细粒度审计 (FGA)(通过 Oracle9i 引入)可以理解为“基于策略的审计”。与标准的审计功能相反,FGA 可用于指定生成审计记录必需的条件:
FGA 策略通过使用“dbms_fga”程序包以编程方式绑定到对象(表、视图)。类似于用于通过 VPD ("dbms_rls") 进行访问控制的程序包,它允许您创建任何需要的条件
FGA 策略通过使用“dbms_fga”程序包以编程方式绑定到对象(表、视图)。类似于用于通过 VPD ("dbms_rls") 进行访问控制的程序包,它允许您创建任何需要的条件
一、创建策略
语法:
DBMS_FGA.ADD_POLICY( object_schema VARCHAR2, --要审计对象所在用户的名称,如果是空,就默认是当前用户 object_name VARCHAR2, --要审计的对象 policy_name VARCHAR2, --审计策略的名称 audit_condition VARCHAR2, --制定一个布尔条件,若为空,就表示true,即对所有行为 audit_column VARCHAR2, --执行一列或多列,包括隐藏列。未指定表示所有列 handler_schema VARCHAR2, --如果违反策略时要向其他用户发送告警,执行此用户名 handler_module VARCHAR2, --指定处理措施的名称。包含处理措施所在的包。 --不能造成某个动作死循环或者启用、禁用细粒度审计策略,否则报错ora1000、36、28144 enable BOOLEAN, --启用或禁用策略,默认为ture,即启用 statement_types VARCHAR2,--指定要审计的动作,如insert、update、delete、select audit_trail BINARY_INTEGER IN DEFAULT,--指定审计记录存储位置以及是否统计fga_log$的lsqltext和lsqlbind列;如果指定audit_Trail为xml,会将xml文件写入到audit_File_Dest参数指定位置;对只读数据库,oracle将审计记录写入xml格式文件,不管audit_trail如何设置 audit_column_opts BINARY_INTEGER IN DEFAULT);--如果制定了多行,该参数判断是否审计所有或单独的行(DBMS_FGA.ALL_COLUMNS和DBMS_FGA.ANY_COLUMNS两个值)
例句:
BEGIN
DBMS_FGA.ADD_POLICY(
object_schema => 'HR',
object_name => 'EMPLOYEES',
policy_name => 'p_hr_employees',
enable => TRUE,
statement_types => 'INSERT, UPDATE, SELECT, DELETE',
audit_trail => DBMS_FGA.DB);
END;
/
二、删除策略
DBMS_FGA.DROP_POLICY( object_schema VARCHAR2, --要审计对象所在用户的名称,如果是空,就默认是当前用户 object_name VARCHAR2, --要审计的对象 policy_name VARCHAR2 ); --审计策略的名称
三、禁用策略
DBMS_FGA.DISABLE_POLICY( object_schema VARCHAR2, --要审计对象所在用户的名称,如果是空,就默认是当前用户 object_name VARCHAR2, --要审计的对象 policy_name VARCHAR2 ); --审计策略的名称
四、启用策略
DBMS_FGA.ENABLE_POLICY( object_schema VARCHAR2, --要审计对象所在用户的名称,如果是空,就默认是当前用户 object_name VARCHAR2, --要审计的对象 policy_name VARCHAR2, --审计策略的名称 enable BOOLEAN); --启用
五、查询策略
SELECT OBJECT_SCHEMA, --要审计对象所在用户的名称
OBJECT_NAME, --要审计的对象
POLICY_OWNER, --审计策略的拥有者
POLICY_NAME, --审计策略的名称
POLICY_TEXT, --审计内容
POLICY_COLUMN, --执行一列或多列,包括隐藏列。未指定表示所有列
PF_SCHEMA, --
PF_PACKAGE,
PF_FUNCTION,
ENABLED,
SEL,
INS,
UPD,
DEL,
AUDIT_TRAIL,
POLICY_COLUMN_OPTIONS
FROM DBA_AUDIT_POLICIES;
