高危防范：巧用触发器，实现DDL监控

在数据运维过程中，常常因为DBA的疏忽而使数据安全面临威胁，有些威胁来自数据库外部，如rm操作，而有些威胁则来自数据库内部，如Truncate操作.因此对于数据库的任何操作都要三思而后行，减少出错的几率。同时对于TRUNCATE等高风险的数据库DDL操作，可以考虑通过触发器进行禁用，防止未授权的操作损害数据。

（1）如下触发器实现对于特定表的DROP、TRUNCATE防范：

如果用户试图对 test 表进行 DROP 或 TRUNCATE 操作，则将遇到错误：

（2）以下触发器可以实现全库级别的 DDL 防范：

在以下类似操作中，触发器的作用就体现出来：

（3）对于某些数据库环境，也可以限定DDL操作只能在数据库服务器本地执行，对于远程执行则予以禁止，类似的触发器可以参考如下代码，以下代码基于Schema模式建立，需要对于V$SESSION的访问授权，自定义的记录信息被写入告警日志文件：

此时如果通过远程进行DDL操作，就会收到错误：

在告警日志文件中会同时记录移行错误信息：

在本地的DROP操作可以进行：

以上是一些示范，供参考，在系统中采用需要经过测试和改进。

因为DDL的重要性，在Oracle11g中，DDL日志机制被引入，可以通过enable_ddl_logging参数设置，如果启用日志，DDL操作的信息都将被记录到告警日志中：

在Oracle Database 12c中，为了防止DDL日志对于告警日志的干扰，DDL日志进一步的独立出来，记录了一个独立的DDL日志。

oel*orcl12c-/u01/app/oracle/diag/rdbms/eygle/eygle/log/ddl$ls -l 总用量 8 -rw-r-----. 1 oracle oinstall 4235 2月 17 17:32 log.xml

以下是日志中记录的DROP表操作：

Fri Feb 17 17:32:27 2012 diag_adl:drop table eygle

由此可见，DDL审计和记录是众多Oracle数据库用户的需求，同时Oracle 也不断做出改变来满足用户的需求。

最后，还是要再次强调，虽然可以通过一些方式防范DDL对数据的威胁，但作为一个合格的DBA，一定要严谨专注，任何操作都必须三思而后行，承担起数据责任，不能有丝毫的马虎和大意，草率的判断和轻忽的选择对数据来说很可能是致命的。

以上文，与所有DBA朋友们共勉。