Auditing

Man kann bis auf Spaltenebene überwachen. Auting ist per default nicht aktiviert.

Wenn nicht mehr überwacht werden kann, kann die Aktion nicht mehr ausgeführt werden. Das heißt wenn die Partition mit Audit-Logs voll ist, läuft nichts mehr.

AUTID_TRAIL = DB | OS | FALSE

Man kann in eine Oracle-Tabelle schreiben oder besser in eine Betriebssystemlogdatei.

• DB - DB-Tabelle
• OS - Betriebssystem
• FALSE - deaktiviert

Audit in eine Betriebssystem-Log-Datei

alter system set AUDIT_TRAIL = OS scope = spfile;
-- NT: Schreibt in die Ereignisanzeige 
-- Unix: Angabe des zusätzlichen Parameters: AUTID_FILE_DEST = Verzeichnis
shutdown immediate;
startup;

Audit in die Datenbanktabelle SYS.AUD$

DD BASE TABLE
SYS.AUD$
Audit trail information stored in

Wenn die Ereginisse in die Tabelle SYS.AUD$ gespeichert werden, sollte diese von Zeit zu Zeit mit TRUNCATE geleert werden.

alter system set AUDIT_TRAIL = DB scope = spfile;

Zum Abfrage dient die View DBA_TRAIL.

select username,action_name,to_char(timestamp, 'DD.MM.YYYY HH24:MI:SS'),returncode
  from dba_audit_trail;

timestamp zeigt nur das Datum und keine Uhrzeit.

Auditing aktivieren

audit create any table;
audit drop any view;
audit drop any table;
audit session by anna;

Beim Herunterfahren einer Instanz werden alle Audits deaktiviert.

Auditing deaktivieren

Es ist die entsprechende Syntax wie beim Aktivieren verwenden.

noaudit create any table;

select username, action_name, returncode from dba_audit_trail;
select * from aud$;
desc aud$;