审计日志
Vastbase将用户对数据库的所有操作写入审计日志。数据库安全管理员可以利用这些日志信息,重现导致数据库现状的一系列事件,找出非法操作的用户、时间和内容等。
审计项如下:
| 配置项 | 描述 |
| 用户登录、注销审计 | 参数:audit_login_logout默认值为7,表示开启用户登录、退出的审计功能。设置为0表示关闭用户登录、退出的审计功能。不推荐设置除0和7之外的值。 |
| 数据库启动、停止、恢复和切换审计 | 参数:audit_database_process默认值为1,表示开启数据库启动、停止、恢复和切换的审计功能。 |
| 用户锁定和解锁审计 | 参数:audit_user_locked默认值为1,表示开启审计用户锁定和解锁功能。 |
| 用户访问越权审计 | 参数:audit_user_violation默认值为0,表示关闭用户越权操作审计功能。 |
| 授权和回收权限审计 | 参数:audit_grant_revoke默认值为1,表示开启审计用户权限授予和回收功能。 |
| 数据库对象的CREATE,ALTER,DROP操作审计 | 参数:audit_system_object默认值为12295,表示只对DATABASE、SCHEMA、USER、DATA SOURCE这四类数据库对象的CREATE、ALTER、DROP操作进行审计。 |
| 具体表的INSERT、UPDATE和DELETE操作审计 | 参数:audit_dml_state默认值为0,表示关闭具体表的DML操作(SELECT除外)审计功能。 |
| SELECT操作审计 | 参数:audit_dml_state_select默认值为0,表示关闭SELECT操作审计功能。 |
| COPY审计 | 参数:audit_copy_exec默认值为1,表示开启copy操作审计功能。 |
| 存储过程和自定义函数的执行审计 | 参数:audit_function_exec默认值为0,表示不记录存储过程和自定义函数的执行审计日志。 |
| SET审计 | 参数:audit_set_parameter默认值为1,表示记录set操作审计日志 |
| 事务ID记录 | 参数:audit_xid_info默认值为0,表示关闭审计日志记录事务ID功能。 |
日志文件存储路径
默认在”$PGDATA/pg_audit/目录下。
其中“$PGDATA”代表Vastbase节点的数据目录,默认为”/home/vastbase/data/vastbase/“。
注意事项
审计开关audit_enabled,默认值为off,表示关闭审计功能。关闭审计时,默认对数据库启停、用户删除及修改、修改系统参数这三类行为进行审计,并生成审计日志。
审计总开关audit_enabled及各审计项的开关支持动态加载。在数据库运行期间修改该配置项的值会立即生效,无需重启数据库。
当审计开启,即audit_enabled=on时,记录的审计日志根据具体的审计策略确定。
未开启三权分立,即enable_separation_of_duty=off时,只有初始用户和系统管理员(vbadmin)可以查看审计日志,其他用户不具备查看审计日志的权限。
开启三权分立,即参数enable_separation_of_duty=on时,只有审计管理员(vbaudit)具备查看审计日志权限,系统管理员(vbadmin)、安全保密管理员(vbsso)和普通用户不具备查看审计日志权限。
查看方式
select * from pg_query_audit('timestamp','timestamp');
示例
select * from pg_query_audit('2022-08-04 14:45:15.126047+08',now());
维护建议
建议定时对过期的日志文件进行转储,以避免大量日志占用太多的磁盘空间和避免重要日志丢失。
