1、Oracle審計功能審計分類：Oracle中中審計總體上上可分為“標(biāo)準(zhǔn)審計”和“細(xì)粒度審計計”后者也稱為“基于政策的的審計”，在Oraclle10G之之后功能得到到很大增強。其中標(biāo)準(zhǔn)審計計可分為用戶級級審計和系統(tǒng)統(tǒng)級審計。用用戶級審計是是任何Oraacle用戶戶可設(shè)置的審審計，主要是是用戶針對自自己創(chuàng)建的數(shù)數(shù)據(jù)庫表或視視圖進(jìn)行審計計，記錄所有有用戶對這些些表或視圖的的一切成功和和(或)不成成功的訪問要要求以及各種種類型的SQQL操作。系系統(tǒng)級審計只只能由DBAA設(shè)置，用以以監(jiān)測成功或或失敗的登錄錄要求、監(jiān)測測GRANTT和REVOOKE操作以以及其他數(shù)據(jù)據(jù)庫級權(quán)限下下的操作。標(biāo)準(zhǔn)審計：2.1

2、分類：在ORACLEE中分別支持以以下三種標(biāo)準(zhǔn)準(zhǔn)審計類型： 語句句審計，對某某種類型的SSQL語句審審計，不指定定結(jié)構(gòu)或?qū)ο笙蟆?特權(quán)權(quán)審計，對執(zhí)執(zhí)行相應(yīng)動作作的系統(tǒng)特權(quán)權(quán)的使用審計計。 對象象審計，對一一特殊模式對對象上的指定定語句的審計計。這三種標(biāo)準(zhǔn)審計計類型分別對對如下3方面面進(jìn)行審計： 審計計語句的成功功執(zhí)行、不成成功執(zhí)行，或或者其兩者。 對每每一用戶會話話審計語句執(zhí)執(zhí)行一次或者者對語句每次次執(zhí)行審計一一次。 對全全部用戶或指指定用戶的活活動的審計。當(dāng)數(shù)據(jù)庫的審計計功能打開后后，在語句執(zhí)執(zhí)行階段產(chǎn)生生審計記錄。審計記錄包包含有審計的的操作、用戶戶執(zhí)行的操作作、操作的日日期和時間等等信息

3、。審計計記錄可存在在數(shù)據(jù)字典表表（稱為審計計記錄）或操操作系統(tǒng)審計計記錄中。數(shù)數(shù)據(jù)庫審計記記錄是在SYYS模式的AUDD$表中。2.2設(shè)置ORRACLE標(biāo)標(biāo)準(zhǔn)審計：下列步驟可以設(shè)設(shè)置ORACCLE的標(biāo)準(zhǔn)準(zhǔn)審計功能： 修改初始化參數(shù)數(shù)文件（innit.orra）如果使用服務(wù)器器參數(shù)文件使使用alteer sysstem sset= scoope=sppfile|both，詳詳情參照1.1節(jié)中關(guān)于于參數(shù)文件的的介紹），設(shè)設(shè)置 AUDDIT_TRRAIL參數(shù)數(shù)，并且重啟啟數(shù)據(jù)庫。AAUDIT_TRAILL的取值如下下： DB/TRUE：啟動審計功功能，并且把把審計結(jié)果存存放在數(shù)據(jù)庫庫的 SYSS.A

4、UD$ 表中 OS：啟動審審計功能，并并把審計結(jié)果果存放在操作作系統(tǒng)的審計計信息中 DB_EXTENNDED：具具有DB/TTRUE的功功能，另外填填寫AUD$的SQLBIIND和SQLTEEXT字段 NONNE/FALLSE：關(guān)閉閉審計功能2.設(shè)置AUDDIT_TRRAIL參數(shù)數(shù)：如果設(shè)置AUDDIT_TRRAIL = OS, 還需要修改改參數(shù)AUDDIT_FIILE_DEEST。如果操作系統(tǒng)支支持設(shè)置AUUDIT_TTRAIL=OS，文件件會自動存放放在AUDIIT_FILLE_DEST所指指定的目錄下下，并且文件件名包含進(jìn)程程的PID。 比如： AUDIT_FFILE_DDEST = $

5、ORAACLE_HHOME/rrdbms/auditt $ lls -l $ORACCLE_HOOME/rddbms/aaudit -rw-rw- 1 oraa92 dba 8811 Mar 17 099:57 oora_133264.aaud $ ps -eef|greep 132264 oraa92 133264 113235 0 09:56:433 ? 0:00 orracleVV92 (DDESCRIIPTIONN=(LOCCAL=Y) SQLL sellect sspid, progrram, uusernaame frrom v$proceess; SPID PRROGRAMM U

6、SSERNAMME - - - . 132664 ooracleefrhpp11 (TTNS V11-V3) oora92 3. 確認(rèn)審計計相關(guān)的表是是否已經(jīng)安裝裝 SQLPLUUS coonnectt / ASS SYSDDBA SQLPLUUS seelect * froom syss.aud$; - 沒有記錄錄返回 SQLPLUUS seelect * froom dbaa_audiit_traail; - 沒有記記錄返回如果做上述查詢詢的時候發(fā)現(xiàn)現(xiàn)表不存在，說說明審計相關(guān)關(guān)的表還沒有有安裝，需要要安裝。SQLPLUSS connnect / as sysdbba SQLPPLUS $O

7、RAACLE_HHOME/rrdbms/adminn/cataaudit.sql 審計表安裝在SSYSTEMM表空間。所所以要確保SSYSTEMM表空間又足足夠的空間存存放審計信息息。4. 關(guān)閉并重重啟數(shù)據(jù)庫5. 設(shè)置所需需要的審計信信息下面是一個例子子SQL coonnectt systtem/maanagerr SQL grannt auddit syystem to sccott; SQL connnect sscott/tigerr SQL audiit sesssion; 停止審計：SQL nooauditt sesssion; 通常設(shè)置了標(biāo)準(zhǔn)準(zhǔn)審計后都是是通過Auddit語句開開啟

8、審計，使使用noauudit語句句收回審計。如下所示：對修改SC表結(jié)結(jié)構(gòu)或數(shù)據(jù)的的操作進(jìn)行審審計可使用如如下語句：AUDIE AALTER，UUPDATEE ON SSC;取消對SC表的的一切審計可可使用如下語語句：NOAUDITT ALL ON SCC;2.3設(shè)置審計計的實例（對對試圖嘗試口口令的訪問的的審計）：以下是一個審計計的實例，用用于記錄嘗試試通過野蠻嘗嘗試法破譯OORACLEE帳號口令的的例子：1. 修改審計計相關(guān)參數(shù)（參參照上面介紹紹的方法）2. 重啟數(shù)據(jù)據(jù)庫3. 設(shè)置審計計信息 SQLAUUDIT AALL BYY ACCEESS WHHENEVEER NOTT SUCCCES

9、SFUUL 4. 查詢AUUD$ SQL sselectt retuurncodde, acction#, useerid, userhhost, termiinal,ttimesttamp from auud$ RETURNNCODE ACCTION# USERRID USERHHOST TERMIINAL - - - - - 10117 1100 SCCOTT WPRRATA-BBR 10117 1100 SCCOTT WPRRATA-BBR 10117 1100 SCCOTT WPRRATA-BBR ORA-10017的含義義為錯誤的用用戶名口令。通過查看AAUD$表可可以清楚地看看到W

10、PRAATA-BRR嘗試破譯SCCOTT的口口令。可以通通過下面一個個存儲過程來來分析AUDD$表，找出出可疑的信息息：create or reeplacee procceduree AudiitLogiin(Sinnce Vaarcharr2,Timmes PLLS_Intteger)isUSER_IDD VARCCHAR2(20);cursor c1 iss seleect usserid,countt(*) ffrom ssys.auud$ whhere rreturnncode=10177 andd timeestampp#=too_datee(Sincce,yyyyy-mmm-dd)

11、 groupp by uuseridd;cursor C2 ISS Seleect usserhosst, teerminaal,TO_CHAR(timesstamp#,YYYYY-MM-DD:HHH24:MII:SS) from sys.aaud$ WWHERE returrncodee=10117 annd timmestammp#=tto_datte(Sinnce,yyyyy-mmm-dd) ANDD USERRID=USSER_IDD;ct PLS_INTEGGER;V_USERHHOST VVARCHAAR2(400);V_TERMIINAL VVARCHAAR(40);V_DATE

12、 VARCHHAR2(440);BEGIN OPEEN C1; dbmms_outtput.eenablee(); LOOP FETCHH C1 IINTO UUSER_IID,CT; EEXIT WWHEN CC1%NOTTFOUNDD; IIF(CT=TIMEES) THHEN DBMSS_OUTPPUT.PUUT_LINNE(USSER BRROKEN ALARMM:|UUSER_IID); OPENN C2; LOOPP FEETCH CC2 INTTO V_UUSERhOOST,V_TERMIINAL,VV_DATEE;DBMS_OUUTPUT.PUT_LLINE(CCHR(9)|H

13、OOST:|V_USSERHOSST|,TERM:|V_TERMIINAL|,TIMME:|V_DATTE); EXXIT WHHEN C22%NOTFFOUND; END LOOP; closse c2; EEND IFF; ENDD LOOPP; cloose c11;END;/一下是執(zhí)行結(jié)果果：SQLsett servverouttput oon;SQL exxecutee audiitlogiin(20004-011-01,2);USER BRROKEN ALARMM:SYS HOSTT:,TERRM:XUJJI,TIMME:20004-09-22:111:08:000 HOSTT:,

14、TERRM:XUJJI,TIMME:20004-09-22:111:08:001 HOSTT:,TERRM:XUJJI,TIMME:20004-09-22:111:09:229 HOSTT:,TERRM:XUJJI,TIMME:20004-09-22:111:09:229PL/SQL過過程已成功完完成。2.4將審計相相關(guān)的表移動動到其他表空空間：由于AUD$表表等審計相關(guān)關(guān)的表存放在在SYSTEEM表空間，因因此為了不影影響系統(tǒng)的性性能，保護SSYSTEMM表空間，最最好把AUDD$移動到其其他的表空間間上?？梢允故褂孟旅娴恼Z語句來進(jìn)行移移動：sqlconnnect / as sysdbba;

15、sqlaltter taable aaud$ mmove ttablesspace ;sqlaltter inndex II_aud11 rebuuild oonlinee tabllespacce ;SQL allter ttable auditt$ movve tabblespaace ;SQL allter iindex i_auddit reebuildd onliine taablesppace ;SQL allter ttable auditt_actiions mmove ttablesspace ;SQL allter iindex i_auddit_acctionss reb

16、uuild oonlinee tabllespacce ;細(xì)粒度審計：細(xì)粒度審計 (FGA)（通通過 Oraacle9ii 引入）可可以理解為“基于政策的的審計”。與與標(biāo)準(zhǔn)的審計計功能相反，F(xiàn)FGA 可用用于指定生成成審計記錄必必需的條件：FGA 政策通通過使用“ddbms_ffga”程序序包以編程方方式綁定到對對象（表、視視圖）。類似似于用于通過過 VPD (dbmms_rlss) 進(jìn)行行訪問控制的的程序包，它它允許您創(chuàng)建建任何需要的的條件，例如如：僅當(dāng)以下下條件為真時時審計事件： 在早上九點到下下午六點之間間或在星期六六和星期日對對某個表進(jìn)行行了訪問。 使用了公司網(wǎng)絡(luò)絡(luò)外部的某個個 IP

17、地地址。 選定或更新了特特定列。 使用了該列的特特定值。 這將創(chuàng)建更有意意義的審計線線索，因為無無需記錄每一一個人對表的的每一次訪問問。從 Orracle 數(shù)據(jù)庫 110g 開始始，F(xiàn)GA 支持在一個個策略中使用用“選擇”、“插入”、“更新”和和“刪除”語語句的任意組組合。事實上上，綁定到表表的 FGAA 政策簡化化了審計政策策的管理，因因為這將只需需在數(shù)據(jù)庫中中對其更改一一次，不用在在每個應(yīng)用程程序中一次次次進(jìn)行。此外外。無論用戶戶通過何種方方式連接至數(shù)數(shù)據(jù)庫（通過過應(yīng)用程序、Web 接接口或通過 SQL*PPlus），其其操作都會記記錄下來。3.1 使用細(xì)細(xì)粒度審計： 1、創(chuàng)建建測試表：c

18、reatettableAACCOUNNT(AACT_NNO nummbernootnulll,CUST_IDD numbbernottnull,BALANCEE numbber(15,2);2、添加審計策策略：beginDBMS_FGGA.DROOP_POLLICY(oobjectt_scheema = TESST, objeect_naame = AACCOUNNT, poliicy_naame = AACCOUNNT_ACCCESS);end;這段代碼必須由由具有執(zhí)行程程序包 dbbms_fgga 權(quán)限的的用戶來執(zhí)行行。建議應(yīng)該該建立一個專專門的用戶來來專門負(fù)責(zé)添添加審計策略略。該過程有有

19、許多參數(shù)，具具體含義如下下：OBJECT_SCHEMMA對其定義了 FFGA 策略略的表或視圖圖的所有者OBJECT_NAME表或視圖的名稱稱POLICY_NAME策略的名稱，由由用戶自定義義 例如如，ACCOOUNTS_ACCESSSPOLICY_TEXT在添加策略時指指定的審計條條件 例例如，BALLANCE = 111000POLICY_COLUMMN審計列 例例如，BALLANCEENABLEDD如果啟用則為 YES，否否則為 NOO PF_SCHEEMA擁有策略處理器器模塊的模式式（如果存在在）PF_PACKKAGE處理器模塊的程程序包名稱（如如果存在）PF_FUNCCTION處理器

20、模塊的過過程名稱（如如果存在）3、在定義了策策略以后，當(dāng)當(dāng)用戶以通常常的方式對表表進(jìn)行查詢時時，如下所示示： select * froom bannk.acccountss; 審計線索記錄此此操作。可以以使用以下語語句查看線索索： select timesstamp, db_userr,os_userr,object_schemma,object_name,sql_texxtfrom dbba_fgaa_audiit_traail;TIMESTAAMP DBB_USERR OS_UUSER OOBJECTT_ OBJJECT_NN SQL_TEXT- - - - - -26-MAR-10TES

21、TT aanandaa TESST ACCOUUNT seelect * froom acccount注意名為 DBBA_FGAA_AUDIIT_TRAAIL 的新新視圖，它記記錄細(xì)粒度的的訪問信息。其中顯示了了審計事件的的時間標(biāo)記、查詢者的數(shù)數(shù)據(jù)庫用戶 ID、操作作系統(tǒng)用戶 ID、查詢詢中所使用表表的名稱和所所有者，最后后還有確切的的查詢語句。3.2審計列和和審計條件：默認(rèn)情況下會對對被審計對象象的所有列開開啟審計，當(dāng)當(dāng)任何一列被被訪問時都會會紀(jì)錄一條審審計信息，這這在現(xiàn)實情況況下不太常見見，因為這樣樣會使審計信信息表增長過過快造成存儲儲空間的壓力力，因此通常常都會設(shè)置審審計條件，當(dāng)當(dāng)條件觸

22、發(fā)時時再發(fā)起審計計。例如我們們可以對Acccountt表的Ballance列列設(shè)置審計條條件，當(dāng)訪問問該列并觸發(fā)發(fā)審計條件時時才進(jìn)行審計計。如下所示示：begindbms_fgga.addd_poliicy (object_schemma=TTEST,object_name=ACCCOUNT,policy_name=ACCCOUNT_ACCESSS,audit_ccolumnn = BALANNCE,audit_ccondittion = BAALANCEE = 111000 );end;該策略將在訪問問BALANNCE列并且且只有訪問列列值大于等于于110000時才發(fā)起審審計。因此根根據(jù)該條

23、件戶戶有如下不同同審計狀態(tài)：SQL 語句審計狀態(tài)select balannce frrom acccountt;進(jìn)行審計。用戶戶選擇了在添添加策略時所所指定的審計計列 BALLANCE。select * froom acccount;進(jìn)行審計。即使使用戶沒有明明確指定列 BALANNCE，* 也隱含地選選擇了它。select cust_id frrom acccountt wherre ballance TESTT,object_name = AACCOUNNT,policy_name = AACCOUNNT_ACCCESS );end;對于更改策略而而言，沒有隨隨取隨用的解解決方案。要要更改

24、策略中中的任何參數(shù)數(shù)，必須刪除除策略，再使使用更改后的的參數(shù)添加策策略。但是可可以暫時禁用用已有策略，如如下所示：begindbms_fgga.enaable_ppolicyy (object_schemma = TESTT,object_name = AACCOUNNT,policy_name = AACCOUNNT_ACCCESS,enable = FAALSE );end;若要重新啟用它它，可使用同同一函數(shù)，只只需將參數(shù) enablle 設(shè)置為為 TRUEE。3.5 FGAA 數(shù)據(jù)字典典視圖：FGA 策略的的定義位于數(shù)數(shù)據(jù)字典視圖圖 DBA_AUDITT_POLIICIES 中。該市途途

25、中各列含義義如下：SESSIONN_ID審計會話標(biāo)識符符；與 V$SESSIION 視圖圖中的會話標(biāo)標(biāo)識符不同TIMESTAAMP審計記錄生成時時的時間標(biāo)記記DB_USERR發(fā)出查詢的數(shù)據(jù)據(jù)庫用戶OS_USERR操作系統(tǒng)用戶USERHOSST用戶連接的機器器的主機名CLIENT_ID客戶標(biāo)識符（如如果由對打包包過程 dbbms_seessionn.set_identtifierr 的調(diào)用所所設(shè)置）EXT_NAMME外部認(rèn)證的客戶戶名稱，如 LDAP 用戶OBJECT_SCHEMMA對該表的訪問觸觸發(fā)了審計的的表所有者OBJECT_NAME對該表的 SEELECT 操作觸發(fā)了了審計的表名名稱PO

26、LICY_NAME觸發(fā)審計的策略略名稱（如果果對表定義了了多個策略，則則每個策略將將插入一條記記錄。在此情情況下，該列列顯示哪些行行是由哪個策策略插入的。)SCN記錄了審計的 Oraclle 系統(tǒng)更更改號SQL_TEXXT由用戶提交的 SQL 語語句 SQL_BINND由 SQL 語語句使用的綁綁定變量（如如果存在）3.6視圖和 FGA：假定在 ACCCOUNTSS 表上定義義視圖 VWW_ACCOOUNT 如如下： create view vw_acccountt as sselectt * frrom acccountt;現(xiàn)在，如果用戶戶從視圖中而而不是從表中中進(jìn)行選擇： select *

27、 froom vw_accouunt;您將看到以下審審計線索： select objecct_namme, sqql_texxt froom dbaa_fga_auditt_traiil;OBJECT_NAME SQL_TTEXT- -ACCOUNTT sselectt * frrom vww_accoount注意，是基表名名稱而不是視視圖名稱出現(xiàn)現(xiàn)在 OBJJECT_NNAME 列列中，因為視視圖中的選擇擇是從基表中中進(jìn)行選擇。但是，SQQL_TEXXT 列記錄錄了用戶提交交的實際語句句。如果只希望審計計對視圖的查查詢而不是對對表的查詢，可可以對視圖本本身建立策略略。通過將視視圖名稱而不不是

28、表的名稱稱傳遞給打包包的過程 ddbms_ffga.addd_pollicy 中中的參數(shù) oobjectt_namee，可以完成成這項工作。隨后 DBBA_FGAA_AUDIIT_TRAAIL 中的的 OBJEECT_NAAME 列將將顯示視圖的的名稱，并且且不會出現(xiàn)有有關(guān)表訪問的的附加記錄。3.7其它用途途：除了記錄對表的的選擇訪問，F(xiàn)FGA 還可可用于某些其其它情況： 可以對數(shù)據(jù)倉庫庫使用 FGGA，以捕獲獲特定的表、視圖或物化化視圖上發(fā)生生的所有語句句，這有助于于計劃索引。不需要到 V$SQLL 視圖去獲獲取這些信息息。即使 SSQL 語句句已經(jīng)超出了了 V$SQQL 的期限限，在 FG

29、GA 審計線線索中將會始始終提供它。 由于 FGA 捕獲綁定變變量，它可以以幫助了解綁綁定變量值的的模式，這有有助于設(shè)計直直方圖集合等等。 可以向?qū)徲嬚呋蚧?DBA 發(fā)送警告，這這有助于跟蹤蹤惡意應(yīng)用程程序。 由于 FGA 可以作為 SELECCT 語句的的觸發(fā)器，可可以在需要這這種功能的任任何時候使用用它。FGA在10GG中的增強：3.8.1 對對所有DMLL的審計： 在9i中中FGA只能能對Seleect語句進(jìn)進(jìn)行審計，而而不能對其他他DML語句句（Updaate、Deelete、Inserrt）進(jìn)行審審計，如果想想對其他DMML語句進(jìn)行行審計那么只只能采取數(shù)據(jù)據(jù)庫處發(fā)起的的形式來實現(xiàn)現(xiàn)。

30、在10GG中實現(xiàn)了對對所有DMLL語句的審計計，如下所示示：begin dbmss_fga.add_ppolicyy ( oobjectt_scheema = TTEST, oobjectt_namee = AACCOUNNT, ppolicyy_namee = AACCOUNNT_ACCCESS, aaudit_colummn = BBALANCCE, aaudit_condiition = BBALANCCE = 3000，statemeent_tyypes = INNSERT, UPDAATE, DDELETEE, SELLECT );end;通過stateement_typess =

31、INSERRT, UPPDATE, DELEETE, SSELECTT參數(shù)制定定了新的策略略，該策略可可以對Sellect之外外的所有DMML操作進(jìn)行行審計。因此此根據(jù)新的審審計條件和審審計策略會有有如下不同情情況：第 1 種情況況 之前：BALAANCE = 10000 用戶發(fā)出： update accouunt seet ballance = 12000 wheere ACCCOUNTT_NO = .舊的和新的 bbalancce 都小于于 3,0000，審計條條件不滿足；因此這條語語句將不會被被審計。第 2 種情況況 之前：BALAANCE = 10000 用戶發(fā)出： update ac

32、couunt seet ballance = 32000 wheere ACCCOUNTT_NO = .新的 balaance 大大于 3,0000，審計計條件滿足；因此這條語語句將 會被被審計。 第 3 種情況況 之前：BALAANCE = 32000 用戶發(fā)出： update accouunt seet ballance = 12000 wheere ACCCOUNTT_NO = .新的 balaance 小小于 3,0000，但舊舊的 ballance 大于 3,000。因因此審計條件件滿足，這條條語句將被審審計。 第 4 種情況況 用戶插入一行，其其中有 BAALANCEE = 300

33、00 結(jié)果果為 FALLSE），這這條語句不會會被審計。重重要注意事項項：假設(shè)該列列有一個大于于 3,0000 的默認(rèn)認(rèn)值時，這條條語句仍然不不會被審計，即即使插入行的的 balaance 列列值大于 33000。 注意對于DDML語句的的審計是由一一個自動事務(wù)務(wù)插入的；即即使回滾 DDML語句的操作，審計記錄也將將存在不會跟跟著回滾。3.8.2制定定相關(guān)的列策略略：在表 ACCOOUNT 上上定義的一個個策略，如下下： begin dbmss_fga.add_ppolicyy ( oobjectt_scheema = TTEST, objject_nname = ACCCOUNT,polic

34、y_name = ACCCOUNTT_SEL, aaudit_colummn = AACCOUNNT_NO, BALAANCE, aaudit_condiition = BBALANCCE = 3000, sstatemment_ttypes = SSELECTT );end;在某些情況下，列列的組合可能能很重要，而而不是某個特特定的列。以以上策略是在在 ACCOOUNT_NNO 和 BBALANCCE 上定義義的。那么如果用戶戶發(fā)出以下語語句： select balannce frrom acccountts wheere acccountt_no = 99955;這條語句將被審審計，因為

35、balannce 列被被選中，且余余額為 3,200，大大于 3,0000，滿足足審計條件。如果一個用戶想想查出在銀行行的總余額，他發(fā)出： select sum(bbalancce) frrom acccountt;這條查詢幾乎沒沒什么害處；它不明確指指出帳戶所有有者和帳戶余余額。因此安全策略略可能不會要要求審計這條條查詢。不過，這條條查詢 select balannce frrom acccountt wherre acccount_no = 9995必須被審計；因因為它明確地地指定了一個個帳戶。默認(rèn)認(rèn)地，所有語語句都被審計計（無論使用用了什么樣的的列組合）。這將創(chuàng)建大大量不需要的的審計線索

36、項項目，并可能能帶來一些空空間限制問題題。為了限制制它們，您可可以指定僅當(dāng)當(dāng)在查詢中使使用了希望的的列組合時才才開始審計。當(dāng)定義策略略時，您可以以使用一個新新的參數(shù)： audit_ccolumnn_optss = DDBMS_FFGA.ALLL_COLLUMNS這個參數(shù)將使策策略僅當(dāng)列 ACCOUUNT_NOO 和 BAALANCEE 在查詢中中都被訪問時時才創(chuàng)建審計計線索項目。例如，以下下查詢將產(chǎn)生生一個審計線線索項目。 select accouunt_noo, ballance from accouunt;但這條查詢不會會產(chǎn)生審計線線索項目。 select accouunt_noo fro

37、mm accoount;使用這個參數(shù)將將把審計的數(shù)數(shù)量限制在一一個更易管理理的大小。如如果希望采用用默認(rèn)的行為為 即任任意列被選中中時都進(jìn)行審審計，那么您您可以對同一一參數(shù)的使用用不同值。 audit_ccolumnn_optss = DDBMS_FFGA.ANNY_COLLUMNS3.8.3 與與標(biāo)準(zhǔn)審計的的結(jié)合： 通過制定定如下審計策策略實現(xiàn)標(biāo)準(zhǔn)準(zhǔn)審計與細(xì)粒粒度審計的結(jié)結(jié)合begin dbmss_fga.add_ppolicyy ( oobjectt_scheema = TESTT, oobjectt_namee = ACCOOUNT, ppolicyy_namee = ACCOOUNT_SSEL, aaudit_colummn = ACCOOUNT_NNO, BAALANCEE, aaudit_condiition = BALAANCE = 30000, sstatemment_ttypes = SELEECT, aaudit_colummn_optts = DBMS_FGA.AALL_COOLUMNSS, aaudit_traill = DB );end;通過指定auddit_trrail = DB參參數(shù)實現(xiàn)在細(xì)細(xì)粒度審計時時開啟標(biāo)準(zhǔn)審審計。在 OOraclee Dataabase 10g 中，標(biāo)準(zhǔn)審計也得得到了巨大的的改進(jìn)。通過過 AUDIIT 命令執(zhí)執(zhí)行標(biāo)準(zhǔn)