主页 / dba / 问题 / 51735
Accepted
sjk
Asked: 2013-10-18 22:21:16 +0800 CST

审核指定用户对指定表的选择查询

  • 772

我需要审核指定用户针对指定表的所有 SELECT 查询(通过访问)。

据我所知,这不能通过正常的审计来完成;它只支持审计指定用户的所有查询或对指定表的所有查询(任何用户)。这是一个问题,因为有些系统帐户会产生过多的审计,需要从审计中排除。

这留下了细粒度的审计,可以通过在dbms_fga.add_policy中为audit_condition参数指定适当的谓词来做到这一点。但是,当使用并行查询时,FGA 会在审计跟踪中写入重复行,这很不幸。当目标是最小化审计信息时是不可取的。

目前,我打算使用 FGA 并经常删除重复的行。有没有更好的方法来实施这种审计策略?

oracle oracle-11g-r2

1 个回答

  1. Best Answer

    我找到了一种通过并行查询防止 FGA 审计跟踪中出现重复行的方法

    首先创建一个函数,如果 AUTHENTICATION_METHOD 是 PQ_SLAVE 在 USERENV 上下文中返回 1(协调进程获取 0)

    create or replace function is_pg_slave return integer as
begin
  if (sys_context('USERENV', 'AUTHENTICATION_METHOD') = 'PQ_SLAVE') then
    return 1;
  else 
    return 0;
  end if;
end;
/

    然后将策略添加到表

    begin
      dbms_fga.add_policy(
        object_name       => 'table_name',
        policy_name       => 'noaudit_pq_slave',
        audit_condition   => 'is_pg_slave = 0',
        statement_types   => 'SELECT');
end;
/

    现在只审计query coordinator,所以不管并行度是多少,fga审计跟踪中只插入一行。

    与正常审计或不审计相比,我没有注意到这种方法的任何性能问题。

    • 2

相关问题