细粒度审计

细粒度审计 (FGA)（通过 Oracle9i 引入）可以理解为“基于策略的审计”。与标准的审计功能相反，FGA 可用于指定生成审计记录必需的条件：
FGA 策略通过使用“dbms_fga”程序包以编程方式绑定到对象（表、视图）。类似于用于通过 VPD ("dbms_rls") 进行访问控制的程序包，它允许您创建任何需要的条件

一、创建策略

语法：

DBMS_FGA.ADD_POLICY(   object_schema      VARCHAR2, --要审计对象所在用户的名称，如果是空，就默认是当前用户   object_name        VARCHAR2, --要审计的对象   policy_name        VARCHAR2, --审计策略的名称   audit_condition    VARCHAR2, --制定一个布尔条件，若为空，就表示true，即对所有行为   audit_column       VARCHAR2, --执行一列或多列，包括隐藏列。未指定表示所有列   handler_schema     VARCHAR2, --如果违反策略时要向其他用户发送告警，执行此用户名   handler_module     VARCHAR2, --指定处理措施的名称。包含处理措施所在的包。--不能造成某个动作死循环或者启用、禁用细粒度审计策略，否则报错ora1000、36、28144   enable             BOOLEAN, --启用或禁用策略，默认为ture，即启用   statement_types    VARCHAR2,--指定要审计的动作，如insert、update、delete、select   audit_trail        BINARY_INTEGER IN DEFAULT,--指定审计记录存储位置以及是否统计fga_log$的lsqltext和lsqlbind列；如果指定audit_Trail为xml，会将xml文件写入到audit_File_Dest参数指定位置；对只读数据库，oracle将审计记录写入xml格式文件，不管audit_trail如何设置   audit_column_opts  BINARY_INTEGER IN DEFAULT);--如果制定了多行，该参数判断是否审计所有或单独的行（DBMS_FGA.ALL_COLUMNS和DBMS_FGA.ANY_COLUMNS两个值）

例句： 

BEGIN  DBMS_FGA.ADD_POLICY(    object_schema => 'HR',    object_name => 'EMPLOYEES',    policy_name => 'p_hr_employees',    enable => TRUE,    statement_types => 'INSERT, UPDATE, SELECT, DELETE',    audit_trail => DBMS_FGA.DB);END;/

二、删除策略

DBMS_FGA.DROP_POLICY(   object_schema  VARCHAR2,    --要审计对象所在用户的名称，如果是空，就默认是当前用户   object_name    VARCHAR2,    --要审计的对象   policy_name    VARCHAR2 );  --审计策略的名称

三、禁用策略

DBMS_FGA.DISABLE_POLICY(   object_schema  VARCHAR2,    --要审计对象所在用户的名称，如果是空，就默认是当前用户   object_name    VARCHAR2,    --要审计的对象   policy_name    VARCHAR2 );  --审计策略的名称

四、启用策略

DBMS_FGA.ENABLE_POLICY(   object_schema  VARCHAR2,    --要审计对象所在用户的名称，如果是空，就默认是当前用户   object_name    VARCHAR2,    --要审计的对象   policy_name    VARCHAR2,    --审计策略的名称   enable         BOOLEAN);    --启用

五、查询策略

SELECT OBJECT_SCHEMA,  --要审计对象所在用户的名称       OBJECT_NAME,    --要审计的对象       POLICY_OWNER,   --审计策略的拥有者       POLICY_NAME,    --审计策略的名称       POLICY_TEXT,    --审计内容       POLICY_COLUMN,  --执行一列或多列，包括隐藏列。未指定表示所有列       PF_SCHEMA,      --       PF_PACKAGE,       PF_FUNCTION,       ENABLED,       SEL,       INS,       UPD,       DEL,       AUDIT_TRAIL,       POLICY_COLUMN_OPTIONS  FROM DBA_AUDIT_POLICIES;