GaussDB 数据库架构师修炼(十三)安全管理(4)-数据库审计

1 数据库审计作用

数据库审计机制主要通过对SQL操作或其他操作记录审计日志的方式，增强数据库系统对非法操****作的追溯及举证能力 。高斯数据库提供两种审计特性：传统审计，统一审计。

2 传统审计

传统审计通过GUC 参数配置 需要对数据库的哪些操作进行审计，并通过将审计记录写入****OS 文件中（即审计日志）的方式来保存审计结果。传统审计特性提供 SQL 函数接口 以供审计管理员查询/删除审计记录。

3 统一审计

统一审计通过定制化审计策略 来实现高效安全审计。管理员可以对数据库中某特定对象（模式/表/列）打资源标签，并针对特定资源标签 和过滤条件 创建审计策略（ DDL/DML）。当用户执行的任务符合创建的审计策略时，则数据库会记录下相应的行为并生成审计日志。

统一审计通过将审计记录 发送至本地rsyslog 或 Elastic Search 服务端来保存审计 结果。管理员可到对应的日志存储端查看日志。

4 传统审计配置管理-审计配置项开关

传统审计 可以记录用户对数据库的启停 、连接、DDL 、DML 、DCL 等操作，通过GUC参数开关控制对哪些操作进行审计。

提供审计总开关参数audit_enabled，参数支持动态加载 ，在数据库运行期间修改该配置项的值会立即生效，无需重启数据库。默认值为on，表示开启审计功能。
除了审计总开关，各个审计项也有对应的开关。只有开关开启，对应的审计功能才能生效。各审计项的开关支持动态加载 。在数据库运行期间修改审计项参数的值，不需要重启数据库便可生效。提供的审计配置项开关见下页表格。
审计总开关参数修改：

开启：

复制代码

gs_guc set -Z coordinator -Z datanode -N all -I all -c "audit_enabled = on"

关闭：

复制代码

gs_guc set -Z coordinator -Z datanode -N all -I all -c "audit_enabled = off"

审计项修改，以SELECT操作审计项参数audit_dml_state_select为例：

开启SELECT操作审计：

复制代码

gs_guc set -Z coordinator -Z datanode -N all -I all -c "audit_dml_state_select =  1"

关闭SELECT操作审计：

复制代码

gs_guc set -Z coordinator -Z datanode -N all -I all -c "audit_dml_state_select =  0"

5 传统审计配置管理-审计配置项参

|---------------------------------|-----------------------------|-----------------------------------------------------------------------------------------|----------|
| 配置项 | 审计开关 | 描述 | 默认值 |
| 用户登录、注销审计 | audit_login_logout | 表示开启用户登录、退出的审计功能。设置为0 表示关闭用户登录、退出的审计功能。不推荐设置除0和7之外的值 | 7 |
| 数据库启动、停止、恢复和切换审计 | audit_database_process | 表示开启数据库启动、停止、恢复和切换的审计功能 | 1 |
| 用户锁定和解锁审计 | audit_user_locked | 表示开启审计用户锁定和解锁功能 | 1 |
| 用户访问越权审计 | audit_user_violation | 表示关闭用户越权操作审计功能 | 0 |
| 授权和回收权限审计 | audit_grant_revoke | 表示开启审计用户权限授予和回收功能 | 1 |
| 对用户操作进行全量审计 | full_audit_users | 表示采用默认配置，未配置全量审计用户 | 空字符串 |
| 不需要审计的客户端名称及IP地址 | no_audit_client | 表示采用默认配置，未将客户端及IP加入审计黑名单。 | 空字符串 |
| 数据库对象的CREATE，ALTER， DROP操作审计 | audit_system_object | 表示只对DATABASE 、SCHEMA 、USER 、 DATA SOURCE 、NODE GROUP这五类数据库对象的 CREATE 、ALTER 、DROP操作进行审计 | 67121159 |
| 具体表的INSERT 、 UPDATE和DELETE操作审计 | audit_dml_state | 表示关闭具体表的DML操作（SELECT除外）审计功能 | 0 |
| SELECT操作审计 | audit_dml_state_select | 表示关闭SELECT操作审计功能 | 0 |
| COPY审计 | audit_copy_exec | 表示打开COPY操作审计功能 | 1 |
| 存储过程和自定义函数的执行审计 | audit_function_exec | 表示不记录存储过程和自定义函数的执行审计日志 | 0 |
| SET审计 | audit_set_parameter | 表示记录SET操作审计日志 | 1 |
| 执行白名单内的系统函数审计 | audit_system_function_ exec | 表示不记录执行系统函数的审计日志 | 0 |
| 事务ID记录 | audit_xid_info | 表示关闭审计日志记录事务ID功能 | 0 |
| 内部工具连接及操作审计、DN上对来自CN的登入登出审计 | audit_internal_event | 表示不对内部工具cm_agent 、gs_clean 、 WDRXdb的登入登出及操作进行审计、 DN 上不对来自CN的登入登出进行审计 | off |

6 传统审计-SQL函数接口

1）用户可以通过数据库提供的SQL 函数接口查看和删除审计日志。

2）查看、删除审计日志需要具有AUDIT ADMIN **属性（审计管理员）**的用户或初始用户进行操作。

|----------------------------------------------------------------------|---------------------------------------------------------------------------|---------|---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 接口原型 | 参数 | 返回值 | 使用示例 |
| pg_query_audit(timestamptz startime,timestamptz endtime,audit_log) ; | starttime：查看审计记录的开始时间 endtime：查看审计记录的结束时间 audit_log：所查看的审计日志信息所在的物理文件路径 | 见下表 | 查看2024-03-06 00:00:00至2024-03-06 12:00:00时间段内audit_user用户的SELECT操作审计记录，并按时间排序： select * from pg_query_audit('2024-03-06 00:00:00','2024-03-06 12:00:00') where type = 'dml_action_select' and username = 'audit_user' order by time desc; |
| pg_delete_audit(timestamptz startime,timestamptz endtime) ; | starttime：删除审计记录的开始时间 endtime：删除审计记录的结束时间 | 空 | 删除2024-03-06 00:00:00至2024-03-06 12:00:00时间段内的审计记录： select * from pg_delete_audit('2024-03-06 00:00:00','2024-03-06 12:00:00'); |

7 传统审计-日志管理策略

1）数据库提供配置项供用户配置审计日志的管理策略：比如审计日志存放路径等，审计记录占用空间大小限制，审计文件个数限制，单个审计文件大小限制等，具体见下表。

2）数据库会根据审计日志管理配置项参数，对审计日志进行管理。

|-----------------------------|--------------------------------------------------------------------------------------------------------|--------------------|
| 配置项 | 含义 | 默认值 |
| audit_directory | 审计文件的存储目录 | $GAUSSLOG/pg_audit |
| audit_rotation_interval | 创建一个新审计日志文件的时间间隔，当距离上次创建一个审计日志的时间超过了此参数值时，将生成一个新的审计日志文件 | 1天 |
| audit_rotation_size | 审计日志文件的最大容量。当审计日志消息的总量超过此参数值时，将生成一个新的审计日志文件 | 10MB |
| audit_resource_policy | 审计日志的保存策略 on：表示采用空间优先策略，最多存储audit_space_limit大小的日志。 off：表示采用时间优先策略，最少存储audit_file_remain_time 长度时间的日志 | on |
| audit_space_limit | 审计文件占用的磁盘空间总量 | 1GB |
| audit_file_remain_time | 审计日志文件的最小保存时间。 | 90 |
| audit_file_remain_threshold | 审计目录下审计文件的最大数量 | 1048576 |