数据库审计

可获得性

本特性自openGauss 1.1.0版本开始引入。

特性简介

审计日志记录用户对数据库的启停、连接、DDL、DML、DCL等操作。

客户价值

审计日志机制主要增强数据库系统对非法操作的追溯及举证能力。

特性描述

数据库审计功能对数据库系统的安全性至关重要。数据库安全管理员可以利用审计日志信息,重现导致数据库现状的一系列事件,找出非法操作的用户、时间和内容等。

审计功能包括传统审计和统一审计两种审计模式。传统审计通过参数配置各个审计项开关,管理员可以通过参数配置对哪些语句或操作记录审计日志。传统审计采用记录到OS文件的方式来保存审计日志,支持审计管理员通过SQL函数接口审计日志查询和删除。统一审计机制是一种通过定制化制定审计策略而实现高效安全审计管理的一种技术。当管理员定义审计对象和审计行为后,用户执行的任务如果关联到对应的审计策略,则生成对应的审计行为,并记录审计日志。定制化审计策略可涵盖常见的用户管理活动,DDL和DML行为,满足日常审计诉求。

数据库审计功能包含数据库审计日志和数据库工具审计日志。参照数据库技术金融规范指引,数据库审计日志引入了SHA-256哈希校验机制,旨在确保日志数据的完整性和真实性,以便及时发现和应对潜在的安全威胁。此外,数据库工具审计日志则用于记录备份、恢复等关键运维操作,为系统管理员提供了更为丰富、全面的事件追踪与分析能力。

特性增强

5.0.0版本在传统审计功能基础上,新增支持用户级别审计功能。新增GUC参数full_audit_users配置全量审计用户列表,对列表中的用户执行的所有可被审计的操作记录审计日志;新增GUC参数no_audit_client配置无需记录审计的客户端列表;新增GUC参数audit_system_function_exec配置系统函数审计开关。

6.0.0版本在数据库审计日志基础上,支持对审计日志进行完整性验证。并新增数据库工具审计日志功能,记录备份、恢复等关键运维操作。

特性约束

无。

依赖关系

无。

意见反馈
编组 3备份
    openGauss 2025-01-14 22:57:50
    取消