审计结果-SYS_AUDIT_RESULTS
📄字数 3.0K
👁️阅读量 加载中...
功能描述
SYS_AUDIT_RESULTS系统表用于管理数据库审计结果信息,该表被标识为系统表,但不限于仅存在系统库中,普通用户库下也同样存在该表。
SYS_AUDIT_RESULTS系统表支持系统初始化时创建和在启用审计并设置审计项后创建,其创建方式由系统参数security_level决定:
- 当
security_level=0时,SYS_AUDIT_RESULTS将在设置审计项时一并创建(若不存在则创建)。 - 当
security_level>0时,SYS_AUDIT_RESULTS将在创建数据库时一并创建。
安全管理员SYSSSO和审计管理员SYSAUDITOR各自都拥有一张审计结果表SYS_AUDIT_RESULTS:
- SYSSSO.SYS_AUDIT_RESULTS专门负责记载系统管理员SYSDBA和审计管理员SYSAUDITOR满足审计项的所有操作以及所有用户的连接登录行为。
- SYSAUDITOR.SYS_AUDIT_RESULTS主要负责审计除自身以为的所有其它用户行为。
字段说明
| 序号 | 字段名 | 类型 | 说明 | V11 | V12 |
|---|---|---|---|---|---|
| 0 | SCHEMA_ID | INTEGER | 对象所属模式 | √ | √ |
| 1 | USER_ID | INTEGER | 执行SQL的用户 | √ | √ |
| 2 | OBJ_ID | INTEGER | 对象ID | √ | √ |
| 3 | OBJ_NAME | VARCHAR | 对象名称 | √ | √ |
| 4 | OBJ_TYPE | INTEGER | 对象类型 | √ | √ |
| 5 | ACTION | INTEGER | 动作类型 | √ | √ |
| 6 | SUCCESS | BOOLEAN | SQL执行成功 | √ | √ |
| 7 | IP | VARCHAR | 客户端IP | √ | √ |
| 8 | SQL_TEXT | VARCHAR | SQL语句 | √ | √ |
| 9 | ERR_INFO | VARCHAR | 错误信息 | √ | √ |
| 10 | OPTIME | DATETIME | 操作时间 | √ | √ |
| 11 | AUDIT_TYPE | INTEGER | 审计类型 | √ | √ |
| 12 | NODEID | INTEGER | 节点号 | √ | √ |
ACTION
| 动作代码 | 动作类型 | 说明 | 是否在审计中使用 |
|---|---|---|---|
| 0 | ACTION_READ | 查询表数据 | 是 |
| 1 | ACTION_INSERT | 插入表数据 | 是 |
| 2 | ACTION_UPDATE | 更新表数据 | 是 |
| 3 | ACTION_DELETE | 删除表数据 | 是 |
| 4 | ACTION_EXECUTE | 执行过程或函数 | 是 |
| 5 | ACTION_REF | 引用 | 否 |
| 6 | ACTION_ALT_DB | 修改库 | 否 |
| 7 | ACTION_DROP_DB | 删除库 | 否 |
| 8 | ACTION_ALT_SCHE | 修改模式 | 否 |
| 9 | ACTION_DROP_SCHE | 删除模式 | 否 |
| 10 | ACTION_CREATE | 创建对象 | 是 |
| 11 | ACTION_CRE_IDX | 创建索引 | 否 |
| 12 | ACTION_ALT_IDX | 修改索引 | 否 |
| 13 | ACTION_DROP_IDX | 删除索引 | 否 |
| 14 | ACTION_TRACE_DB_MODI | 创建库变更跟踪 | 否 |
| 15 | ACTION_UNTRACE_DB_MODI | 删除库变更跟踪 | 否 |
| 16 | ACTION_TRACE_SCHE_MODI | 创建模式变更跟踪 | 否 |
| 17 | ACTION_UNTRACE_SCHE_MODI | 删除模式变更跟踪 | 否 |
| 18 | ACTION_TRACE_TAB_MODI | 创建表变更跟踪 | 否 |
| 19 | ACTION_UNTRACE_TAB_MODI | 删除表变更跟踪 | 否 |
| 20 | ACTION_CRE_JOB | 创建定时作业 | 否 |
| 21 | ACTION_ALT_JOB | 修改定时作业 | 否 |
| 22 | ACTION_DROP_JOB | 删除定时作业 | 否 |
| 23 | ACTION_CRE_TRIG | 创建触发器 | 否 |
| 24 | ACTION_ALT_TRIG | 修改触发器 | 否 |
| 25 | ACTION_DROP_TRIG | 删除触发器 | 否 |
| 26 | ACTION_ALTER | 修改对象 | 是 |
| 27 | ACTION_DROP_FK | 删除外键约束 | 否 |
| 28 | ACTION_REN_OBJ | 更改对象名 | 否 |
| 29 | ACTION_REN_COL | 更改表字段名 | 否 |
| 30 | ACTION_ONLINE | 设置在线 | 否 |
| 31 | ACTION_OFFLINE | 设置离线 | 否 |
| 32 | ACTION_DROP | 删除对象 | 是 |
| 33 | ACTION_ENCRYPT | 加密对象 | 否 |
| 35 | ACTION_TRUNC | 清空表数据 | 是 |
| 36 | ACTION_ANALYZE | 分析表 | 否 |
| 37 | ACTION_ANA_CFG | 重新加载表的分析模式配置和统计信息 | 否 |
| 38 | ACTION_GRANT | 收授权限 | 是 |
| 41 | ACTION_BACKUP | 备份数据 | 是 |
| 42 | ACTION_RESTORE | 恢复数据 | 是 |
| 43 | ACTION_SHUTDOWN | 关闭服务 | 否 |
| 44 | ACTION_CONNECT | 创建连接(LOGIN) | 否 |
| 45 | ACTION_DROP_DBC | 关闭连接 | 否 |
| 46 | ACTION_ALL | 所有动作 | 否 |
| 47 | ACTION_POLICY | 设置安全策略 | 否 |
| 48 | ACTION_NOPOLICY | 取消安全策略 | 否 |
| 49 | ACTION_AUTH_NOT | 取消授权 | 否 |
| 50 | ACTION_AUDIT | 设置审计 | 是 |
| 51 | ACTION_NOAUDIT | 取消审计 | 否 |
| 52 | ACTION_RMAUDIT | 移除审计缓存 | 否 |
| 53 | ACTION_LOCK | 锁表 | 是 |
| 54 | ACTION_COMMIT | 提交 | 否 |
| 55 | ACTION_ROLLBACK | 回滚 | 否 |
| 56 | ACTION_TRACE | 初始化连接调试器 | 否 |
| 57 | ACTION_AND | 制作条件与表达式 | 否 |
| 58 | ACTION_OR | 制作条件或表达式 | 否 |
| 59 | ACTION_ALT_IDX_SLOW_MODIFY | 修改索引缓变属性 | 否 |
| 63 | ACTION_RENAME_IDX | 重命名索引 | 否 |
| 64 | ACTION_FLASHBACK_TAB | 闪回表 | 是 |
| 65 | ACTION_PURGE_TAB | 删除回收站对象 | 是 |
| 66 | ACTION_PURGE_IDX | 删除回收站索引 | 是 |
| 67 | ACTION_USERECYCLEBIN | 删除回收站中当前用户的所有对象 | 是 |
| 68 | ACTION_DBARECYCLEBIN | 删除回收站中当前库的所有对象 | 是 |
| 69 | ACTION_CRE_STO_ZONE | 创建存储域 | 是 |
| 70 | ACTION_ALT_STO_ZONE | 修改存储域 | 是 |
| 71 | ACTION_DROP_STO_ZONE | 删除存储域 | 是 |
| 72 | ACTION_ONLINE_CRE_IDX | 在线创建索引 | 否 |
AUDIT_TYPE
| 类型代码 | 审计类型 | 说明 |
|---|---|---|
| 1 | AUDIT_CONNECT | 连接 |
| 2 | AUDIT_DATABASE | 库 |
| 3 | AUDIT_USER | 用户 |
| 4 | AUDIT_ROLE | 角色 |
| 5 | AUDIT_SCHEMA | 模式 |
| 6 | AUDIT_TABLE | 表 |
| 7 | AUDIT_VIEW | 视图 |
| 8 | AUDIT_INDEX | 索引 |
| 9 | AUDIT_PROCEDURE | 存储过程和函数 |
| 10 | AUDIT_TRIGGER | 触发器 |
| 11 | AUDIT_SEQUENCE | 序列值 |
| 12 | AUDIT_GRANT | 授权 |
| 13 | AUDIT_REVOKE | 回收权限 |
| 14 | AUDIT_AUDIT | 设置审计 |
| 15 | AUDIT_NOAUDIT | 取消审计 |
| 16 | AUDIT_INSERT | 插入 |
| 17 | AUDIT_UPDATE | 更新 |
| 18 | AUDIT_DELETE | 删除 |
| 19 | AUDIT_SELECT | 查询 |
| 20 | AUDIT_LOCK_TAB | 锁表 |
| 21 | AUDIT_EXECUTE | 执行(execute) |
| 22 | AUDIT_POLICY | 安全策略 |
| 23 | AUDIT_USER_POLICY | 主体策略 |
| 24 | AUDIT_TAB_POLICY | 客体策略 |
| 25 | AUDIT_SPACE | 表空间 |
| 26 | AUDIT_PACKAGE | 包 |
| 27 | AUDIT_TYPE | 自定义类型 |
| 28 | AUDIT_DB_LINK | dblink |
| 29 | AUDIT_SYNONYM | 同义词 |
应用举例
- 查询审计对象类型IP等信息
sql
-- sysdba
SQL> SET enable_audit ON;
-- auditor
SQL> AUDIT TABLE;
-- sysdba
SQL> CREATE TABLE audit_info(id INT);
-- auditor
SQL> SELECT * FROM SYS_AUDIT_RESULTS;
+-----------+---------+--------+------------+----------+--------+---------+---------------+----------------------------------+----------+--------------------------+------------+--------+
| SCHEMA_ID | USER_ID | OBJ_ID | OBJ_NAME | OBJ_TYPE | ACTION | SUCCESS | IP | SQL_TEXT | ERR_INFO | OPTIME | AUDIT_TYPE | NODEID |
+-----------+---------+--------+------------+----------+--------+---------+---------------+----------------------------------+----------+--------------------------+------------+--------+
| 1 | 1 | 0 | AUDIT_INFO | 5 | 10 | T | 192.168.2.236 | CREATE TABLE audit_info(id INT); | <NULL> | 2025-07-04 14:28:27.024 | 6 | 1 |
+-----------+---------+--------+------------+----------+--------+---------+---------------+----------------------------------+----------+--------------------------+------------+--------+