安全版数据库审计的配置方法
文章目录
- 文档用途
- 详细信息
文档用途
本文档适用于HGDB安全版审计配置。
详细信息
1.概述
安全审计功能对用户的操作进程审计,并把审计日志生成在 hgaudit 下。若打开审计归档开关并配置审计归档路径,则每写完一个审计日志文件,该文件会被归档到归档路径中。用户可以自主配置需要审计的事件及其风险等级,当发生审计事件的时候,不同的风险等级对应着不同的处理。
2.审计策略的查看及释义
使用syssao用户连接数据库并执行select show_audit_param();可查看现有的审计策略
瀚高数据库安全版目前分为434、45X两个版本。
2.1 45x的审计策略为:
highgo=> select show_audit_param();show_audit_param
------------------------------------hg_audit = on, +hg_audit_analyze = off, +hg_audit_alarm = email, +hg_audit_alarm_email = +hg_audit_logsize = 16MB, +hg_audit_file_archive_mode = off, +hg_audit_file_archive_dest = +
(1 行记录)
每个参数的说明如下:
hg_audit:审计总开关,默认为 on。
hg_audit_analyze:审计分析开关,on 表示需要检查用户配置的审计事件风险等级,并根据风险等级进行处理,off 表示只记录审计记录,而不处理风险等级,默认为off.
hg_audit_alarm:审计告警方式,当前只支持 email 方式,即当需要进行审计告警时,发送邮件到 hg_audit_alarm_email 所配置的邮箱.
hg_audit_alarm_email:审计告警邮箱.
hg_audit_logsize:生成的审计文件大小,可配置的范围为 16MB~1GB;默认为16MB。
hg_audit_file_archive_mode:审计自动归档模式的开关,on 表示打开审计文件自动归档,审计归档进程扫描 hgaudit/audit_archive_ready 下的 ready 文件,把相应的审计日
志文件归档到 hg_audit_file_archive_dest 指定的路径下。默认为 off
hg_audit_file_archive_dest: 审计归档路径,只支持绝对路径。设定的路径必须存在且数据库运行用户对其有写权限。
2.2 434版本的审计策略为:
highgo=> select show_audit_param();show_audit_param
---------------------------------------hg_audit_Log = all +hg_audit_LogCatalog = on, +hg_audit_LogClient = off, +hg_audit_LogLevel = log, +hg_audit_LogParameter = off, +hg_audit_LogRelation = off, +hg_audit_LogStatementOnce = off, +hg_audit_Role = , +hg_audit_filename = %d_%H, +hg_audit_truncate_on_rotation = off, +hg_audit_RotationAge = 1440 min, +hg_audit_RotationSize = 10240 KB, + (1 行记录)
每个参数的说明如下:
hg_audit_Log,审计范围,可以是 read,write,function,role,ddl, misc,all。默认是 all。
hg_audit_LogCatalog,是否审计系统表,默认是开。
hg_audit_LogClient,是否将日志信息发送给客户端,默认关。
hg_audit_LogLevel,审计日志的级别,可以是 debug5,debug4,debug3, debug2,debug1,info,notice,warning,log。
hg_audit_LogParameter,记录传入的参数,默认关。
hg_audit_LogRelation,是否为每一个表都创建单独的日志项。默认关。
hg_audit_LogStatementOnce,相同查询只记录一次,默认关。
hg_audit_Role,该参数的配置对于审计信息记录无影响,默认配置即可。
hg_audit_filename,审计日志的文件格式,默认%d_%H。
hg_audit_truncate_on_rotation,审计日志自动覆盖。默认关。
hg_audit_RotationAge,自动覆盖的时间间隔。默认 1440 分钟。
hg_audit_RotationSize,自动覆盖的最大文件大小,默认 10M。
3.审计配置修改
两个版本均可通过审计管理员使用 select set_audit_param()函数来设置上述配置,第一个参数是要配置的参数名称,后边是要设置的值,两个参数全部都是字符串类型。以4.3.4.9修改hg_audit_Log为例,下面演示一下具体操作过程。
3.1 使用syssao用户连接数据库
[root@ha3 opt]# psql -U syssao -d highgo
用户 syssao 的口令:
注意:
-------------------------------------------
Login User: syssao
Login time: 2020-12-11 11:13:17.712994+08
Login Address: [local]
Last Login Status: SUCCESS
Login Failures: 0
Valied Until: 2999-01-01 00:00:00+08
-------------------------------------------
psql (4.3.4.9)
输入 "help" 来获取帮助信息.3.2 查看现有的审计策略
highgo=> select show_audit_param();show_audit_param
---------------------------------------hg_audit_Log = none, +hg_audit_LogCatalog = on, +hg_audit_LogClient = off, +hg_audit_LogLevel = log, +hg_audit_LogParameter = off, +hg_audit_LogRelation = off, +hg_audit_LogStatementOnce = off, +hg_audit_Role = , +hg_audit_filename = %d_%H, +hg_audit_truncate_on_rotation = off, +hg_audit_RotationAge = 1440 min, +hg_audit_RotationSize = 10240 KB, +
(1 行记录)
3.3 修改hg_audit_Log配置
highgo=> select set_audit_param('hg_audit_Log','write');set_audit_param
---------------------------------set configuration successfully.
(1 行记录)
3.4 重启数据库使配置生效并验证
[root@ha3 opt]# pg_ctl restart
…
[root@ha3 opt]# psql -U syssao -d highgo
用户 syssao 的口令:
注意:
-------------------------------------------
Login User: syssao
Login time: 2020-12-11 11:13:34.304242+08
Login Address: [local]
Last Login Status: SUCCESS
Login Failures: 0
Valied Until: 2999-01-01 00:00:00+08
-------------------------------------------
psql (4.3.4.9)
输入 "help" 来获取帮助信息.
highgo=> select show_audit_param();show_audit_param
---------------------------------------hg_audit_Log = write, +hg_audit_LogCatalog = on, +hg_audit_LogClient = off, +hg_audit_LogLevel = log, +hg_audit_LogParameter = off, +hg_audit_LogRelation = off, +hg_audit_LogStatementOnce = off, +hg_audit_Role = , +hg_audit_filename = %d_%H, +hg_audit_truncate_on_rotation = off, +hg_audit_RotationAge = 1440 min, +hg_audit_RotationSize = 10240 KB, +
(1 行记录)