Unified Auditing 功能

持续审计

Oracle Database 中部分与安全高度相关的数据库活动会被强制审计，且无法禁用。您可借助这些默认审计功能，从一开始就启动数据库审计工作。这些活动包括但不限于以下这些：

• 数据库开启前，具有管理员权限的用户（如 SYSDBA、SYSOPER、SYSASM、SYSBACKUP、SYSDG、SYSKM）执行的顶级语句。
• 尝试修改或删除审计记录。
• Oracle Database Vault 配置变更。
• 与审计相关的活动，例如修改审计策略、执行 DBMS_AUDIT_MGMT 包。

若需获取与您数据库版本对应的完整强制审计事件清单，请参阅《Oracle Database 安全指南》中的“强制审计的活动”章节。

预定义审计策略

Oracle Database 提供多项预先设计且现成可用的实践范例统一审计策略，涵盖常见的安全相关审计设置，例如：

• 对失败的登录和注销的审计。
• 对 Oracle Database 参数设置变更的审计。
• 对用户账户及权限修改的审计。
• 对安全技术实施指南 (STIG) 合规性要求的审计。

部分策略默认处于启用状态。Oracle Autonomous Database 还额外提供了多项默认启用的审计功能。

如需了解更多详情，请参阅《Oracle Database 安全指南》中的使用预定义统一审计策略审计活动章节。如果使用的是 Autonomous Database，请参阅《使用 Oracle Autonomous Database Serverless 指南》中的 Autonomous Database 上的默认审计策略章节。如果您通过 Data Safe 或 AVDF 监控数据库目标，会看到更多预定义统一审计策略，且可一键配置启用。如需了解更多详情，请参阅《AVDF 审计员指南》中的配置统一审计策略章节，以及《使用 Oracle Data Safe》中的关于 Oracle Data Safe 审计策略章节。

条件审计

通过条件审计，您可以创建精准、具有高度选择性且具备上下文感知能力的策略，这有助于更便捷地审计特定操作，并减少无关审计记录的数量。条件审计能降低存储需求，同时提供高价值的审计记录，为审计人员、司法调查或监管合规要求提供有力支持。审计条件可基于应用上下文、会话上下文或内置函数设定。

命名审计策略可创建一次，并在多个维度（如用户和角色）中强制执行，从而提供更高的灵活性和简洁性。如需了解更多详情，请参阅《Oracle Database 安全指南》中的带可配置条件的 Unified Auditing 章节。

扩展统一审计线索

通过配置应用上下文值的审计，可扩展统一审计跟踪记录，使其包含应用属性。应用上下文命名空间中可填充所需属性，这些属性会被捕获到统一审计跟踪记录的 APPLICATION_CONTEXTS 列中。如需了解更多详情，请参阅《Oracle Database 安全指南》中的扩展 Unified Auditing 以捕获自定义属性章节。

审计完整性

Unified Auditing 通过防篡改的审计跟踪记录确保审计跟踪记录具备高度完整性。统一审计跟踪记录存储在 AUDSYS 模式中，任何人都不得登录数据库中的该模式。AUD$UNIFIED 是一张专用表，仅允许 INSERT 活动。任何直接截断、删除或更新 AUD$UNIFIED 表内容的尝试都将失败并生成审计记录。审计数据使用内置的审计数据管理 DBMS_AUDIT_MGMT 包进行管理。此外，审计表空间可通过透明数据加密 (TDE) 进行加密，统一审计表还可通过 Oracle Database Vault 领域进行保护。

设置 UNIFIED_AUDIT_SYSTEMLOG 参数后，统一审计记录的某些关键字段会写入系统日志，而完整的审计记录则写入 UNIFIED_AUDIT_TRAIL。系统日志记录无法被 Oracle Database 及其用户修改，因此可通过系统日志中的审计字段验证统一审计跟踪记录中的审计数据。

合并

Unified Auditing 将多个传统审计跟踪记录整合为单个统一的审计跟踪记录。审计记录由多种审计源生成，包括以下类型：

• 与审计系统相关的来源，例如各类审计记录，包括 SYS 审计记录
• 强制审计记录
• 与安全控制相关的来源，例如 Oracle Database Vault、Oracle Label Security 和 Oracle Real Application Security
• 与数据库操作相关的来源，例如 Oracle Recovery Manager、Oracle Data Pump 和 Oracle SQL*Loader

通过 Unified Auditing，所有审计来源产生的审计记录都会写入整合审计跟踪记录，该跟踪记录可以是一个 AUDSYS.AUD$UNIFIED 表或操作系统文件，并通过 UNIFIED_AUDIT_TRAIL 视图展示。统一审计跟踪记录还会标准化审计记录格式，在所有审计来源中采用统一的列名和数据类型。这种经过整合、标准化的统一审计跟踪记录简化了不同审计来源生成的审计记录的收集、分析与管理。一致的格式则降低了审计数据的报告编制与分析的复杂性。