1、什么是审计

审计（audit)用于监视用户所执行的数据库操作，并且oracle会将审计跟踪结果存放到os文件（默认位置为$oracle_base/admin /$oracle_sid/adump/）或数据库（存储在system表空间中的sys.aud$表中，可通过视图dba_audit_trail查 看）中。默认情况下审计是没有开启的。 不管你是否打开数据库的审计功能，以下这些操作系统会强制记录：用管理员权限连接instance；启动数据库；关闭数据库。

2、和审计相关的两个主要参数

audit_sys_operations：

默认为false，当设置为true时，所有sys用户（包括以sysdba sysoper身份登录的用户）的操作都会被记录，audit trail不会写在aud$表中，这个很好理解，如果数据库还未启动aud$不可用，那么像conn /as sysdba这样的连接信息，只能记录在其它地方。如果是windows平台，audti trail会记录在windows的事件管理中，如果是linux/unix平台则会记录在

audit_file_dest参数指定的文件中。

audit_trail：

none：是默认值，不做审计；

db：将audit trail 记录在数据库的审计相关表中，如aud$，审计的结果只有连接信息； db extended：这样审计结果里面除了连接信息还包含了当时执行的具体语句；

os：将audit trail 记录在操作系统文件中，文件名由audit_file_dest参数指定； xml：10g里新增的。

注：这两个参数是static参数，需要重新启动数据库才能生效。

3、审计级别

当开启审计功能后，可在三个级别对数据库进行审计：statement(语句)、privilege（权限）、object（对象）。

statement：

按语句来审计，比如audit table 会审计数据库中所有的

create table drop table truncate table语句，alter session by cmy会审计cmy用户所有的数据库连接。

privilege：

按权限来审计，当用户使用了该权限则被审计，如执行grant select any table to a，当执行了audit select any table语句后，当用户a 访问了用户b的表时（如select from b.t）会用到select any table权限，故会被审计。注意用户是自己表的所有者，所以用户访问自己的表不会被审计。

object：

按对象审计，只审计on关键字指定对象的相关操作，如

aduit alter delete drop insert on cmy.t by scott 这里会对cmy用户的t表进行审计，但同时使用了by子句，所以只会对scott用户发起的操作进行审计。注意oracle没有提供对schema中所有 对象的审计功能，只能一个一个对象审计，对于后面创建的对象，oracle则提供

on default子句来实现自动审计，比如执行audit drop on default by access 后，对于随后创建的对象的drop操作都会审计。但这个default会对之后创建的所有数据库对象有效，似乎没办法指定只对某个用户创建 的对象有效，想比 trigger可以对schema的ddl进行“审计”，这个功能稍显不足。

4、审计的一些其他选项

by access / by session：

by access 每一个被审计的操作都会生成一条audit trail。

by session 一个会话里面同类型的操作只会生成一条audit trail，默认为by session。 whenever [not] successful：

whenever successful 操作成功(dba_audit_trail中returncode字段为0) 才审计 whenever not successful 反之。省略该子句的话，不管操作成功与否都会审计。

5、和审计相关的视图

dba_audit_trail：保存所有的audit trail，实际上它只是一个基于aud$的视图。其它的视图 dba_audit_session dba_audit_object dba_audit_statement都只是dba_audit_trail 的一个子集。

dba_stmt_audit_opts：可以用来查看statement审计级别的audit options，即数据库设置过哪些statement级别的审计。dba_obj_audit_opts dba_priv_audit_opts视图功能与之类似 all_def_audit_opts：用来查看数据库用on default子句设置了哪些默认对象审计。

6、取消审计

将对应审计语句的audit改为noaudit即可，如audit session whenever successful对应的取消审计语句为noaudit session whenever successful

7、10g中的审计告知一切

oracle 数据库 10g 审计以一种非常详细的级别捕获用户行为，它可以消除手动的、基于触发器的审计。

假定用户 joe 具有更新那张表的权限，并按如下所示的方式更新了表中的一行数据： update scott.emp set salary = 120xx where empno = 123456

您如何在数据库中跟踪这种行为呢？在 oracle 9i 数据库及其较低版本中，审计只能捕获“谁”执行此操作，而不能捕获执行了“什么”内容。例如，它让您知道 joe 更新了 scott 所有的表emp，但它不会显示他更新了该表中员工号为 123456 的薪水列。它不会显示更改前的薪水列的值 — 要捕获如此详细的更改，您将不得不编写您自己的触发器来捕获更改前的值，或使用 logminer 将它们从存档日志中检索出来。

细粒度审计(fga) ，是在 oracle 9i 中引入的，能够记录 scn 号和行级的更改以重建旧的数据，但是它们只能用于 select 语句，而不能用于 dml ，如 update 、insert 和delete 语句。

因此，对于 oracle 数据库 10g 之前的版本，使用触发器虽然对于以行级跟踪用户初始的更改是没有吸引力的选择，但它也是唯一可靠的方法。

8、实例讲解

8.1、激活审计

sql> conn /as sysdba

sql> show parameter audit

name type value

------------------------------------ ----------- ------------------------------ audit_file_dest string /u01/app/oracle/admin/orcl/adump audit_sys_operations boolean false

audit_syslog_level string

audit_trail string none

sql> alter system set audit_sys_operations=true scope=spfile --审计管理用户(以sysdba/sysoper角色登陆)

sql> alter system set audit_trail=db extended scope=spfile

sql> startup force

sql> show parameter audit

name type value

------------------------------------ ----------- ------------------------------ audit_file_dest string /u01/app/oracle/admin/orcl/adump audit_sys_operations boolean true

audit_syslog_level string

audit_trail string db extended

8.2、开始审计

sql> conn /as sysdba

sql> audit all on t_test

sql> conn u_test

sql> select from t_test

sql> insert into u_test.t_test (c2 c5) values (' test1' ' 2' )

sql> commit

sql> delete from u_test.t_test

sql> commit

sql> conn /as sysdba

sql> col dest_name format a30

col os_username format a15

col username format a15

col userhost format a15

col terminal format a15

col obj_name format a30

col sql_text format a60

sql> select os_username username userhost terminal timestamp owner obj_name action_name sessionid os_process sql_text from dba_audit_trail

sql> audit select table by u_test by access

如果在命令后面添加by user则只对user的操作进行审计 如果省去by用户 则对系统中所有的用户进行审计(不包含sys用户).

例：

audit delete any table --审计删除表的操作

audit delete any table whenever not successful --只审计删除失败的情况 audit delete any table whenever successful --只审计删除成功的情况

audit delete update insert on user.table by test --审计test用户对表user.table的delete update insert操作

8.3、撤销审计

sql> noaudit all on t_test

9、审计语句

多层环境下的审计：appserve-应用服务器，jackson-client

audit select table by appserve on behalf of jackson

审计连接或断开连接：

audit session

audit session by jeff lori -- 指定用户

审计权限(使用该权限才能执行的操作)：

audit delete any table by access whenever not successful

audit delete any table

audit select table insert table delete table ute procedure by access whenever not successful

对象审计：

audit delete on jeff.emp

audit select insert delete on jward.dept by access whenever successful 取消审计：

noaudit session

noaudit session by jeff lori

noaudit delete any table

noaudit select table insert table delete table ute procedure

noaudit all -- 取消所有statement审计

noaudit all privileges -- 取消所有权限审计

noaudit all on default -- 取消所有对象审计

10、清除审计信息

delete from sys.aud$

delete from sys.aud$ where obj$name=' emp'

11、审计视图

stmt_audit_option_map -- 审计选项类型代码

audit_actions -- action代码

all_def_audit_opts -- 对象创建时默认的对象审计选项

dba_stmt_audit_opts -- 当前数据库系统审计选项

dba_priv_audit_opts -- 权限审计选项

dba_obj_audit_opts --对象审计选项

user_obj_audit_opts -- 对象审计选项

dba_audit_trail

user_audit_trail -- 审计记录

dba_audit_object

user_audit_object -- 审计对象列表

dba_audit_session

user_audit_session -- session审计

dba_audit_statement

user_audit_statement -- 语句审计

dba_audit_exists -- 使用by audit not exists选项的审计

dba_audit_policies -- 审计policies

dba_common_audit_trail -- 标准审计+精细审计

12、将审计结果表从system表空间里移动到别的表空间上

实际上sys.aud$表上包含了两个lob字段，并不是简单的move table就可以。 下面是具体的过程:

alter table sys.aud$ move tablespace users

alter table sys.aud$ move lob(sqlbind) store as( tablespace users) alter table sys.aud$ move lob(sqltext) store as( tablespace users) alter index sys.i_aud1 rebuild tablespace users

审计参数：

audit_file_dest

audit_sys_operations

audit_syslog_level

audit_trail

第二篇：ORACLE审计小结

1、什么是审计

审计（Audit)用于监视用户所执行的数据库操作，并且Oracle会将审计跟踪结果存放到OS文件（默认位置为$ORACLE_BASE/admin /$ORACLE_SID/adump/）或数据库（存储在system表空间中的SYS.AUD$表中，可通过视图dba_audit_trail查 看）中。默认情况下审计是没有开启的。

不管你是否打开数据库的审计功能，以下这些操作系统会强制记录：用管理员权限连接Instance；启动数据库；关闭数据库。

2、和审计相关的两个主要参数

Audit_sys_operations：

默认为false，当设置为true时，所有sys用户（包括以sysdba,sysoper身份登录的用户）的操作都会被记录，audit trail不会写在aud$表中，这个很好理解，如果数据库还未启动aud$不可用，那么像conn /as sysdba这样的连接信息，只能记录在其它地方。如果是windows平台，audti trail会记录在windows的事件管理中，如果是linux/unix平台则会记录在audit_file_dest参数指定的文件中。

Audit_trail：

None：是默认值，不做审计；

DB：将audit trail 记录在数据库的审计相关表中，如aud$，审计的结果只有连接信息；

DB,Extended：这样审计结果里面除了连接信息还包含了当时执行的具体语句； OS：将audit trail 记录在操作系统文件中，文件名由audit_file_dest参数指定；

XML：10g里新增的。

注：这两个参数是static参数，需要重新启动数据库才能生效。

3、审计级别

当开启审计功能后，可在三个级别对数据库进行审计：Statement(语句)、Privilege（权限）、object（对象）。

Statement：

按语句来审计，比如audit table 会审计数据库中所有的create table,drop table,truncate table语句，alter session by cmy会审计cmy用户所有的数据库连接。

Privilege：

按权限来审计，当用户使用了该权限则被审计，如执行grant select any table to a，当执行了audit select any table语句后，当用户a 访问了用户b的表时（如select * from b.t）会用到select any table权限，故会被审计。注

意用户是自己表的所有者，所以用户访问自己的表不会被审计。

Object：

按对象审计，只审计on关键字指定对象的相关操作，如aduit alter,delete,drop,insert on cmy.t by scott; 这里会对cmy用户的t表进行审计，但同时使用了by子句，所以只会对scott用户发起的操作进行审计。注意Oracle没有提供对schema中所有 对象的审计功能，只能一个一个对象审计，对于后面创建的对象，Oracle则提供on default子句来实现自动审计，比如执行audit drop on default by access;后， 对于随后创建的对象的drop操作都会审计。但这个default会对之后创建的所有数据库对象有效，似乎没办法指定只对某个用户创建的对象有效，想比 trigger可以对schema的DDL进行“审计”，这个功能稍显不足。

4、审计的一些其他选项

by access / by session：

by access 每一个被审计的操作都会生成一条audit trail。

by session 一个会话里面同类型的操作只会生成一条audit trail，默认为by session。

whenever [not] successful：

whenever successful 操作成功(dba_audit_trail中returncode字段为0) 才审计,

whenever not successful 反之。省略该子句的话，不管操作成功与否都会审计。

5、和审计相关的视图

dba_audit_trail：保存所有的audit trail，实际上它只是一个基于aud$的视图。其它的视图 dba_audit_session,dba_audit_object,dba_audit_statement都只是dba_audit_trail 的一个子集。

dba_stmt_audit_opts：可以用来查看statement审计级别的audit options，即数据库设置过哪些statement级别的审计。dba_obj_audit_opts,dba_priv_audit_opts视图功能与之类似

all_def_audit_opts：用来查看数据库用on default子句设置了哪些默认对象审计。

6、取消审计

将对应审计语句的audit改为noaudit即可，如audit session whenever successful对应的取消审计语句为noaudit session whenever successful;

7、10g中的审计告知一切

Oracle 数据库 10g 审计以一种非常详细的级别捕获用户行为，它可以消除手动

的、基于触发器的审计。

假定用户 Joe 具有更新那张表的权限，并按如下所示的方式更新了表中的一行数据：

update SCOTT.EMP set salary = 120xx where empno = 123456;

您如何在数据库中跟踪这种行为呢？在 Oracle 9i 数据库及其较低版本中，审计只能捕获“谁”执行此操作，而不能捕获执行了“什么”内容。例如，它让您知道 Joe 更新了 SCOTT 所有的表EMP，但它不会显示他更新了该表中员工号为 123456 的薪水列。它不会显示更改前的薪水列的值 — 要捕获如此详细的更改，您将不得不编写您自己的触发器来捕获更改前的值，或使用 LogMiner 将它们从存档日志中检索出来。

细粒度审计(FGA) ，是在 Oracle 9i 中引入的，能够记录 SCN 号和行级的更改以重建旧的数据，但是它们只能用于 select 语句，而不能用于 DML ，如 update 、insert 和delete 语句。因此，对于 Oracle 数据库 10g 之前的版本，使用触发器虽然对于以行级跟踪用户初始的更改是没有吸引力的选择，但它也是唯一可靠的方法。

8、实例讲解

8.1、激活审计

SQL> conn /as sysdba

SQL> show parameter audit

NAME TYPE VALUE

------------------------------------ ----------- ------------------------------

audit_file_dest string /u01/app/oracle/admin/ORCL/adump

audit_sys_operations boolean FALSE

audit_syslog_level string

audit_trail string NONE

SQL> alter system set audit_sys_operations=TRUE scope=spfile; --审计管理用户(以sysdba/sysoper角色登陆)

SQL> alter system set audit_trail=db,extended scope=spfile;

SQL> startup force;

SQL> show parameter audit

NAME TYPE VALUE

------------------------------------ ----------- ------------------------------

audit_file_dest string /u01/app/oracle/admin/ORCL/adump

audit_sys_operations boolean TRUE

audit_syslog_level string

audit_trail string DB,

EXTENDED

8.2、开始审计

SQL> conn /as sysdba

SQL> audit all on t_test;

SQL> conn u_test

SQL> select * from t_test;

SQL> insert into u_test.t_test (c2,c5) values ('test1','2'); SQL> commit;

SQL> delete from u_test.t_test;

SQL> commit;

SQL> conn /as sysdba

SQL> col DEST_NAME format a30

col OS_USERNAME format a15

col USERNAME format a15

col USERHOST format a15

col TERMINAL format a15

col OBJ_NAME format a30

col SQL_TEXT format a60

SQL> select OS_USERNAME,username,USERHOST,TERMINAL,TIMESTAMP,OWNER,obj_name,ACTION_NAME,sessionid,os_process,sql_text from dba_audit_trail;

sql> audit select table by u_test by access;

如果在命令后面添加by user则只对user的操作进行审计,如果省去by用户,则对系统中所有的用户进行审计(不包含sys用户).

例：

AUDIT DELETE ANY TABLE; --审计删除表的操作

AUDIT DELETE ANY TABLE WHENEVER NOT SUCCESSFUL; --只审计删除失败的情况

AUDIT DELETE ANY TABLE WHENEVER SUCCESSFUL; --只审计删除成功的情况 AUDIT DELETE,UPDATE,INSERT ON user.table by test; --审计test用户对表user.table的delete,update,insert操作

8.3、撤销审计

SQL> noaudit all on t_test;

9、审计语句

多层环境下的审计：appserve-应用服务器，jackson-client

AUDIT SELECT TABLE BY appserve ON BEHALF OF jackson;

审计连接或断开连接：

AUDIT SESSION;

AUDIT SESSION BY jeff, lori; -- 指定用户

审计权限(使用该权限才能执行的操作)：

AUDIT DELETE ANY TABLE BY ACCESS WHENEVER NOT SUCCESSFUL;

AUDIT DELETE ANY TABLE;

AUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE, EXECUTE PROCEDURE BY ACCESS WHENEVER NOT SUCCESSFUL;

对象审计：

AUDIT DELETE ON jeff.emp;

AUDIT SELECT, INSERT, DELETE ON jward.dept BY ACCESS WHENEVER SUCCESSFUL;

取消审计：

NOAUDIT session;

NOAUDIT session BY jeff, lori;

NOAUDIT DELETE ANY TABLE;

NOAUDIT SELECT TABLE, INSERT TABLE, DELETE TABLE,EXECUTE PROCEDURE; NOAUDIT ALL; -- 取消所有statement审计

NOAUDIT ALL PRIVILEGES; -- 取消所有权限审计

NOAUDIT ALL ON DEFAULT; -- 取消所有对象审计

10、清除审计信息

DELETE FROM SYS.AUD$;

DELETE FROM SYS.AUD$ WHERE obj$name='EMP';

11、审计视图

STMT_AUDIT_OPTION_MAP -- 审计选项类型代码

AUDIT_ACTIONS -- action代码

ALL_DEF_AUDIT_OPTS -- 对象创建时默认的对象审计选项

DBA_STMT_AUDIT_OPTS -- 当前数据库系统审计选项

DBA_PRIV_AUDIT_OPTS -- 权限审计选项

DBA_OBJ_AUDIT_OPTS

USER_OBJ_AUDIT_OPTS -- 对象审计选项

DBA_AUDIT_TRAIL

USER_AUDIT_TRAIL -- 审计记录

DBA_AUDIT_OBJECT

USER_AUDIT_OBJECT -- 审计对象列表

DBA_AUDIT_SESSION

USER_AUDIT_SESSION -- session审计

DBA_AUDIT_STATEMENT

USER_AUDIT_STATEMENT -- 语句审计

DBA_AUDIT_EXISTS -- 使用BY AUDIT NOT EXISTS选项的审计

DBA_AUDIT_POLICIES -- 审计POLICIES

DBA_COMMON_AUDIT_TRAIL -- 标准审计+精细审计

12、将审计结果表从system表空间里移动到别的表空间上

实际上sys.aud$表上包含了两个lob字段，并不是简单的move table就可以。 下面是具体的过程:

alter table sys.aud$ move tablespace users;

alter table sys.aud$ move lob(sqlbind) store as( tablespace USERS); alter table sys.aud$ move lob(SQLTEXT) store as( tablespace USERS); alter index sys.I_AUD1 rebuild tablespace users;

--End--

第三篇：XX法院审判大楼跟踪审计总结

XX市人民法院审判大楼工程

现场跟踪审计工作总结

XX工程造价师事务所有限公司

20xx-06-25

受XX市人民法院委托，我跟踪审计小组于20xx年x月至20xx年x月参与XX市人民法院审判大楼工程的建设，对本工程施工建设进行全程跟踪审计工作，坚持独立、客观、公正的原则，科学严谨的进行计量工作和处理每一份月报、签证，并向建设单位提出合理化建议，本着实事求是的态度对发生的工程量及造价进行有效的控制。

一、工程概况及计价特征

1、工程概况：XX人民法院审判大楼工程,位于XX市黄山以东，长江路以北，资金来源：财政拨款。由XX市建筑研究设计院设计，建筑面积21641m2，建设总层数为五层，主体为现浇混疑土框架结构。由XX建筑安装工程公司中标施工，合同造价2578.94万元，合同工期510天，工程质量标准为合格。监理公司由XX监理有限公司负责实施。

1.1 工程进度完成情况：工程项目已全部完成，符合交付使用条件。

2、计价特征：本工程采用按实结算的合同方式，工程结算时工程量按实际发生的工程量计算，定额套用20xx年《江苏省建筑工程综合预算定额》及其补充定额和相关文件规定，材料价格按实际施工时的市场价计算，让利幅度按合同规定计算。

二、跟踪审计工作的主要工作

我们现场跟踪审计小组要做的主要工作是：

1． 记录施工时真实情况，重点核减工程量及工程价款。

2． 节约投资建设资金。

3． 做到监督和服务并举。

保证工程能顺利、健康、按时优质完成。

本工程现场跟踪审计主要审计点的确定：

经过我现场跟踪审计组成员对XX市人民法院审判大楼工程施工图纸的熟悉和讨论，在现场踏勘之后，并结合本工程的招投标文件、施工合同等内容，确定以下主要审计点：

（1）场地平整、碾压前原始标高的测量工作。

（2）重点关注圆顶球形屋面的施工工艺及人、材、机的实际消耗量。

（3）施工时期材料价格的波动情况，并收集相关原始依据。

（4）对围墙等无设计图纸工程项目的隐蔽工程及时真实的记录。

（5）认真核实工程量清单内工作内容是否与实际完成工作内容相同。

（6）变更、签证的复核确认

三、跟踪审计工作的主要成绩

1、现场跟踪审计组成员深入工地现场，参加工程例会，积极与业主和监理单位沟通，了解工程进度的总体情况，结合施工进度计划和本细则确定的现场跟踪审计点，制定分阶段的跟踪审核计划，并由审计组长复核后实施。

2、严格控制隐蔽工程和施工现场所发生的各种费用的签证，按照计价规范严格复核现场工程量签证的合理性，与定额计算规则是否发生冲突，并必须由甲方、项目管理负责人、监理和造价工程师现场共同认可，才能生效，保证了签证的正确性。对工程施工过程中发生的设计变更和现场签证进行核实，对工程量确认，对可能影响工程造价的变更事项提出审核意见和说明，为业主决策提供依据和参考意见。跟踪审计项目组在审计期间，共审核现场签证单215份，现场取证照片150余张，审核验工月报18份，核减施工进度款支付250.36万元。

3、在现场施工的同时，对隐蔽工程的一切数据均在下道工序施工前进行测量记录，并及时办好签证验收记录。

4、深入工地现场了解实际情况，对现场施工工艺和材料使用进行记录取证，大型会议中心的C35砼预制大型拱形屋面板的现场制作时，对地胎模、木模板、实际使用的人工、机械、材料以及吊装用

的机械设备型号等进行全过程测量记录，在结算时为业主提供了可靠的真实依据。同时对办公楼、食堂等在招标范围内没做的项目进行了汇总，为工程竣工结算审计提供依据。

5、 积极向建设单位提供合理化建议

跟踪审计项目组积极参加图纸会审，了解施工图纸变更情况。审核施工组织设计，结合工程项目的实际情况、机械装备情况、材料、运输及地质情况，对其中的主要施工方案进行经济技术分析，对一些施工进度、工艺、方案提出合理化建议，进一步优化施工组织设计。 经过对本工程的跟踪审计工作，我审计组已掌握了工程的具体情况。我们在审计工作中采用科学合理的方法，客观、公正的对工程造价进行全方位的监督和控制，并体现出了非常显著的效果。

XX工程造价师事务所有限公司

20xx．6．25