openGauss 5.0.0支援使用者級全量審計解密

小侃資料庫發表於2023-04-07

無論是使用者本人回顧自己的歷史操作記錄,還是管理員監督使用者的高風險行為,大家都希望在使用審計功能的時候既能萬無一失地儲存所需地記錄,又能實現高效檢索查詢。精準配置審計開關是實現這一目標必不可少的步驟,雖然開關種類繁多,但我們可得仔細研究配置。在實際生產中,可能會存在某些使用者的許可權和風險和其他使用者不一樣,針對這些使用者的審計要求相較於其他使用者也要更為嚴格。如果為了這類使用者而開啟所有的審計開關,雖然保證了完整性,但是其他低風險使用者的日誌又被記錄了下來,增加了審計執行緒的負擔。為了更好的滿足客戶訴求,我們需要在一個全新的維度——使用者維度增加審計開關。

本期就為大家帶來關於openGauss 5.0.0版本新增的審計模組GUC引數——全量審計開關 full_audit_users的介紹與操作分享,支援使用者級別審計,用於解決針對資料庫中的高風險使用者進行針對性的全量審計的問題。

使用者級全量審計開關 full_audit_users介紹

原本的審計開關是以SQL語法為維度,分為DDL,DML,DCL三個大類,進一步細分操作物件與指令設定對應的開關。新增的引數full_audit_users彌補了其在使用者維度的缺失,支援針對個別高風險使用者進行全量審計的同時不影響其他使用者的審計開關設定。full_audit_users屬於SIGHUP型別引數,取值範圍是字串,預設為空,多個使用者名稱需使用逗號分隔。用於配置全量審計使用者列表,列表中的使用者的所有類別的審計開關都會被開啟,其執行的所有可被審計的操作都會記錄審計日誌。


例如,透過gs_guc工具設定full_audit_users全量審計使用者為u_audit1和zhoutl。

[zhoutl@localhost server]$ gs_guc reload -Z datanode -D data/ -c 
"full_audit_users='u_audit1, zhoutl'"

登入資料庫後,查詢full_audit_users引數設定結果如下:

openGauss=# show 
full_audit_users;full_audit_users 
------------------
u_audit1, zhoutl
(1 row)

引數設定生效後,u_audit1和zhoutl使用者執行的所有可被審計的操作都會記錄審計日誌。

總結

透過以上對審計模組引數full_audit_users 的介紹,我們可以依據實際使用場景,針對性地將某些高風險使用者設定為全量審計使用者,更精準地記錄高風險使用者操作,同時減輕審計執行緒的負擔,提升審計查詢效率,真正發揮審計模組記錄高危操作的功能。後續我們也會更細粒度地分析審計的不同維度,匹配使用者的差異化需求,全面提升openGauss安全審計功能的核心競爭力。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70023856/viewspace-2944339/,如需轉載,請註明出處,否則將追究法律責任。

相關文章