ORACLE数据库DDL审计触发器与隐藏参数_system_trig_enabled

  最近,在我们开发库要对一套实例做一个DDL审计触发器,触发器代码如下所示:
---- 存储DDL语句的表         
create table audit_ddl
(
opertime timestamp PRIMARY KEY,
ip varchar2(20),
hostname varchar2(30),
operation varchar2(30),
object_type varchar2(30),
object_name varchar2(30),
sql_stmt clob,
db_schema varchar2(30)
);
---- 捕获DDL语句的触发器
create or replace trigger trg_audit_ddl
  after create or drop or truncate ON DATABASE
DECLARE
  PRAGMA AUTONOMOUS_TRANSACTION;
  n        NUMBER;
  stmt     clob := NULL;
  sql_text ora_name_list_t;
BEGIN
  n := ora_sql_txt(sql_text);
  FOR i IN 1 .. n LOOP
    stmt := stmt || sql_text(i);
  END LOOP;
  INSERT INTO audit_ddl
    (opertime, ip, hostname, operation, object_type, object_name, sql_stmt,db_schema)
  VALUES
    (systimestamp,
     sys_context('userenv', 'ip_address'),
     sys_context('userenv', 'terminal'),
     ora_sysevent,
     ora_dict_obj_type,
     ora_dict_obj_name,
     stmt,
     user
   );
  COMMIT;
END;

/
 创建审计DDL的触发器成功,并且是生效的,如图:

 但是,我用测试用户创建表、删除表、truncate表,都无法审计到,过程如下:
--具有或非DBA权限用户,执行建表
create table trg_ddl_test as select * from dba_data_files;
--然后用sys或创建ddl审计的用户,查询DDL审计表,无记录返回
[oracle@oradbs ~]$ sqlplus / as sysdba
SQL*Plus: Release 11.2.0.3.0 Production on Thu May 19 19:31:16 2016
Copyright (c) 1982, 2011, Oracle.  All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options
SQL> select * from audit_ddl;
no rows selected
SQL> 
  但是,相同的触发器在相同服务器,相同版本的其他数据库实例上执行,都能捕获到DDL,如图所示:

 后来,对DDL审计触发器做了修改,就是创建测试表,触发触发器,让触发器向DDL审计触发器插入一个1,没有成功;由此,怀疑,DDL审计触发器不起作用的数据库实例参数配置肯定有问题,通过对比发现:隐藏参数_system_trig_enabled在DDL审计触发器不起作用的服务器上被设置为了false:
SQL> show parameter _system_trig_enabled
NAME                              TYPE    VALUE
------------------------------------ ----------- ------------------------------
_system_trig_enabled     boolean    FALSE
 该参数是动态参数,执行alter system set "_system_trig_enabled"=true; 将参数设置为true
SQL> alter system set "_system_trig_enabled"=true; 
System altered.
SQL> show parameter _system_trig_enabled
NAME                             TYPE      VALUE
------------------------------------ ----------- ------------------------------
_system_trig_enabled        boolean  TRUE
 设置完隐藏参数为true后,数据库实例可以正常审计数据库级别的DDL:
--test用户truncate表,drop表
SQL> select * from tab;
TNAME       TABTYPE CLUSTERID
------------------------------ ------- ----------
CDBA_DATA_FILES       TABLE
TRG_DDL_TEST       TABLE
SQL> truncate table TRG_DDL_TEST;
Table truncated.
SQL> drop table TRG_DDL_TEST;
Table dropped.
--DDL审计用户查询审计记录:

 需要注意的这里只审计了create、drop和truncate,如果需要审计所有DDL,只需要修改:after create or drop or truncate on database为after ddl on database即可。

时间: 2024-10-06 19:06:36

ORACLE数据库DDL审计触发器与隐藏参数_system_trig_enabled的相关文章

oracle数据库如何创建触发器实例

Oracle   DBA   Studio   工具里面就能创建触发器 CREATE   TRIGGER     名称     CREATE   TRIGGER   -   创建一个新触发器           语法     CREATE   TRIGGER   name   {   BEFORE   |   AFTER   }   {   event   [OR   ...]   }             ON   table   FOR   EACH   {   ROW   |   STA

关于Oracle数据库设置数据库的触发器的问题

问题描述 关于Oracle数据库设置数据库的触发器的问题 可否设置一个触发器,当新建数据的时候,自动将这个数据的ID存入到另一个外键关联表中 解决方案 Oracle数据库中有关触发器问题Oracle数据库中的触发器数据库触发器----ORACLE 解决方案二: 可以,对该表的insert语句建立触发器,在触发器里进行另一张表的insert. 解决方案三: 当然可以,触发的事件即为insert

Oracle数据库密码文件的使用与维护

oracle|数据|数据库 概要:Oracle关系数据库系统以其卓越的性能获得了广泛的应用,而保证数据库的安全性是数据库管理工作的重要内容.本文是笔者在总结Oracle数据库安全管理工作的基础上,对Oracle数据库系统密码文件的创建.使用和维护作了详细的介绍,供大家参考. 关键词:Oracle数据库密码文件 在Oracle数据库系统中,用户如果要以特权用户身份(INTERNAL/SYSDBA/SYSOPER)登录Oracle数据库可以有两种身份验证的方法:即使用与操作系统集成的身份验证或使用O

Oracle数据库密码文件的使用和维护

oracle|数据|数据库 概要:Oracle关系数据库系统以其卓越的性能获得了广泛的应用,而保证数据库的安全性是数据库管理工作的重要内容.本文是笔者在总结Oracle数据库安全管理工作的基础上,对Oracle数据库系统密码文件的创建.使用和维护作了详细的介绍,供大家参考. 关键词:Oracle数据库 密码文件 在Oracle数据库系统中,用户如果要以特权用户身份(INTERNAL/SYSDBA/SYSOPER)登录Oracle数据库可以有两种身份验证的方法:即使用与操作系统集成的身份验证或使用

Oracle数据库密码文件的使用与维护_oracle

正在看的ORACLE教程是:Oracle数据库密码文件的使用与维护.概要:Oracle关系数据库系统以其卓越的性能获得了广泛的应用,而保证数据库的安全性是数据库管理工作的重要内容.本文是笔者在总结Oracle数据库安全管理工作的基础上,对Oracle数据库系统密码文件的创建.使用和维护作了详细的介绍,供大家参考. 关键词:Oracle数据库密码文件 在Oracle数据库系统中,用户如果要以特权用户身份(INTERNAL/SYSDBA/SYSOPER)登录Oracle数据库可以有两种身份验证的方法

Oracle数据库密码文件的使用和维护_oracle

正在看的ORACLE教程是:Oracle数据库密码文件的使用和维护.概要:Oracle关系数据库系统以其卓越的性能获得了广泛的应用,而保证数据库的安全性是数据库管理工作的重要内容.本文是笔者在总结Oracle数据库安全管理工作的基础上,对Oracle数据库系统密码文件的创建.使用和维护作了详细的介绍,供大家参考.  关键词:Oracle数据库 密码文件  在Oracle数据库系统中,用户如果要以特权用户身份(INTERNAL/SYSDBA/SYSOPER)登录Oracle数据库可以有两种身份验证

PostgreSQL 事件触发器应用 - DDL审计

标签 PostgreSQL , 事件触发器 , DDL审计 , 表结构变更 , 建表等审计 背景 DDL语句的审计是非常重要的,目前PG的DDL审计记录在日志文件中.不便于查看. 为了让DDL事件记录到表中,方便查看,我们可以通过事件触发器来达到这个效果. 事件触发器审计DDL操作 事件触发器语法: Command: CREATE EVENT TRIGGER Description: define a new event trigger Syntax: CREATE EVENT TRIGGER

Oracle数据库审计功能详解

一.审计分类: Oracle中审计总体上可分为"标准审计"和"细粒度审计"后者也称为"基于政策的审计",在Oracle10G之后功能得到很大增强.其中标准审计可分为用户级审计和系统级审计.用户级审计是任何Oracle用户可设置的审计,主要是用户针对自己创建的数据库表或视图进行审计,记录所有用户对这些表或视图的一切成功和(或)不成功的访问要求以及各种类型的SQL操作.系统级审计只能由DBA设置,用以监测成功或失败的登录要求.监测GRANT和REVO

Oracle数据库中的控制文件管理以及常用参数设置_oracle

一.控制文件 作用:         二进制文件         记录了数据库当前实例的结构和行为,数据文件日志文件的信息,维护数据库一致性         参数文件中定义了控制文件的位置和大小         很小的二进制文件,一般不超过100m         mount阶段open以后,一直在用         一套控制文件只能连接一个database         分散放置,至少一份,至多八份 相关视图:         v$controlfile ---- 列出实例的所有控制文件的名