Аудит FGA и обычный аудит: различия
Если стандартный и детальный аудит похожи в сервере Oracle Database 10g, вы вполне вправе спросить, в каких случаях выбор будет явно в пользу средств FGA? Рассмотрим различия:
- стандартный аудит должен быть включен на уровне базы данных установкой параметра AUDIT_TRAIL (журнал аудита). Этот параметр не является динамическим: вы должны перезапустить экземпляр Oracle, чтобы он вступил в силу. Напротив, FGA не требует никаких изменений параметров;
- включенная опция стандартного аудита для объекта остается такой постоянно. Чтобы дезактивировать ее, вы должны удалить эту опцию аудита, используя оператор NOAUDIT. Это может быть неудобно, потому что удаление опции аудита для таблицы приводит также к удалению информации о метаданных. Средства FGA, однако, могут быть временно отключены и вновь включены без какой-либо потери информации о метаданных;
- средства FGA могут обрабатывать только четыре типа операторов: SELECT, INSERT, UPDATE и DELETE. Регулярный аудит, напротив, может обрабатывать много других операторов и привилегий, даже соединения и отсоединения сеансов от базы данных;
- средства стандартного аудита создают только одну запись для сеанса (режим by session) или одну запись при каждом доступе к объекту (режим by access). Это умеренное потребление пространства важно для управления пространством в таблицах журнала аудита. Средства FGA более расточительны: они срабатывают при каждом доступе, что приводит к большему росту журнала аудита;
- стандартный аудит может использоваться для обнаружения любых попыток взлома; при записи в журнал аудита, если попытка была неудачной, записывается код ошибки. Средства FGA не умеют этого делать;
- средства стандартного аудита могут записывать журнал аудита в таблицы базы данных или в файлы операционной системы. Последний режим полезен, когда доступ к журналу имеет только аудитор, а не администратор базы данных. В ОС Windows записи аудита могут вноситься в файл регистрации событий системы Event Log. Эта опция позволяет защищать целостность записей аудита. Журнал аудита FGA пишется только в таблицу базы данных FGA_LOG$. В FGA вы можете создать определяемые пользователями обработчики событий аудита, чтобы писать в файлы ОС, но их целостность не гарантируется;
- средства стандартного аудита могут быть настроены для аудита объектов, создаваемых по умолчанию. Эта возможность становится чрезвычайно полезной в тех случаях, когда таблицы создаются во время исполнения. Опция аудита объектов, создаваемых по умолчанию, позволяет включать аудит без вмешательства администратора базы данных. Это невозможно в FGA; правила аудита нужно создавать для существующей таблицы, а это можно сделать только после фактического создания таблицы;
- в FGA средства аудита становятся намного более гибкими – только тогда, когда выполняется доступ к определенным столбцам, когда выполняется определенное условие и т.д. Эта многосторонность удобна, если необходимо управлять ростом журнала аудита;
- переменные связывания в SQL-операторах в FGA записываются в журнал аудита по умолчанию. Для обычного аудита в параметре инициализации audit_trail для этого должно быть установлено значение db_extended;
- требуемые привилегии различны: для выполнения обычного аудита требуется соответствующая системная привилегия или привилегия выполнения оператора аудита; для FGA требуется только привилегия выполнения пакета dbms_fga.
Данное сравнение позволяет понять, почему средства FGA в определенных случаях могут оказаться полезными. Расширенные средства обычного аудита в сервере Oracle Database 10g обеспечивают решение некоторых задач, которое раньше было невозможно, например, регистрацию значений переменных связывания.
