审计概述
数据库安全对数据库系统来说至关重要。GaussDB 100将用户对数据库的所有操作写入审计日志。数据库安全管理员可以利用这些日志信息,重现导致数据库现状的一系列事件,找出非法操作的用户、时间和内容等。
各审计项的开关支持动态加载。在数据库运行期间修改审计开关的值,不需要重启数据库便可生效。
配置项 |
描述 |
---|---|
AUDIT_LEVEL |
参数:AUDIT_LEVEL 审计开关,设置审计日志的级别,默认值为3,表示DDL及DCL审计打开。 |
_AUDIT_MAX_FILE_SIZE |
参数:_AUDIT_MAX_FILE_SIZE 单个日志文件大小,默认单位为字节,默认值为10M。例如:_AUDIT_MAX_FILE_SIZE = 1M,则表示一个日志文件的大小最大为1M字节。最大值不超过4G。 可通过ALTER SYSTEM SET命令实时刷新,并立即生效(生效范围不含已生成的文件)。 |
_AUDIT_BACKUP_FILE_COUNT |
参数:_AUDIT_BACKUP_FILE_COUNT 备份日志文件的最大个数,默认值为10,最大值不能超过128。如果单个日志文件大小到达了_AUDIT_MAX_FILE_SIZE,则会将该文件备份(如果日志文件名为zengine.aud,则备份日志名为zengine_yyyymmddhhmissfff.aud)。如果备份文件个数到达_AUDIT_BACKUP_FILE_COUNT,则会将时间最久的日志文件删除,保持备份文件个数为_AUDIT_BACKUP_FILE_COUNT。 |
_LOG_FILE_PERMISSIONS |
参数:_LOG_FILE_PERMISSIONS 日志文件权限,默认值为600。备份日志文件权限会自动去除写权限(拥有者、群组、其他)。 可通过ALTER SYSTEM SET命令实时刷新,并立即生效(生效范围不含已生成的文件)。 |
_LOG_PATH_PERMISSIONS |
参数:_LOG_PATH_PERMISSIONS 日志目录权限,默认值为700。可影响run日志、debug日志和audit日志本层及上层目录,alarm日志本层目录的权限。 可通过ALTER SYSTEM SET命令实时刷新,在日志备份或新建日志文件时,目录权限会变更为_LOG_PATH_PERMISSIONS |