查看oracle数据库审计信息的语句

1、什么是审计审计Audit用于监视用户所执行的数据库操作;并且Oracle会将审计跟踪结果存放到OS文件默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/或数据库存储在system表空间中的SYS.AUD$表中;可通过视图dba_audit_trail查看中..默认情况下审计是没有开启的..不管你是否打开数据库的审计功能;以下这些操作系统会强制记录：用管理员权限连接Instance；启动数据库；关闭数据库..2、和审计相关的两个主要参数Audit_sys_operations：默认为false;当设置为true时;所有sys用户包括以sysdba;sysoper身份登录的用户的操作都会被记录;audit trail不会写在aud$表中;这个很好理解;如果数据库还未启动aud$不可用;那么像conn /as sysdba这样的连接信息;只能记录在其它地方..如果是windows平台;audti trail会记录在windows的事件管理中;如果是linux/unix平台则会记录在audit_file_dest参数指定的文件中..Audit_trail：None：是默认值;不做审计；DB：将audit trail 记录在数据库的审计相关表中;如aud$;审计的结果只有连接信息；DB_Extended：这样审计结果里面除了连接信息还包含了当时执行的具体语句；OS：将audit trail 记录在操作系统文件中;文件名由audit_file_dest 参数指定；XML：10g里新增的..注：这两个参数是static参数;需要重新启动数据库才能生效..3、审计级别当开启审计功能后;可在三个级别对数据库进行审计：Statement语句、Privilege权限、object对象..Statement：按语句来审计;比如audit table 会审计数据库中所有的create table;drop table;truncate table语句;alter session by cmy会审计cmy用户所有的数据库连接..Privilege：按权限来审计;当用户使用了该权限则被审计;如执行grant select any table to a;当执行了audit select any table语句后;当用户a 访问了用户b的表时如select from b.t会用到select any table权限;故会被审计..注意用户是自己表的所有者;所以用户访问自己的表不会被审计..Object：按对象审计;只审计on关键字指定对象的相关操作;如aduitalter;delete;drop;insert on cmy.t by scott; 这里会对cmy用户的t 表进行审计;但同时使用了by子句;所以只会对scott用户发起的操作进行审计..注意Oracle没有提供对schema中所有对象的审计功能;只能一个一个对象审计;对于后面创建的对象;Oracle则提供on default子句来实现自动审计;比如执行audit drop on default by access;后; 对于随后创建的对象的drop操作都会审计..但这个default会对之后创建的所有数据库对象有效;似乎没办法指定只对某个用户创建的对象有效;想比trigger可以对schema的DDL进行“审计”;这个功能稍显不足..4、审计的一些其他选项by access / by session：by access 每一个被审计的操作都会生成一条audit trail..by session 一个会话里面同类型的操作只会生成一条audit trail;默认为by session..whenever not successful：whenever successful 操作成功dba_audit_trail中returncode字段为0 才审计;whenever not successful 反之..省略该子句的话;不管操作成功与否都会审计..5、和审计相关的视图dba_audit_trail：保存所有的audit trail;实际上它只是一个基于aud$的视图..其它的视图dba_audit_session;dba_audit_object;dba_audit_statement都只是dba_audit_trail的一个子集..dba_stmt_audit_opts：可以用来查看statement审计级别的audit options;即数据库设置过哪些statement级别的审计..dba_obj_audit_opts;dba_priv_audit_opts视图功能与之类似all_def_audit_opts：用来查看数据库用on default子句设置了哪些默认对象审计..6、取消审计将对应审计语句的audit改为noaudit即可;如audit session whenever successful对应的取消审计语句为noaudit session whenever successful;8、实例讲解8.1、激活审计sqlplus / as sysdbaSQL> show parameter auditNAME TYPE VALUE------------------------------------ -----------------------------------------audit_file_dest string/u01/app/oracle/admin/ORCL/adumpaudit_sys_operations boolean FALSEaudit_syslog_level stringaudit_trail string NONESQL> alter system set audit_sys_operations=TRUE scope=spfile;--审计管理用户以sysdba/sysoper角色登陆SQL> alter system set audit_trail=db_extended scope=spfile;SQL> startup force;SQL> show parameter auditNAME TYPE VALUE------------------------------------ -----------------------------------------audit_file_dest string/u01/app/oracle/admin/ORCL/adumpaudit_sys_operations boolean TRUEaudit_syslog_level stringaudit_trail string DB_EXTENDED 8.2、开始审计sqlplus / as sysdba--记录对一个表的所有操作SQL> audit all on t_test;SQL> conn u_testSQL> select from t_test;SQL> insert into u_test.t_test c2;c5 values 'test1';'2';SQL> commit;SQL> delete from u_test.t_test;SQL> commit;SQL> conn /as sysdbaSQL> selectOS_USERNAME;username;USERHOST;TERMINAL;TIMESTAMP;OWNER;obj_name ;ACTION_NAME;sessionid;os_process;sql_bind;sql_text fromdba_audit_trail;sql> audit select table by u_test by access;如果在命令后面添加by user则只对user的操作进行审计;如果省去by 用户;则对系统中所有的用户进行审计不包含sys用户.例：AUDIT DELETE ANY TABLE; --审计删除表的操作AUDIT DELETE ANY TABLE WHENEVER NOT SUCCESSFUL; --只审计删除失败的情况AUDIT DELETE ANY TABLE WHENEVER SUCCESSFUL; --只审计删除成功的情况AUDIT DELETE;UPDATE;INSERT ON user.table by test; --审计test 用户对表user.table的delete;update;insert操作8.3、撤销审计SQL> noaudit all on t_test;9、审计语句多层环境下的审计：appserve-应用服务器;jackson-clientAUDIT SELECT TABLE BY appserve ON BEHALF OF jackson;审计连接或断开连接：AUDIT SESSION;AUDIT SESSION BY jeff; lori; -- 指定用户审计权限使用该权限才能执行的操作：AUDIT DELETE ANY TABLE BY ACCESS WHENEVER NOT SUCCESSFUL;AUDIT DELETE ANY TABLE;AUDIT SELECT TABLE; INSERT TABLE; DELETE TABLE; EXECUTE PROCEDURE BY ACCESS WHENEVER NOT SUCCESSFUL;对象审计：AUDIT DELETE ON jeff.emp;AUDIT SELECT; INSERT; DELETE ON jward.dept BY ACCESS WHENEVER SUCCESSFUL;取消审计：NOAUDIT session;NOAUDIT session BY jeff; lori;NOAUDIT DELETE ANY TABLE;NOAUDIT SELECT TABLE; INSERT TABLE; DELETE TABLE;EXECUTE PROCEDURE; NOAUDIT ALL; -- 取消所有statement审计NOAUDIT ALL PRIVILEGES; -- 取消所有权限审计NOAUDIT ALL ON DEFAULT; -- 取消所有对象审计10、清除审计信息DELETE FROM SYS.AUD$;DELETE FROM SYS.AUD$ WHERE obj$name='EMP';11、审计视图STMT_AUDIT_OPTION_MAP -- 审计选项类型代码AUDIT_ACTIONS -- action代码ALL_DEF_AUDIT_OPTS -- 对象创建时默认的对象审计选项DBA_STMT_AUDIT_OPTS -- 当前数据库系统审计选项DBA_PRIV_AUDIT_OPTS -- 权限审计选项DBA_OBJ_AUDIT_OPTSUSER_OBJ_AUDIT_OPTS; -- 对象审计选项DBA_AUDIT_TRAILUSER_AUDIT_TRAIL -- 审计记录DBA_AUDIT_OBJECTUSER_AUDIT_OBJECT -- 审计对象列表DBA_AUDIT_SESSIONUSER_AUDIT_SESSION -- session审计DBA_AUDIT_STATEMENTUSER_AUDIT_STATEMENT -- 语句审计DBA_AUDIT_EXISTS -- 使用BY AUDIT NOT EXISTS选项的审计DBA_AUDIT_POLICIES -- 审计POLICIESDBA_COMMON_AUDIT_TRAIL -- 标准审计+精细审计12、将审计结果表从system表空间里移动到别的表空间上实际上sys.aud$表上包含了两个lob字段;并不是简单的move table就可以..下面是具体的过程:alter table sys.aud$ move tablespace users;alter table sys.aud$ move lobsqlbind store as tablespace USERS; alter table sys.aud$ move lobSQLTEXT store as tablespace USERS; alter index sys.I_AUD1 rebuild tablespace u。

查询oracle数据库审计信息的方法查询Oracle数据库审计信息的方法1. 概述Oracle数据库的审计功能是一种重要的安全功能，可以帮助管理员监控数据库中的活动，并跟踪和记录对数据库的访问和操作。

审计信息可以用于检测并响应数据库中的潜在安全威胁，同时也可以用于满足合规性要求。

本文将介绍查询Oracle数据库审计信息的方法，帮助管理员获取有关数据库活动的详细报告和分析。

2. 启用审计功能在开始查询审计信息之前，首先需要确保已经启用了Oracle数据库的审计功能。

审计功能通过以下步骤来启用：1) 以sysdba或sysoper权限连接到数据库。

2) 运行以下命令来启用审计功能：ALTER SYSTEM SET audit_trail = db SCOPE=spfile;3) 重启数据库实例使更改生效：SHUTDOWN IMMEDIATE;STARTUP;启用审计功能后，数据库将开始记录指定的审计信息。

3. 查询审计信息要查询Oracle数据库中的审计信息，可以使用以下方法之一：1) 使用Oracle自带的审计视图Oracle提供了一系列的审计视图，用于访问和查询审计信息。

一些常用的审计视图包括：DBA_AUDIT_TRAIL，DBA_COMMON_AUDIT_TRAIL，DBA_FGA_AUDIT_TRAIL等。

管理员可以根据自己的需要选择适当的视图，并使用标准的SQL查询语句来检索审计信息。

可以查询DBA_AUDIT_TRAIL视图来获取数据库级别的审计信息： SELECT * FROM DBA_AUDIT_TRAIL;或者可以查询DBA_COMMON_AUDIT_TRAIL视图来获取通用的审计信息：SELECT * FROM DBA_COMMON_AUDIT_TRAIL;2) 使用审计报告工具除了使用审计视图，还可以使用一些第三方的审计报告工具来查询和分析审计信息。

这些工具通常提供更直观和丰富的报告和分析功能，可以帮助管理员更方便地浏览和理解审计信息。

Oracle11g数据库审计问题描述：使⽤Oracle 11g的数据库审计问题解决：(1)激活数据库审计（1.1）查看数据库审计是否已经开启如上图所⽰：⾸先使⽤⽤户登陆sqplus，（普通⽤户，或者dba都可以），然后使⽤conn /as sysdba注意：（a）以上使⽤sqlplus可以成功进⾏数据库审计的命令操作，但是在使⽤PL/SQL Developer command line进⾏数据库审计操作时，有些命令⽆法识别例如shutdown immediate (重启数据库)（b）以上使⽤conn / as sysdba 进⾏数据库登陆，使⽤其他⽤户登陆进⾏数据库审计操作时不起作⽤的(1.2)查看数据库审计是否已经开启如上所⽰，使⽤ show parameter audit ；可以查看数据库审计的信息其中audit_sys_operations 的value为false，意味着数据库审计未开启其中audit_trail 的value为DB参数详解：AUDIT_TRAIL启⽤或禁⽤数据库审计。

当设置该参数为NONE或FALSE时，将禁⽌数据库审计；当设置该参数为OS时，将激活数据库审计，并将审计记录写⼊到OS审计跟踪⽂件中；当设置该参数为DB或TRUE时，将激活数据库审计，并将审计记录写⼊到数据字典SYS.AUD$中；当设置该参数为DB_EXTENDED时，不仅将审计记录写⼊到数据字典SYS.AUD$中，还会填充该数据字典的SQLBIND和SQLTEXT列。

（1.3）激活数据库审计如上所⽰修改系统信息，激活数据库审计参数详解：spfile是存储初始化参数的⽂件，还有⼀种是pfile也是存储初始化参数的⽂件，spfile是服务器端维护的，pfile是客户端维护的spfile只能通过系统更改，pfile可以⼿动修改。

（1.4）重启数据库-----应⽤对系统的修改重新查看审计的信息如上显⽰了audit_sys_operations 的值为true，同时audit_trail 的值为db_extended说明数据库审计已经激活注意：以上重新启动数据库使⽤了startup force 命令，同时也可以分别使⽤：shutdown immediate ; 关闭数据库startup；启⽤数据库（2）使⽤审计信息注意：(a) 审计⼀般只⽤于对普通⽤户操作，⼀般不审计SYS⽤户(b) 对于windows系统，对sys⽤户的审计信息并不存在AUDIT_FILE_DEST参数指定的⽬录⾥，⽽是在windows的事件管理器中。

查看Oracle数据库审计信息的语句引言Oracle数据库是当前企业级应用最常用的关系型数据库之一，其中的审计功能是保证数据库安全的重要一环。

通过查看数据库审计信息，可以了解数据库的操作记录，追踪异常行为，及时发现安全风险，对数据库进行有效监控和管理。

本文将介绍如何使用语句查看Oracle数据库的审计信息。

了解Oracle数据库审计功能在进行数据库审计之前，首先需要了解Oracle数据库本身提供的审计功能。

Oracle数据库提供了多种审计选项，包括标准审计、细粒度审计和Flashback Data Archive。

标准审计可以记录用户登录和特权操作，细粒度审计可以监控数据库对象的具体访问和修改，Flashback Data Archive可以记录历史数据的变更。

在实际使用中，可以根据具体需求选择合适的审计选项，并配置审计参数。

使用下面的语句查看Oracle数据库审计信息：SELECT os_username, username, userhost, terminal, timestamp, action_name, retu rncode, SQL_TEXTFROM dba_audit_trailWHERE timestamp BETWEEN TO_DATE('2021-01-01 00:00:00', 'YYYY-MM-DD HH24:MI:SS') AND TO_DATE('2021-12-31 23:59:59', 'YYYY-MM-DD HH24:MI:SS')ORDER BY timestamp;该语句使用了dba_audit_trail视图来查询数据库的审计信息。

下面分别解释每个字段的含义：•os_username：操作系统的用户名•username：数据库用户名•userhost：登录用户的主机名•terminal：登录用户的终端•timestamp：操作的时间戳•action_name：操作的类型，如SELECT、INSERT等•returncode：操作的返回代码•SQL_TEXT：执行的SQL语句该语句通过WHERE子句限定了查询的时间范围，并通过ORDER BY子句按照时间顺序排序结果。

oracle19c 查询审计内容Oracle Database 19c 提供了强大的审计功能，可以用于监控和记录数据库中发生的各种事件。

审计功能可以用于跟踪用户活动、敏感数据的访问、系统权限的变更等。

以下是一些在 Oracle Database 19c 中查询审计内容的常见方法：审计视图：Oracle 提供了多个视图，通过这些视图可以查询审计信息。

一些常见的审计视图包括：DBA_AUDIT_TRAIL: 包含了数据库级别的审计信息，如登陆、创建对象、DDL 操作等。

DBA_COMMON_AUDIT_TRAIL: 提供了与 DBA_AUDIT_TRAIL 类似的信息。

DBA_FGA_AUDIT_TRAIL: 用于审计 Fine-Grained Auditing（FGA）的信息，即对敏感数据的访问。

ALL_AUDIT_POLICIES: 包含启用的审计政策的信息。

例如，查询数据库级别的审计日志可以使用以下 SQL 语句：SELECT * FROM DBA_AUDIT_TRAIL;审计选项：在 Oracle 19c 中，你可以使用 AUDIT 和 NOAUDIT 语句启用或禁用审计选项。

例如，启用对表的 SELECT 操作审计：AUDIT SELECT ON schema.table_name BY ACCESS;查询已启用的审计选项可以使用以下 SQL 语句：SELECT * FROM DBA_STMT_AUDIT_OPTS;审计策略：在 Oracle 中，你还可以使用审计策略（Audit Policy）来定义和启用审计。

审计策略提供了更灵活的方式来控制审计，可以基于标签、条件等进行配置。

CREATE AUDIT POLICY my_policyACTIONS ALLWHEN 'SYS_CONTEXT(''USERENV'', ''SESSION_USER'') = ''HR''';查询已定义的审计策略：SELECT * FROM ALL_AUDIT_POLICIES;请注意，对于真实的生产环境，审计功能的配置和使用需要仔细考虑，并且应该遵循最佳实践和安全标准。

Oracle 11g跟踪数据库变化的数据(1)激活审计SQL> conn /as sysdba已连接。

SQL> show parameter audit_sys_operations;NAME TYPE V ALUE------------------------------------ ----------- ------------------------audit_sys_operations boolean FALSESQL> show parameter audit_trail;NAME TYPE V ALUE------------------------------------ ----------- ------------------------------audit_trail string NONESQL> alter system set audit_sys_operations=true scope=spfile;系统已更改。

SQL> alter system set audit_trail=db scope=spfile;系统已更改。

SQL> startup force;ORACLE 例程已经启动。

Total System Global Area 1071333376 bytesFixed Size 1375792 bytesVariable Size 536871376 bytesDatabase Buffers 528482304 bytesRedo Buffers 4603904 bytes数据库装载完毕。

数据库已经打开。

SQL> show parameter audit_sys_operations;NAME TYPE V ALUE------------------------------------ ----------- ------------------------------audit_sys_operations boolean TRUESQL> show parameter audit_trail;NAME TYPE V ALUE------------------------------------ ----------- ------------------------------audit_trail string DB（2）1.定义数据库需要审计的表SQL>executedbms_fga.add_policy(object_schema=>'scott',object_name=>'emp',policy_name=>'chk_emp',sta tement_types=>'insert,update,delete');PL/SQL 过程已成功完成。

oracle10g日志审计操作文档Oracle10g审计1、查看审计是否打开首先登陆oracle后输入show parameter audit_trail来查看审计是否打开SQL > show parameter audit_trail ;返回结果：NAME TYPE V ALUEudit_trail string NONENONE表示审计未打开。

说明V ALUE ：返回值是NONE/FALSE表示审计未打开；返回值是DB/TURE表示审计功能已经打开2、打开审计SQL > alter system set audit_trail=’DB’scope=spfile ;这里对audit_trail=进行说明：audit_trail=’DB’表示把审计日志记录到数据库sys.audit$表中。

audit_trail=’DB，extended’在DB选项基础上,在audit$表中还增加了SQLBIND和SQLTEXT两个clob栏位,用来存储SQLBIND 和SQLTEXT信息。

audit_trail=‘OS’审计结果存放在操作系统的审计信息中，若是windows 平台,audit trail会记录在windows的事件管理器中,若是linux/unix平台则会记录在audit_file_dest参数指定文件中。

audit_trail=‘xml’审计结果存放在XML中, 并包含XML文件可以由数据库以外的工具方便地处理，过滤出有用的事件，与其它系统中的审计日志组合，并格式化HTML显示,操作系统文件提供比SYS.AUD$表更强大的安全性，特别是在希望阻止数据库管理员查看或修改审计跟踪的情况下,即使关闭数据库实例，仍然可以继续使用保存在数据库外的审计日志。

用以下代码确定写入审计文件的目录：audit_file_dest='directorypath' 。

注意，directorypath这不是一个目录对象，，而是操作系统目录的实际路径名。

oracle19c 查询审计内容摘要：I.简介- 介绍Oracle 19c 数据库- 介绍审计内容查询II.审计内容查询- 审计内容概述- 查询审计内容的命令- 查询审计内容的具体示例III.审计内容查询实例- 示例1：查询审计日志- 示例2：查询审计事件- 示例3：查询审计异常IV.总结- 回顾审计内容查询的重要性- 强调合规性和数据安全正文：I.简介Oracle 19c 是一款由甲骨文公司开发的关系型数据库管理系统，广泛应用于各种企业和组织的数据存储和管理中。

在数据库管理和使用过程中，审计内容的查询是非常重要的一个环节。

通过查询审计内容，可以了解数据库的使用情况，及时发现并解决安全隐患和潜在问题。

II.审计内容查询在Oracle 19c 数据库中，我们可以通过一些特定的命令来查询审计内容。

这些命令主要包括：- DBA_AUDIT_EVENTS：查询所有审计事件- DBA_AUDIT_LOG：查询审计日志- DBA_AUDIT_STATUS：查询审计状态- DBA_AUDIT_WARNINGS：查询审计警告通过这些命令，我们可以了解数据库的审计情况，包括审计事件、审计日志、审计状态和审计警告等。

III.审计内容查询实例接下来，我们将通过几个具体的示例来演示如何查询审计内容。

示例1：查询审计日志要查询审计日志，可以使用以下SQL 语句：```sqlSELECT * FROM DBA_AUDIT_LOG;```示例2：查询审计事件要查询审计事件，可以使用以下SQL 语句：```sqlSELECT * FROM DBA_AUDIT_EVENTS;```示例3：查询审计异常要查询审计异常，可以使用以下SQL 语句：```sqlSELECT * FROM DBA_AUDIT_STATUS;```通过这些示例，我们可以看到审计日志、审计事件和审计异常的具体内容。

这有助于我们更好地了解数据库的使用情况，及时发现并解决潜在问题。