Oracle 细粒度审计监控表操作记录

1. 首先我们建立一个简单的表，我们将为这张表添加FGA审计策略。

create table  xx.test(a varchar2(100),b varchar2(100),c varchar2(100));

2. 接着我们为其添加审计策略：

--为表test添加了一个名为test_fga的审计策略，这个策略将监视对test的所有查询，新增，更改以及删除动作。
begin
dbms_fga.add_policy(object_schema => 'xx', --schema名(默认当前操作用户)
object_name => 'test', --被操作object对象
policy_name => 'test_fga', --policy名(唯一)
audit_condition => NULL,
audit_column    => NULL, --监视的字段(默认为全部)
handler_schema => NULL,
handler_module => NULL,
enable => TRUE,
statement_types => 'select,insert,update,delete',--受影响的操作
audit_trail => dbms_fga.DB_EXTENDED, --默认值
audit_column_opts => dbms_fga.ANY_COLUMNS); --默认值
end;

注意：默认情况下，用户没有dbms_fga的执行权限。如果想在用户下使用dbms_fga，需要已sys登录，并将包的执行权限赋给该用户。grant execute on dbms_fga to xx;

3. 测试select语句的审计信息。

执行查询语句 select * from xx.test;
--之后，我们用以下来检查审计视图中的信息：
SQL> select db_user,os_user,object_schema,object_name,policy_name,scn,sql_text,sql_bind,extended_timestamp from DBA_FGA_AUDIT_TRAIL;
-------------------------------------------------------------------------------------------------
DB_USER OS_USER OBJECT_SCHEMA OBJECT_NAME POLICY_NAME SCN SQL_TEXT SQL_BIND EXTENDED_TIMESTAMP
XX zhangsan XX TEST BEN_AUDIT_FGA 11360993432130 "select * from xx.test
"  23-JAN-13 02.35.12.508666 PM +08:00

审计策略记录了我们这一查询的数据库用户(xx),操作系统用户(zhangsan),表所属于的schema(xx),被审计表的名称(test),审计策略的名称(TEST_FGA),执行查询时的系统SCN（11360993432130 ），执行查询的SQL语句(select from xx.test),以及一个精确的查询时刻(23-JAN-13 02.35.12.508666 PM +08:00)*

4. 测试insert语句的审计信息：

执行 INSERT INTO XX.TEST(A,B,C) VALUES(1,2,3);
这时候我们先不提交插入，也就是先不commit，直接查询审计表，发现虽然我们还没有提交，但是审计信息已经有了
-------------------------------------------------------------------------------------------------
XX ZHANGSAN XX TEST TEST_FGA 11360993534082 "INSERT INTO XX.TEST(A,B,C) VALUES(1,2,3)
"  23-JAN-13 02.42.04.036896 PM +08:00

我们可以发现，即使我们回滚了这次insert(roll back)，最终不向表中插入任何数据，这行审计信息依然会保留下来。这表示任何对该表操作的尝试，无论是否成功，都会被我们记录下来。这是一个严肃的审计的基本要求。

很多sql是带参数的，我们可以通过审计信息表中的 sql_bind 字段来查看具体执行sql所使用的参数的

注意：针对繁忙表开启审计功能要注意system表空间的情况，或者将审计日志表指定到其他表空间。

可以使用审计功能监控表操作的情况尽量不采用触发器方式。