数据库审计细粒度数据库审计

通过对不同数据库的SQL语义分析，提取出SQL中相关的要素（用户、SQL操作、表、字段、视图、索引、过程、函数、包…） 实时监控来自各个层面的所有数据库活动，包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程登录服务器后的操作请求等 通过远程命令行执行的SQL命令也能够被审计与分析，并对违规的操作进行阻断 系统不仅对数据库操作请求进行实时审计，而且还可对数据库返回结果进行完整的还原和审计，同时可以根据返回结果设置审计规则。

内置式数据库审计运维

虽然内置式的数据库审计系统存在诸多不足，但是对于一些特定场景，比如：仅仅监控数据库超级管理员的操作，或只想审计某个数据库对象（表、序列号等）的使用情况时，还是可以开启数据库产品内置的审计功能的。对于内置式数据库审计系统，要做好审计策略、审计对象、审计操作、审计范围的取舍，确保在不影响系统性能的前提下实现审计目标。在日常运维时需要定期查询审计结果，及时发现敏感操作。

数据库审计

网络旁听模式的审计系统会记录所有的客户端发往生产数据库系统的SQL代码，并且不会对生产数据库产生任何影响，所以不必设定审计范围。但是需要设定审计告警策略，即：针对哪些数据库对象的哪些操作，审计系统会主动发出告警信息。主动发送告警信息是网络旁听模式数据库审计系统的一个重要功能，这个功能使得数据库管理员能够在安全事件发生后较短时间内被通知。数据库管理员需要在审计系统中设置需要对什么数据库对象/表的何种操作（查询、修改、删除）进行主动告警。

数据库审计结果性的表现

旁路式：由于是基于全流量的审计，如果能配合sql语句的协议解析和特征捕获等技术，可以准确关联语句和会话，进行的审计结果查询分析能力；准确关联应用用户与SQL语句，这样可以实现对业务行为的审计。在此基础上形成的规则库，也能够的识别风险访问及漏洞攻击行为。

植入式：由于是基于正则表达式完成SQL语句规则，无法基于通讯协议解析命中语句规则，在实际工作中，会导致语句和会话无法关联，不能按照会话进行语句梳理汇总，那么会缺乏连贯分析能力；并且，由于不是基于流量和协议的SQL语句解析，对于目前用户普遍要求的应用关联审计，也无法实现。