概述

Oracle Database 12c 推出一套全新的审计架构，称为统一审计功能。统一审计主要利用策略和条件在 Oracle 数据库内部有选择地执行有效的审计。新架构将现有审计跟踪统一为单一审计跟踪，从而简化了管理，提高了数据库生成的审计数据的安全性。统一审计跟踪（unified audit trail）存放在SYSAUX表空间AUDSYS schema下的只读表中，审计信息通过UNIFIED_AUDIT_TRAIL视图以统一格式提供访问，在单实例和RAC中均可用。

参考：

12c的传统审计（即11g里的标准审计和精细审计）：

https://docs.oracle.com/en/database/oracle/oracle-database/12.2/sqlrf/AUDIT-Traditional-Auditing.html#GUID-ADF45B07-547A-4096-8144-50241FA2D8DD

12c的unified审计：

https://docs.oracle.com/en/database/oracle/oracle-database/12.2/sqlrf/AUDIT-Unified-Auditing.html#GUID-B24D6874-4053-4E66-8238-6CD0C87E9DCA

一、统一审计优点

1. 启用统一审计后，不再依赖于先前版本中使用的初始化参数

AUDIT_TRAIL
AUDIT_FILE_DEST
AUDIT_SYS_OPERATIONS
AUDIT_SYSLOG_LEVEL
UNIFIED_AUDIT_SGA_QUEUE_SIZE

2. 审计记录格式和存放位置统一

所有审计记录（包括对SYS的审计记录）都采用同一格式存放在同一位置，无须查看不同位置和查找不同格式的审计记录。

3. 提升了审计记录的管理和安全性

4. 整体审计性能大大提高。

默认情况下，审计记录会自动写入AUDSYS架构中的内部关系表。

5. 简单的审计策略管理方式

可以创建命名审计策略，以审计第一节列出的受支持组件及SYS用户。此外，可以在策略中构建条件和排除项。

如果使用Oracle Audit Vault和Database Firewall，统一审计跟踪可以极大地方便收集审计数据，因为所有数据都来自同一位置。

二、传统审计与统一审计切换

1、查看数据库审计模式

TRUE为纯统一审计，FALSE为使用混合模式审计

 SELECT VALUE FROM V$OPTION WHERE PARAMETER = 'Unified Auditing';

2、混合模式切换为纯统一审计

--关闭数据库
conn /as sysdba
SHUTDOWN IMMEDIATE

--切换 
$ lsnrctl stop listener_name
$ cd $ORACLE_HOME/rdbms/lib
$ make -f ins_rdbms.mk uniaud_on ioracle ORACLE_HOME=$ORACLE_HOME
$ lsnrctl start listener_name
--开启数据库
conn /as sysdba
STARTUP

3、关闭统一审计

--关闭数据库
conn /as sysdba
SHUTDOWN IMMEDIATE
 
--关闭统一审计
$ lsnrctl stop listener_name
$ cd $ORACLE_HOME/rdbms/lib
$ make -f ins_rdbms.mk uniaud_off ioracle
$ lsnrctl start listener_name
 
--开启数据库
conn /as sysdba
STARTUP

三、 统一审计策略管理

1、谁可以进行审计

Oracle为执行审计的用户提供了两个角色：AUDIT_ADMIN和AUDIT_VIEWER。

AUDIT_ADMIN：创建统一和细粒度的审计策略、查看审计数据及管理审计跟踪管理（读写权限）

AUDIT_VIEWER：查看和分析审计数据（只读权限），需要此角色的用户通常是外部审计员。

2.、12c默认开启的统一审计策略

12c数据库中预先定义了一些审计策略，根据版本不同，默认开启的审计策略也略有不同。可以通过audit_unified_enabled_policies视图进行查看默认开启的统一审计策略

12.1.0.1中，默认开启了ORA_SECURECONFIG审计策略，数据库会根据这个审计策略

12.1.0.2中，默认开启了ORA_SECURECONFIG和ORA_LOGON_FAILURES审计策略

需要说明的是，ORA_SECURECONFIG审计策略在12.1.0.1和12.1.0.2的版本上的定义是不同的。

12.1.0.1中，ORA_SECURECONFIG审计策略包含了对所有LOGON和LOGOFF的审计。

12.1.0.2中，ORA_SECURECONFIG审计策略移除了对所有LOGON和LOGOFF的审计，而增加了一个新的审计策略ORA_LOGON_FAILURES，用于仅审计登陆失败的操作。这样更加方管理，也能改善因为大量LOGON和LOGOFF的审计对表空间的浪费。

四、 常用视图

AUDIT_UNIFIED_POLICIES - 记录DB内所有统一审计策略

AUDIT_UNIFIED_ENABLED_POLICIES - 记录DB内所有已启用的统一审计策略

UNIFIED_AUDIT_TRAIL - 记录所有统一审计结果

col OS_USERNAME format a15
col SQL_TEXT format a30
COL AUDIT_TYPE format a10
col ACTION_NAME format a10
col UNIFIED_AUDIT_POLICIES format a10
select AUDIT_TYPE,OS_USERNAME,TERMINAL,ACTION_NAME, SQL_TEXT,UNIFIED_AUDIT_POLICIES from UNIFIED_AUDIT_TRAIL where OBJECT_NAME='SRM';

五、 案例--配置统一审计策略

1、语法

使用 CREATE AUDIT POLICY 语句

CREATE AUDIT POLICY policy_name
    { {privilege_audit_clause [action_audit_clause ] [role_audit_clause ]}
        | { action_audit_clause [role_audit_clause ] } 
        | { role_audit_clause }
     }        
    [WHEN audit_condition EVALUATE PER {STATEMENT|SESSION|INSTANCE}] 
    [CONTAINER = {CURRENT | ALL}];

2、实例

2.1、创建审计策略，审计对表SRM.HRM_EMPLOYEES的select操作

 create audit policy up1 actions select on SRM.HRM_EMPLOYEES;

2.2、启用审计策略

 audit policy up1;

2.3、查看审计策略

 select POLICY_NAME,AUDIT_OPTION_TYPE,OBJECT_NAME,COMMON from AUDIT_UNIFIED_POLICIES where POLICY_NAME=upper('up1');

2.4、查看已启用的审计策略

 select USER_NAME,POLICY_NAME,ENABLED_OPT,SUCCESS,FAILURE from AUDIT_UNIFIED_ENABLED_POLICIES;

2.5、禁用审计策略

 NOAUDIT POLICY UP1;

2.6、删除审计策略

在删除审计策略之前，必须禁用掉该审计策略，否则会报ORA-46361错误

DROP AUDIT POLICY UP1;
select POLICY_NAME,AUDIT_OPTION_TYPE,OBJECT_NAME,COMMON from AUDIT_UNIFIED_POLICIES where POLICY_NAME = upper('up1');

觉得有用的朋友多帮忙转发哦！后面会分享更多devops和DBA方面的内容，感兴趣的朋友可以关注下~