审计结果的使用
针对采取的审计策略不同,审计日志也应当分别采用不同的存储策略进行存储。采用Oracle 9i审计特性实现的审计功能,如语句级、权限级和实体级审计记录将保存在系统视图里;利用触发器实现的审计功能获取的日志将保存在自定义的数据库表中。
将审计结果都将保存在数据库系统中,具有良好的格式,可以对审计日志进行分析和挖掘,非常容易维护,同时,我们可以利用数据库系统的安全性对日志进行保护和管理。
Oracle 9i定义了格式良好的审计视图来保存开启审计功能后产生的审计记录。这些视图包括:AUD$,DBA_AUDIT_OBJECT, DBA_AUDIT_TRAIL, DBA_AUDIT_SESSION等。系统定义的视图为我们提供了详细的审计信息,如:SESSIONID,ENTRYID,STATEMENTID,USERID,USERHOST,TERMINAL等,包含了数据库会话ID,客户端详细信息,时间戳等等,我们可以从中选择适应于审计需求的信息。
自定义审计主要根据特定的需要而编写触发器来实现,如果我们需要对系统事件,如数据库系统的启动和关闭,可以编写如下的触发器来实现。当然,为了存储审计日志,我们需要建立数据库表来存储日志。如下是建立用于存储数据库系统启动/关闭日志的字定义审计表,该表的审计日志数据由上文的触发器而得到:
CREATE TABLE BJMIADMIN.AUDIT_DBLOG(
自定义审计表具有很大的灵活性,我们可以根据审计需求,有针对性地设计审计表,配合触发器来得到审计日志。
