ORA-28143错误怎么解决，FGA ADD_POLICY参数传错导致的报错修复办法分享

ORA-28143错误是Oracle数据库中使用细粒度审计功能时，由于在执行DBMS_FGA.ADD_POLICY这个存储过程传递了不正确或不兼容的参数而引发的，就是你告诉数据库要设置一个“监控摄像头”，但给的安装说明（参数）写错了，数据库看不懂或者做不到，于是就报了这个错，下面我们就来详细拆解这个问题，并分享解决办法。

我们得知道这个错误通常在什么情况下发生。

根据Oracle官方文档和大量DBA的实践经验,DBMS_FGA.ADD_POLICY过程对参数的要求非常严格，很多错误都是因为参数值超出了允许的范围或者相互之间存在冲突，常见的触发场景包括：

1. 策略名重复：OBJECT_SCHEMA（对象所属用户）和OBJECT_NAME（对象名）相同的情况下，你试图创建的POLICY_NAME（策略名）已经存在了，每个表上的策略名必须是唯一的。
2. 审计条件写错了：AUDIT_CONDITION参数是一个字符串，里面写的是SQL的WHERE子句，如果这个条件语法错误，或者引用了不存在的列，就会报错，你写SALARY > 10000，但表中根本没有SALARY这个字段。
3. 审计的列不存在：AUDIT_COLUMN参数指定要监控哪些列，如果你在这里填了一个表中没有的列名，Oracle无法进行监控。
4. 处理器模块指定错误：HANDLER_SCHEMA和HANDLER_MODULE参数用于指定当审计事件发生时，自动调用的一个存储过程，如果这个存储过程不存在，或者你没有执行它的权限，也会导致创建策略失败。
5. 参数组合不合理：某些参数不能同时使用，根据Oracle官方文档的描述，如果你设置了AUDIT_TRAIL参数为DBMS_FGA.XML（将审计记录写入XML文件），那么你就不能再设置HANDLER_MODULE参数，因为这两种处理审计结果的方式是互斥的。

我们一步步来看怎么排查和解决这个错误。

当你看到ORA-28143错误时，别慌，按照下面的思路来检查你的ADD_POLICY语句。

第一步：检查最基础的——策略名和对象名

这是最先要确认的,问自己两个问题：

• “我给这个策略起的名字，在同一个表上是不是已经用过了？” 你可以通过查询数据字典DBA_AUDIT_POLICIES来查看当前数据库中的所有FGA策略。

  SELECT POLICY_NAME, OBJECT_SCHEMA, OBJECT_NAME FROM DBA_AUDIT_POLICIES;

  如果发现名字冲突,就换一个唯一的策略名。

• “我指定的OBJECT_SCHEMA（表的主人）和OBJECT_NAME（表名）真的存在吗？我有没有拼写错误？” 确保你对该表有足够的权限。

第二步：仔细核对审计条件和审计列

这部分是最容易出错的。

• 对于AUDIT_CONDITION：把它单独拿出来，放到一个SQL查询的WHERE子句里执行一下，你本来想监控EMPLOYEES表中薪水超过10万的记录，条件写的是SALARY > 100000，那你应该先执行：

  SELECT COUNT(*) FROM EMPLOYEES WHERE SALARY > 100000;

  如果这个查询语句能正常执行,说明条件语法和列名基本没问题，如果它报错（比如提示列名无效），那就说明你的AUDIT_CONDITION写错了，需要修正。

• 对于AUDIT_COLUMN：如果你指定了要审计特定的列（比如监控谁查看了SALARY列），请确保这些列确实存在于目标表中，你可以查询USER_TAB_COLUMNS（当前用户下的表）或ALL_TAB_COLUMNS（有权限的表）来确认列名。

  SELECT COLUMN_NAME FROM USER_TAB_COLUMNS WHERE TABLE_NAME = 'EMPLOYEES';

第三步：检查可选的处理器模块

如果你使用了HANDLER_MODULE这个高级功能，务必确认：

• HANDLER_SCHEMA.HANDLER_MODULE这个存储过程是真实存在的。
• 当前执行ADD_POLICY的用户有权限执行那个存储过程。 一个常见的做法是，你先手动调用一下这个存储过程，看是否能成功运行，如果手动调用都失败，那创建策略时肯定也会失败。

第四步：注意参数间的依赖和互斥关系

就像前面提到的,有些参数不能一起用，你需要仔细阅读Oracle官方文档中关于DBMS_FGA.ADD_POLICY的部分，了解每个参数的具体含义和限制条件，特别是当你使用一些不常用的参数（如AUDIT_TRAIL）时，要格外小心。

分享一个实用的调试技巧。

当你无法确定问题出在哪里时,可以采用“最小化原则”来测试，即先创建一个最简单的FGA策略，只填必填参数（对象模式、对象名、策略名、审计条件），并且审计条件设为最简单的1=1（监控所有操作）。

BEGIN
  DBMS_FGA.ADD_POLICY(
    OBJECT_SCHEMA => 'HR',
    OBJECT_NAME => 'EMPLOYEES',
    POLICY_NAME => 'TEST_POLICY_MINIMAL',
    AUDIT_CONDITION => '1=1'
  );
END;
/

如果这个最简单的策略能创建成功,说明基本环境是好的，然后再一步步地添加其他参数（比如AUDIT_COLUMN, HANDLER_MODULE等），每加一个参数就执行一次，直到哪个参数导致报错，问题就出在它身上，这种逐项排除的方法能非常高效地定位问题根源。

解决ORA-28143错误的关键在于耐心和细致，像一个侦探一样，仔细核对错误信息与你输入的每一个参数值，并利用数据字典和简单的SQL测试进行验证，就能找到并修复问题。