Что видел пользователь?
В журнале детального аудита регистрируются фактические операторы, введенные пользователем, вместе со значениями переменных связывания, если они использовались. Типичный оператор, который мог быть записан в журнал аудита: select balance from accounts where acct_no = 10034;
Скажем, эта транзакция была выполнена утром в 10:00, а сейчас – 11:00, в это время остаток на счете, возможно, уже был изменен. Если аудитор (или администратор базы данных) решает увидеть точно то, что пользователь действительно видел в то время, существующее значение столбца, возможно, уже не показывает точную информацию. В случаях промышленного шпионажа или для установления повода или профиля необходимы точные данные, просмотренные пользователем. Даже если средства FGA не зафиксировали точные данные на тот момент времени, мы можем увидеть их, используя другую информацию, зафиксированную в журнале аудита. В этой серии статей вы видели структуру представления DBA_FGA_AUDIT_TRAIL, в которой имеется несколько ключевых столбцов, связанных с сеансом и пользователем. Подходящий столбец здесь – SCN, в котором содержится системный номер изменения (SCN, System Change Number) на момент времени генерации записи аудита. Используя ретроспективный запрос (flashback query), мы можем реконструировать данные на тот момент времени. Предполагая, что значение SCN в журнале аудита было равно 123456, мы можем выполнить следующий запрос: select balance from accounts as of SCN 123456 where acct_no = 10034;
Предложение as of SCN 123456 позволяет получить из таблицы остаток на счете, который был в нужный нам момент времени.
Поскольку ретроспективный запрос ограничен периодом сохранения информации в пространстве отката (undo retention period), транзакции, которые были выполнены за пределами этого периода, будут потеряны для анализа. Однако аудиторы могут анализировать записи аудита, сгенерированные после данного события аудита, используя ретроспективные запросы только для выборки из важных столбцов.
