審計(jì)的作用

    1．審查可疑的活動(dòng)
    2．監(jiān)視和收集關(guān)于指定數(shù)據(jù)庫(kù)活動(dòng)的數(shù)據(jù)

審計(jì)的類型

    1．語(yǔ)句審計(jì)（statement auditing）
    2．權(quán)限審計(jì)（privilege auditing）
    3．對(duì)象審計(jì)（object auditing）

審計(jì)的信息

    aud$表記錄的審計(jì)信息包括。
    sessionid：會(huì)話的數(shù)字id。
    entryid：審計(jì)信息項(xiàng)的id。
    statement：每個(gè)執(zhí)行的命令的數(shù)字id。
    timestap#：設(shè)計(jì)信息生成的日期和時(shí)間。
    userid：被審計(jì)的用戶使用的oracle用戶id。
    userhost：被審計(jì)的用戶使用的數(shù)據(jù)庫(kù)例程的數(shù)字id。
    terminal：被審計(jì)的用戶的操作系統(tǒng)終端描述字。
    action#：被審計(jì)的操作的標(biāo)識(shí)。
    returncode：每個(gè)被審計(jì)的命令執(zhí)行后的返回代碼，若為0，表明操作成功。
    obj$creator：被一個(gè)操作影響到的對(duì)象的創(chuàng)建者（對(duì)操作審計(jì)）。
    obj$name：被一個(gè)操作影響到的對(duì)象的名稱（對(duì)操作審計(jì)）。
    auth$privileges：使用的系統(tǒng)權(quán)限。
    auth$grantee：使用的對(duì)象權(quán)限。
    new$owner：在列new_name中命名的對(duì)象的所有者。
    new$name：在列new_name中命名的對(duì)象的名稱。
    ses$actions：會(huì)話小結(jié)的字符串，記錄了不同操作的成功和失敗的信息。
    ses$tid：會(huì)話的事務(wù)id。
    logoff$lread：在會(huì)話中執(zhí)行的邏輯讀個(gè)數(shù)。
    logoff$pread：在會(huì)話中執(zhí)行的物理讀個(gè)數(shù)。
    logoff$lwrite：在會(huì)話中執(zhí)行的邏輯寫(xiě)個(gè)數(shù)。
    logoff$dead：在會(huì)話中檢測(cè)到的死鎖個(gè)數(shù)。
    logoff$time：用戶退出系統(tǒng)的日期和時(shí)間。
    comment$text：對(duì)設(shè)計(jì)信息項(xiàng)的文本注釋。
    clientid：客戶機(jī)id。
    spare1：備用。
    spare2：備用。
    obj$label：與對(duì)象關(guān)聯(lián)的標(biāo)簽。
    ses$label：與會(huì)話關(guān)聯(lián)的標(biāo)簽。
    priv$used：執(zhí)行操作的系統(tǒng)權(quán)限。
    sessioncpu：會(huì)話占用的cpu時(shí)間。

審計(jì)的啟動(dòng)

    如圖8.34所示的編輯數(shù)據(jù)庫(kù)配置的【所有參數(shù)】選項(xiàng)卡。


審計(jì)的實(shí)例

    （1）以system用戶登錄【sqlplus worksheet】，執(zhí)行如下sql代碼，執(zhí)行結(jié)果如圖8.35所示。
    ―――――――――――――――――――――――――――――――――――――
    audit session;
    ―――――――――――――――――――――――――――――――――――――
    【參見(jiàn)光盤(pán)文件】：第8章/auditsession.sql。

    （2）以scott用戶登錄另外一個(gè)【sqlplus worksheet】。
    （3）查詢aud$表的內(nèi)容，主要的審計(jì)信息如下。
    ―――――――――――――――――――――――――――――――――――――
    sessionid：518
    entri/yid：1
    statement：1
    timestamp#：13-二月 -2003 11:28:24 am
    userid：scott
    terminal：mynetserver
    action#：100
    returncode：0
    comment$text：authenticated by: database; client address:
                  address=(protocol=tcp)(host=128.0.0.1)(port=1088))
    spare1：mynetserver/administrator
    priv$used：5
    ―――――――――――――――――――――――――――――――――――――