Oracle 数据库在其标准版和企业版数据库中均提供了强健的审计支持。审计记录包括有关已审计的操作、执行操作的用户以及操作的时间和日期的信息。审计记录可以存储在数据库审计线索中或操作系统上的文件上。标准审计包括有关权限、模式、对象和语句的操作。
Oracle 建议将审计线索写入到操作系统文件中,这是因为这种配置在源数据库系统上造成的开销最小。要启用数据库审计,应将初始化参数 AUDIT_TRAIL 设置为以下任一值:
AUDIT_TRAIL 设置
参数值 含义
DB:启用数据库审计并将所有审计记录指向数据库审计线索 (SYS.AUD$) 中,始终写入到操作系统审计线索的记录除外
DB_EXTENDED:完成 AUDIT_TRAIL=DB 的全部操作并填充 SYS.AUD$ 表的 SQL 绑定和 SQL 文本列
XML:启用数据库审计并将所有审计记录以 XML 格式指向一个操作系统文件
XML_EXTENDED:完成 AUDIT_TRAIL=XML 的全部操作,添加 SQL 绑定和 SQL 文本列
OS(推荐):启用数据库审计并将所有审计记录指向一个操作系统文件
此外,应设置以下数据库参数:
Init.ora 参数:AUDIT_FILE_DEST — 指定操作系统审计线索位置的动态参数。Unix/Linux 上的默认位置为 $OH/admin/$ORACLE_SID/adump。Windows 上默认为事件日志。为获得最佳性能,它应当引用磁盘上的一个目录,该目录在本地附加到运行 Oracle 实例的主机上。
Init.ora 参数:AUDIT_SYS_OPERATIONS — 启用对用户 SYS 以及使用 SYSDBA 或 SYSOPER 权限进行连接的用户发出的操作的审计。审计线索数据写入到操作系统审计线索中。该参数应当设为 true。
有关 Oracle 数据库审计的更多信息和最佳实践,请阅读 Oracle Audit Vault OTN 页面上的最佳实践白皮书。有关数据库审计的详细信息,见介绍性的 Oracle 数据库两日速成和安全性指南以及 Oracle 数据库安全性指南。