細粒度審計 (FGA)（通過 Oracle9i 引入）可以理解為“基於策略的審計”。與標準的審計功能相反，FGA 可用於指定生成審計記錄必需的條件：

FGA 策略通過使用“dbms_fga”程式包以程式設計方式繫結到物件（表、檢視）。類似於用於通過 VPD ("dbms_rls") 進行訪問控制的程式包，它允許您建立任何需要的條件

一、建立策略

語法：

DBMS_FGA.ADD_POLICY(
  object_schema      VARCHAR2, --要審計物件所在使用者的名稱，如果是空，就預設是當前使用者
  object_name        VARCHAR2, --要審計的物件
  policy_name        VARCHAR2, --審計策略的名稱
  audit_condition    VARCHAR2, --制定一個布林條件，若為空，就表示true，即對所有行為
  audit_column      VARCHAR2, --執行一列或多列，包括隱藏列。未指定表示所有列
  handler_schema    VARCHAR2, --如果違反策略時要向其他使用者傳送告警，執行此使用者名稱
  handler_module    VARCHAR2, --指定處理措施的名稱。包含處理措施所在的包。
--不能造成某個動作死迴圈或者啟用、禁用細粒度審計策略，否則報錯ora1000、36、28144
  enable            BOOLEAN, --啟用或禁用策略，預設為ture，即啟用
  statement_types    VARCHAR2,--指定要審計的動作，如insert、update、delete、select
  audit_trail        BINARY_INTEGER IN DEFAULT,--指定審計記錄儲存位置以及是否統計fga_log$的lsqltext和lsqlbind列；如果指定audit_Trail為xml，會將xml檔案寫入到audit_File_Dest引數指定位置；對只讀資料庫，oracle將審計記錄寫入xml格式檔案，不管audit_trail如何設定
  audit_column_opts  BINARY_INTEGER IN DEFAULT);--如果制定了多行，該引數判斷是否審計所有或單獨的行（DBMS_FGA.ALL_COLUMNS和DBMS_FGA.ANY_COLUMNS兩個值）

例句：

BEGIN
DBMS_FGA.ADD_POLICY(
object_schema => 'HR',
object_name => 'EMPLOYEES',
policy_name => 'chk_hr_employees',
enable => TRUE,
statement_types => 'INSERT, UPDATE, SELECT, DELETE',
audit_trail => DBMS_FGA.DB);
END;
/

二、刪除策略

DBMS_FGA.DROP_POLICY(
  object_schema  VARCHAR2,    --要審計物件所在使用者的名稱，如果是空，就預設是當前使用者
  object_name    VARCHAR2,    --要審計的物件
  policy_name    VARCHAR2 );  --審計策略的名稱

三、禁用策略

DBMS_FGA.DISABLE_POLICY(
  object_schema  VARCHAR2,    --要審計物件所在使用者的名稱，如果是空，就預設是當前使用者
  object_name    VARCHAR2,    --要審計的物件
  policy_name    VARCHAR2 );  --審計策略的名稱

四、啟用策略

DBMS_FGA.ENABLE_POLICY(
  object_schema  VARCHAR2,    --要審計物件所在使用者的名稱，如果是空，就預設是當前使用者
  object_name    VARCHAR2,    --要審計的物件
  policy_name    VARCHAR2,    --審計策略的名稱
  enable        BOOLEAN);    --啟用

五、查詢策略

SELECT OBJECT_SCHEMA,  --要審計物件所在使用者的名稱
      OBJECT_NAME,    --要審計的物件
      POLICY_OWNER,  --審計策略的擁有者
      POLICY_NAME,    --審計策略的名稱
      POLICY_TEXT,    --審計內容
      POLICY_COLUMN,  --執行一列或多列，包括隱藏列。未指定表示所有列
      PF_SCHEMA,      --
      PF_PACKAGE,
      PF_FUNCTION,
      ENABLED,
      SEL,
      INS,
      UPD,
      DEL,
      AUDIT_TRAIL,
      POLICY_COLUMN_OPTIONS
  FROM DBA_AUDIT_POLICIES;

六、例句

1. 建立使用者賬戶，確認狀態

   sysdba使用者登入，建立sysadmin_fga賬號，授權：

   GRANT CREATE SESSION, DBA TO sysadmin_fga IDENTIFIED BY password;
   GRANT SELECT ON OE.ORDERS TO sysadmin_fga;
   GRANT EXECUTE ON DBMS_FGA TO sysadmin_fga;
   GRANT SELECT ON SYS.FGA_LOG$ TO sysadmin_fga;
   

   確保實驗所需的OE使用者可登陸

2. 建立細粒度審計策略

   sysadmin_fga使用者登入，執行：

   表示對非資料庫的使用者Robert的增刪改查操作進行審計。

   BEGIN
   DBMS_FGA.ADD_POLICY(OBJECT_SCHEMA => 'OE',
   OBJECT_NAME => 'ORDERS',
   POLICY_NAME => 'ORDERS_FGA_POL',
   AUDIT_CONDITION => 'SYS_CONTEXT(''USERENV'', ''CLIENT_IDENTIFIER'') = ''Robert''',
   HANDLER_SCHEMA => NULL,
   HANDLER_MODULE => NULL,
   ENABLE => True,
   STATEMENT_TYPES => 'INSERT,UPDATE,DELETE,SELECT',
   AUDIT_TRAIL => DBMS_FGA.DB + DBMS_FGA.EXTENDED,
   AUDIT_COLUMN_OPTS => DBMS_FGA.ANY_COLUMNS);
   END;
   /
   

3. 測試策略

• sysadmin_fga登入並查詢：

  SELECT DBUID, LSQLTEXT FROM SYS.FGA_LOG$ WHERE POLICYNAME='ORDERS_FGA_POL';
  

• 然後用OE使用者登入，並執行：

  EXEC DBMS_SESSION.SET_IDENTIFIER('Robert');
  

• 表示身份模擬為Robert。

  對開啟審計的ORDERS表進行查詢：

  SELECT COUNT(*) FROM ORDERS;
  

• sysadmin_fga再次檢視：

  發現多了一條記錄

  SELECT DBUID, LSQLTEXT FROM SYS.FGA_LOG$ WHERE POLICYNAME='ORDERS_FGA_POL';
  

DROP USER sysadmin_fga CASCADE;

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/31490526/viewspace-2644965/，如需轉載，請註明出處，否則將追究法律責任。