logo - 跳到首页

VastbaseG100

基于openGauss内核开发的企业级关系型数据库。

Menu

操作审计

  • audit_system_object

    参数说明: 该参数决定是否对Vastbase数据库对象的CREATE、DROP、ALTER操作进行审计。Vastbase数据库对象包括DATABASE、USER、schema、TABLE等。通过修改该配置参数的值,可以只审计需要的数据库对象的操作。

    参数属于SIGHUP类型参数,请参考表11-1中对应设置方法进行设置。

    取值范围: 整型,0~2097152

    • 0代表关闭Vastbase数据库对象的CREATE、DROP、ALTER操作审计功能。

    • 非0代表只审计Vastbase的某类或者某些数据库对象的CREATE、DROP、ALTER操作。

    取值说明

    该参数的值由多个二进制位的组合求出,前19个二进制位分别代表Vastbase的19类数据库对象。如果对应的二进制位取值为0,表示不审计对应的数据库对象的CREATE、DROP、ALTER操作;取值为1,表示审计对应的数据库对象的CREATE、DROP、ALTER操作。前19个二进制位代表的具体审计内容请参见表21-4。

    如果对安全标签对象的DDL(创建、应用、删除)操作进行审计,则需将该参数设置为2097152

    默认值: 12295

表10-4 audit_system_object取值含义说明

二进制位 含义 取值说明
第0位 是否审计DATABASE对象的CREATE、DROP、ALTER操作。 - 0表示不审计该对象的CREATE、DROP、ALTER操作;
- 1表示审计该对象的CREATE、DROP、ALTER操作。
第1位 是否审计SCHEMA对象的CREATE、DROP、ALTER操作。 - 0表示不审计该对象的CREATE、DROP、ALTER操作;
- 1表示审计该对象的CREATE、DROP、ALTER操作。
第2位 是否审计USER对象的CREATE、DROP、ALTER操作。 - 0表示不审计该对象的CREATE、DROP、ALTER操作;
- 1表示审计该对象的CREATE、DROP、ALTER操作。
第3位 是否审计TABLE对象的CREATE、DROP、ALTER、TRUNCATE操作。 - 0表示不审计该对象的CREATE、DROP、ALTER、TRUNCATE操作;
- 1表示审计该对象的CREATE、DROP、ALTER、TRUNCATE操作。
第4位 是否审计INDEX对象的CREATE、DROP、ALTER操作。 - 0表示不审计该对象的CREATE、DROP、ALTER操作;
- 1表示审计该对象的CREATE、DROP、ALTER操作。
第5位 是否审计VIEW对象的CREATE、DROP操作。 - 0表示不审计该对象的CREATE、DROP操作;
- 1表示审计该对象的CREATE、DROP操作。
第6位 是否审计TRIGGER对象的CREATE、DROP、ALTER操作。 - 0表示不审计该对象的CREATE、DROP、ALTER操作;
- 1表示审计该对象的CREATE、DROP、ALTER操作。
第7位 是否审计PROCEDURE/FUNCTION对象的CREATE、DROP、ALTER操作。 - 0表示不审计该对象的CREATE、DROP、ALTER操作;
- 1表示审计该对象的CREATE、DROP、ALTER操作。
第8位 是否审计TABLESPACE对象的CREATE、DROP、ALTER操作。 - 0表示不审计该对象的CREATE、DROP、ALTER操作;
- 1表示审计该对象的CREATE、DROP、ALTER操作。
第9位 是否审计RESOURCE POOL对象的CREATE、DROP、ALTER操作。 - 0表示不审计该对象的CREATE、DROP、ALTER操作;
- 1表示审计该对象的CREATE、DROP、ALTER操作
第10位 是否审计WORKLOAD对象的CREATE、DROP、ALTER操作。 - 0表示不审计该对象的CREATE、DROP、ALTER操作;
- 1表示审计该对象的CREATE、DROP、ALTER操作
第11位 是否审计SERVER FOR HADOOP对象的CREATE、DROP、ALTER操作。 - 0表示不审计该对象的CREATE、DROP、ALTER操作;
- 1表示审计该对象的CREATE、DROP、ALTER操作
第12位 是否审计DATA SOURCE对象的CRAETE、DROP、ALTER操作。 - 0表示不审计该对象的CREATE、DROP、ALTER操作;
- 1表示审计该对象的CREATE、DROP、ALTER操作。
第13位 是否审计NODE GROUP对象的CREATE、DROP操作。 - 0表示不审计该对象的CREATE、DROP操作;
- 1表示审计该对象的CREATE、DROP操作。
第14位 是否审计ROW LEVEL SECURITY对象的CREATE、DROP、ALTER操作。 - 0表示不审计该对象的CREATE、DROP、ALTER操作;
- 1表示审计该对象的CREATE、DROP、ALTER操作。
第15位 是否审计TYPE对象的CREATE、DROP、ALTER操作。 - 0表示不审计TYPE对象的CREATE、DROP、ALTER操作;
- 1表示审计TYPE对象的CREATE、DROP、ALTER操作。
第16位 是否审计TEXT SEARCH对象(CONFIGURATION和DICTIONARY)的CREATE、DROP、ALTER操作。 - 0表示不审计TEXT SEARCH对象的CREATE、DROP、ALTER操作;
- 1表示审计TEXT SEARCH对象的CREATE、DROP、ALTER操作。
第17位 是否审计DIRECTORY对象的CREATE、DROP、ALTER操作。 - 0表示不审计DIRECTORY对象的CREATE、DROP、ALTER操作;
- 1表示审计DIRECTORY对象的CREATE、DROP、ALTER操作。
第18位 是否审计SYNONYM对象的CREATE、DROP、ALTER操作。 - 0表示不审计SYNONYM对象的CREATE、DROP、ALTER操作;
- 1表示审计SYNONYM对象的CREATE、DROP、ALTER操作。

  • audit_dml_state

    参数说明: 这个参数决定是否对具体表的INSERT、UPDATE、DELETE操作进行审计。

    该参数属于SIGHUP类型参数,请参考表11-1中对应设置方法进行设置。

    取值范围: 整型,0、1。

    • 0表示关闭具体表的DML操作(SELECT除外)审计功能。

    • 1表示开启具体表的DML操作(SELECT除外)审计功能。

    默认值: 0

  • audit_dml_state_select

    参数说明: 这个参数决定是否对SELECT操作进行审计。

    该参数属于SIGHUP类型参数,请参考表11-1中对应设置方法进行设置。

    取值范围: 整型,0、1。

    • 0表示关闭SELECT操作审计功能。

    • 1表示开启SELECT审计操作功能。

    默认值: 0

  • audit_function_exec

    参数说明:这个参数决定在执行存储过程、匿名块或自定义函数(不包括系统自带函数)时是否记录审计信息。

    该参数属于SIGHUP类型参数,请参考表11-1中对应设置方法进行设置。

    取值范围: 整型,0、1。

    • 0表示关闭过程或函数执行的审计功能。

    • 1表示开启过程或函数执行的审计功能。

    默认值: 0

  • audit_copy_exec

    参数说明: 这个参数决定是否对COPY操作进行审计。

    该参数属于SIGHUP类型参数,请参考表11-1中对应设置方法进行设置。

    取值范围: 整型,0、1。

    • 0表示关闭COPY审计功能。

    • 1表示开启COPY审计功能。

    默认值: 0

  • audit_set_parameter

    参数说明: 这个参数决定是否对SET操作进行审计。

    该参数属于SIGHUP类型参数,请参考表11-1中对应设置方法进行设置。

    取值范围: 整型,0、1。

    • 0表示关闭SET审计功能。

    • 1表示开启SET审计功能。

    默认值: 1

  • sql_compatibility

    参数说明: 控制数据库的SQL语法和语句行为同哪一个主流数据库兼容。

    该参数属于INTERNAL类型参数,为固定参数,用户无法修改此参数,只能查看。

    取值范围: 枚举型

    • A表示同A数据库兼容。

    • B表示同B数据库兼容。

    • C表示同C数据库兼容。

    默认值: A


    在数据库中,该参数只能是确定的一个值,要么始终设置为A,要么始终设置为B,不能随便改动,否则会导致数据库行为不一致。

  • enable_separation_of_duty

    参数说明: 是否开启三权分立选项。

    该参数属于POSTMASTER类型参数,请参考表11-1中对应设置方法进行设置。

    取值范围: 布尔型

    • on表示开启三权分立。

    • off表示不开启三权分立。

    默认值: off

  • enable_nonsysadmin_execute_direct

    参数说明: 是否允许非系统管理员执行EXECUTE DIRECT ON语句。

    该参数属于POSTMASTER类型参数,请参考表11-1中对应设置方法进行设置。

    取值范围: 布尔型

    • on表示允许任意用户执行EXECUTE DIRECT ON语句。

    • off表示只允许系统管理员执行EXECUTE DIRECT ON语句。

    默认值: off

  • enable_copy_server_files

    参数说明: 是否开启copy服务器端文件的权限。

    该参数属于SIGHUP类型参数,请参考表11-1中对应设置方法进行设置。

    取值范围: 布尔型

    • on表示开启copy服务端文件的权限。

    • off表示不开启copy服务端文件的权限。

    默认值: off


    copy from/to file要求具有系统管理员权限的用户或初始用户才能使用,但是,在三权分立开启的状态下,系统管理员与初始用户的权限不同,可以通过使用enable_copy_server_file控制系统管理员的copy权限,当前默认不允许系统管理员权限用户进行对文件的copy操作,此参数打开后系统管理员方可执行该类型操作。

  • enable_access_server_directory

    参数说明: 是否开启系统管理员用户创建和删除DIRECTORY的权限。

    该参数属于SIGHUP类型参数,请参考表11-1中对应设置方法进行设置。

    取值范围: 布尔型

    • on表示开启系统管理员用户创建和删除DIRECTORY的权限。

    • off表示不开启系统管理员用户创建和删除DIRECTORY的权限。

    默认值: off


    1.出于安全考虑,默认情况下,只有初始用户才能够创建、删除DIRECTORY对象。

    2.如果开启了enable_access_server_directory,那么在三权分立关闭时,系统管理员(包括初始用户)可以创建、删除DIRECTORY对象;而在三权分立开启时,只有初始用户可以创建、删除DIRECTORY对象。