数据库内置的审计功能

这种审计系统利用数据库本身内置的审计功能，能够审计绝大多数数据库操作。但是审计的细粒度很低，而且也很难还原SQL操作本身。比如：对于一个数据删除操作；假设表EMP满足条件的记录数有100条，那么在数据库审计系统中会有100条DELETE操作，而不是真正的SQL语句：并且大多数现有的数据库无法准确审计DDL语句，如：ALTER TABLE XXX ADD （col...），个别数据库产品可以审计DDL语句，但是那都是靠创建数据库级别的触发器实现的。

数据库审计的功能

一.  加密协议解析

数据库有时会采用加密协议通讯，为审计解析带来了困难，但这也是数据库审计产品必须解决的问题，否则将无法实现数据库访问完全审计的任务。比如说针对SQL Server默认的数据库用户加密或者更深层次的加密协议，都需要数据库审计产品提供相应的解决办法。

二.  复杂环境的数据采集

数据库审计产品除了常规的旁路部署通过交换机镜像数据库访问流量的审计方法外，还应具备适用于复杂网络的数据采集方式，例如在复杂的虚拟化网络环境下，通过“探针”方式捕获数据库流量。但是无论哪种部署方式，都需要在不影响数据库原有性能，无需应用、网络环境改造的前提下，提供可靠的数据库审计服务。

三.  应用关联审计与监控

数据库审计产品除了具备常规的客户端一层的审计信息：客户端IP、数据库用户、主机名、操作系统、用户名等，还应具备应用侧风险行为审计与监控的能力，例如对应用账户、应用IP等关联审计信息。

数据库审计特性

1. 审计无漏审、错审：审计数据库中的各种访问行为，审计到操作人、操作工具、终端。不会因为执行语句过长或者链接太短，导致审计信息不完整或者漏审；

2. 分析、快速检索：能够支撑海量业务访问操作，快速分析检索，提供实时的分析结果，为告警提供支撑，避免出现延迟分析等状况；

3. 准确溯源：一旦发生数据库信息泄露事件，可以准确定位业务数据库的操作人，责任人；

4. 报表简单，产品易用，符合监管要求：产品报表增加业务视角，进行展示，做到技术人员和管理人员都能够理解，同时满足监管需求。