《Orace审计FGA.docxVIP

在本系列的前两个部分中，我向你介绍了细粒度审计 (FGA) 的概念，他用来在 Oracle9i Database 和更高版本中跟踪选定的语句。我还说明了怎么在复杂的环境中（比如说在一个 Web 应用程式内部）通过应用程式上下文和客户端标识符来使用这个特性。这两篇文章为你提供了足够的信息，使你能为几乎所有类型的数据库系统（无论他有多复杂）构建一个 FGA 设置程式。在这个第三部分，同时也是最后一部分中，我将说明 Oracle Database 10g 为表带来的 FGA 增强。　　　　Oracle9i Database 中的 FGA　　让我们简要地重述一下 FGA 的好处。关于完整的讨论，请参考本系列的第 1 部分和第 2 部分。　　　　正规审计（通过 AUDIT 语句）记录使用的语句 ? 如 SELECT 或 INSERT ? 及谁发出他、从哪一个终端、什么时候等等。然而，信息最重要的部分 ? 哪条特定记录被修改了，及数据本身的变化 ? 没有捕捉到。相反，许多用户编写触发器来捕捉变化前后的数据值，并把他们记录在用户自定义的表中。但因为触发器只可能在 DML 语句（如 insert、update 和 delete）上使用，所以访问的一个主要的方面 ? SELECT 语句 ? 不能通过这种途径来审计。　　　　因此 FGA 的价值在于：他只捕捉 SELECT 语句。和触发器和 Log Miner 工具一起，FGA 提供了一种机制来审计各种类型的值修改和不涉及到修改的数据访问。DL.bitsCN.com网管软件下载　　　　FGA 不仅填补了审计 SELECT 语句的空白，而且还提供了其他的一些引人注目的额外好处，这些好处使得数据库管理员的工作变得更加轻松。例如，FGA 允许一个用户自定义的过程在指定的审计条件出现的时候执行，因此你能认为他是 SELECT 语句上的一个触发器 ? 这是个在其他方式下没有提供的功能。这个技巧可能非常有用 ? 例如，所有时候当有人选择了收入超过 1 百万美元的员工的工资记录时，发送一封邮件给一个安全审计员，以在用户自定义的表中生成审计记录，这些表能不受限制地进行处理（这和 SYS 拥有的 FGA_LOG$ 表不同）；利用审计线索识别数据访问类型，以找出最可能的索引机制等等。　　　　由于这些及其他的原因，FGA 成为数据库管理员工具箱中最重要的工具之一。不过，在 Oracle9i Database 中，他缺少一个重要的特性：在 SELECT 语句之外的语句上使用。　　　　所有类型的 DML　　在 Oracle Database 10g 中，FGA 已变得非常完善 ? 他能审计所有类型的 DML 语句，而不只是 SELECT。　　　　让我们看一个例子。在本系列的第 1 部分中，我介绍了一个名称为 ACCOUNTS 的表。在那个表上定义的 FGA 策略为：　　　　begin　　　 dbms_fga.add_policy ( www.bitsCN.com　　　　　object_schema　 = ’BANK’,　　　　　object_name　　 = ’ACCOUNTS’,　　　　　policy_name　　 = ’ACCOUNTS_ACCESS’,　　　　　audit_column　　= ’BALANCE’,　　　　　audit_condition = ’BALANCE = 11000’　　　);　　end;　　　　在 Oracle 9i Database 下，这个策略只能审计 SELECT 语句。然而，在 Oracle Database 10g 中，你能扩展他，使他包含 INSERT、UPDATE 和 DELETE。你能通过指定一个新的参数来实现这个目的：　　　　statement_types = ’INSERT, UPDATE, DELETE, SELECT’　　　　这个参数将在所有包括的语句类型上启用审计。你甚至可能考虑为每种语句类型创建独立的策略，这将允许你随意地启用和禁用策略 ? 尤其是，控制审计线索的创建，以管理他们占用的空间。不过，statement_type 参数默认情况下只审计 SELECT 语句。　　　　在策略中添加新的参数之后，发出以下语句：　　　　update accounts set balance = 1200 where balance = 3000;　　　　这将使一条记录插入到 FGA_LOG$ 表中。注意这条记录是由一个自动事务插入的；即使你回滚 update 语句，这条记录也将存在。你能从另一个会话来检查线索是否存在。中国网管联盟　　　　select lsqltext from fga_log$;　　　　LSQLTEXT　　---------------------------