Preciso confirmar que as ações de usuários privilegiados estão sendo auditadas. Tanto quanto eu posso dizer de visualizações como dba_stmt_audit_opts, as declarações dos usuários privilegiados que eu quero que sejam auditados estão sendo auditadas indiscriminadamente, então isso parece bom.
Eu sei que o NOAUDIT pode ser usado para parar de auditar uma instrução para um usuário específico. Como eu verificaria se alguém no passado fez isso para um usuário privilegiado?
Depois de ler um pouco mais sobre o NOAUDIT, acho que entendi minha confusão. NOAUDIT não necessariamente interrompe a auditoria de um par de ação-usuário específico, mas cancela uma instrução AUDIT correspondente. Portanto, a tabela de seleção NOAUDIT BY user1 apenas cancelaria uma instrução feita anteriormente de AUDIT select table BY user1. Se a instrução AUIDT nunca tivesse sido feita e todas as instruções SELECT TABLE já estivessem sendo auditadas, a instrução NOAUDIT não teria efeito.
A documentação relevante: