟蹤自身的審計，以SYSDBA身份串連到資料庫，並運行下面的命令：SQL> audit all on sys.aud$ by access;Audit succeeded.現在，所有針對錶SYS.AUD$的動作，包括select、insert、update和delete，都記錄在SYS.AUD$自身中。但是，您可能會問，如果某個人刪除了標識對錶SYS.AUD$訪問的審計記錄，這時會發生什嗎？此時將刪除表中的行，但接著插入另一行，記錄行的刪除。因此，總是存在一些針對SYS.AUD$表的(有意的或偶然的)活動的證據。此外，如果將AUDIT_SYS _OPERATIONS設定為True，使用as sysdba、as sysoper或以SYS自身串連的任何會話將記錄到作業系統審計位置中，甚至Oracle DBA可能都無法訪問該位置。因此，有許多合適的安全措施，用於確保記錄資料庫中所有許可權的活動，以及隱藏該活動的任何嘗試。7.啟用增強審計從Oracle Database 11g開始，資料庫配置助手(Database Configuration Assistant，DBCA)很容易啟用預設的(增強)審計。雖然記錄審計資訊有一些系統開銷，但相容性需求(例如，Sarbanes-Oxley法案中規定的相容性需求)要求嚴格監控所有業務操作，包括資料庫中與安全相關的操作。可以在建立資料庫時或在資料庫已經建立之後使用DBCA配置預設審計。如果已經改變了很多審計設定，並想要將審計選項重設為基準值，則在資料庫已建立之後使用DBCA配置預設審計就非常有用。除將初始參數AUDIT_TRAIL的值設定為DB外，預設審計設定還審計audit role命令本身。另外，在Audited Privileges選項卡的Oracle Enterprise Manager Audit Settings頁面中，可以查看預設的審計許可權。補充說明：8、執行個體講解8.1、啟用審計審計相關的表安裝   SQLPLUS> connect / AS SYSDBA   SQLPLUS> select * from sys.aud$;     --沒有記錄返回    SQLPLUS> select * from dba_audit_trail;   - 沒有記錄返回  如果做上述查詢的時候發現表不存在，說明審計相關的表還沒有安裝，需要安裝。   SQLPLUS> connect / as sysdba   SQLPLUS> @$ORACLE_HOME/rdbms/admin/cataudit.sql  審計表安裝在SYSTEM資料表空間。所以要確保SYSTEM資料表空間又足夠的空間存放審計資訊。   安裝後要重啟資料庫 將審計相關的表移動到其他資料表空間 由於AUD$表等審計相關的表存放在SYSTEM資料表空間，因此為了不影響系統的效能，保護SYSTEM資料表空間，最好把AUD$移動到其他的資料表空間上。可以使用下面的語句來進行移動： sql>connect / as sysdba;sql>alter table aud$ move tablespace <new tablespace>;sql>alter index I_aud1 rebuild online tablespace <new tablespace>;SQL> alter table audit$ move tablespace <new tablespace>;SQL> alter index i_audit rebuild online tablespace <new tablespace>;SQL> alter table audit_actions move tablespace <new tablespace>;SQL> alter index i_audit_actions rebuild online tablespace <new tablespace>;SQL> conn /as sysdbaSQL> show parameter auditNAME                                 TYPE        VALUE------------------------------------ ----------- ------------------------------audit_file_dest                      string      /u01/app/oracle/admin/ORCL/adumpaudit_sys_operations                 boolean     FALSEaudit_syslog_level                   stringaudit_trail                          string      NONESQL> alter system set audit_sys_operations=TRUE scope=spfile;    --審計系統管理使用者(以sysdba/sysoper角色登陸)SQL> alter system set audit_trail=db,extended scope=spfile;SQL> startup force;SQL> show parameter auditNAME                                 TYPE        VALUE------------------------------------ ----------- ------------------------------audit_file_dest                      string      /u01/app/oracle/admin/ORCL/adumpaudit_sys_operations                 boolean     TRUEaudit_syslog_level                   stringaudit_trail                          string      DB, EXTENDED          8.2、開始審計SQL> conn /as sysdbaSQL> audit all on t_test;SQL> conn u_testSQL> select * from t_test;SQL> insert into u_test.t_test (c2,c5) values (‘test1‘,‘2‘);SQL> commit;SQL> delete from u_test.t_test;SQL> commit;SQL> conn /as sysdbaSQL> col DEST_NAME format a30col OS_USERNAME format a15col USERNAME format a15col USERHOST format a15col TERMINAL format a15col OBJ_NAME format a30col SQL_TEXT format a60SQL> select OS_USERNAME,username,USERHOST,TERMINAL,TIMESTAMP,OWNER,obj_name,ACTION_NAME,sessionid,os_process,sql_text from dba_audit_trail;sql> audit select table by u_test by access;如果在命令後面添加by user則只對user的操作進行審計,如果省去by使用者,則對系統中所有的使用者進行審計(不包含sys使用者).例：AUDIT DELETE ANY TABLE;    --審計刪除表的操作AUDIT DELETE ANY TABLE WHENEVER NOT SUCCESSFUL;    --只審計刪除失敗的情況AUDIT DELETE ANY TABLE WHENEVER SUCCESSFUL;    --只審計刪除成功的情況AUDIT DELETE,UPDATE,INSERT ON user.table by test;    --審計test使用者對錶user.table的delete,update,insert操作8.3、撤銷審計SQL> noaudit all on t_test;9、審計語句多層環境下的審計：appserve-應用伺服器，jackson-clientAUDIT SELECT TABLE BY appserve ON BEHALF OF jackson;審計串連或中斷連線：AUDIT SESSION;AUDIT SESSION BY jeff, lori;    -- 指定使用者審計許可權(使用該許可權才能執行的操作)：AUDIT DELETE ANY TABLE BY ACCESS WHENEVER NOT SUCCESSFUL;AUDIT DELETE ANY TABLE;AUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE, EXECUTE PROCEDURE BY ACCESS WHENEVER NOT SUCCESSFUL;對象審計：AUDIT DELETE ON jeff.emp;AUDIT SELECT, INSERT, DELETE ON jward.dept BY ACCESS WHENEVER SUCCESSFUL;取消審計：NOAUDIT session;NOAUDIT session BY jeff, lori;NOAUDIT DELETE ANY TABLE;NOAUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE,EXECUTE PROCEDURE;NOAUDIT ALL;    -- 取消所有statement審計NOAUDIT ALL PRIVILEGES;    -- 取消所有許可權審計NOAUDIT ALL ON DEFAULT;    -- 取消所有對象審計10、清除審計資訊DELETE FROM SYS.AUD$;DELETE FROM SYS.AUD$ WHERE obj$name=‘EMP‘;11、審計視圖STMT_AUDIT_OPTION_MAP    -- 審計選項類型代碼AUDIT_ACTIONS    -- action代碼ALL_DEF_AUDIT_OPTS    -- 對象建立時預設的對象審計選項DBA_STMT_AUDIT_OPTS    -- 當前資料庫系統審計選項DBA_PRIV_AUDIT_OPTS    -- 許可權審計選項DBA_OBJ_AUDIT_OPTS    USER_OBJ_AUDIT_OPTS    -- 對象審計選項DBA_AUDIT_TRAIL    USER_AUDIT_TRAIL    -- 審計記錄DBA_AUDIT_OBJECT    USER_AUDIT_OBJECT    -- 審計對象列表DBA_AUDIT_SESSION    USER_AUDIT_SESSION    -- session審計DBA_AUDIT_STATEMENT    USER_AUDIT_STATEMENT    -- 語句審計DBA_AUDIT_EXISTS    -- 使用BY AUDIT NOT EXISTS選項的審計DBA_AUDIT_POLICIES    -- 審計POLICIESDBA_COMMON_AUDIT_TRAIL    -- 標準審計+精細審計12、將審計結果表從system資料表空間裡移動到別的資料表空間上實際上sys.aud$表上包含了兩個lob欄位，並不是簡單的move table就可以。下面是具體的過程:alter table sys.aud$ move tablespace users;alter table sys.aud$ move lob(sqlbind) store as( tablespace USERS);alter table sys.aud$ move lob(SQLTEXT) store as( tablespace USERS);alter index sys.I_AUD1 rebuild tablespace users;

 

oracle審計詳解-轉