YashanDB 审计
本文内容来自 YashanDB 官网,原文内容请见 https://doc.yashandb.com/yashandb/23.3/zh/%E6%A6%82%E5%BF%B5%E6%89%8B%E5%86%8C/%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86/%E5%AE%A1%E8%AE%A1.html
数据库审计是一种监控和记录数据库活动的过程,通过数据库审计,可以追踪和记录对数据库的访问、修改和操作行为,以便进行追踪溯源、故障排除和合规性检查。
# 审计管理员
审计管理员(AUDIT_ADMIN 角色)可以创建和管理审计策略,可以查看审计日志。为了职责分立,增设了 AUDIT_VIEWER 角色可以查看审计日志。
审计记录保存在物理表中,拥有 AUDIT_ADMIN 或 AUDIT_VIEWER 角色权限的用户可以通过审计视图 UNIFIED_AUDIT_TRAIL 查看审计日志信息。
# 审计范围
YashanDB 对用户提供如下方面的审计管理:
权限审计
权限审计是指对 YashanDB 的所有系统权限进行审计,当对某个系统权限启用审计策略后,只要在 SQL 语句或其他操作中使用了该系统权限都会被审计。
行为审计
行为审计包括系统操作行为审计和对象操作行为审计:
系统操作行为:包括对象创建/删除、建库/关库、提交/回滚等所有的系统操作行为,在 AUDITABLE_SYSTEM_ACTIONS 视图中可以看到系统当前所有的系统操作行为审计项,其中 ALL 表示对所有的系统操作行为都进行审计。
对象操作行为:表示对某个具体对象的操作行为,例如对某张表的 SELECT/INSERT/UPDATE/DELETE 操作,在 AUDITABLE_OBJECT_ACTIONS 视图中可以看到系统当前所有的对象操作行为审计项,其中 ALL 表示对在一个对象上的所有操作行为都进行审计。
角色审计
YashanDB 提供角色审计功能,在某个角色上启用审计策略后,所有直接被赋予给该角色的系统权限就可以被审计。
# 审计开关
YashanDB 通过配置参数 UNIFIED_AUDITING 控制审计开关。当审计开关被打开时,系统将执行已创建并已使能的各项审计策略。
# 审计策略
只有 AUDIT_ADMIN 审计管理员角色的用户或拥有 AUDIT SYSTEM 系统权限的用户,才能执行 CREATE AUDIT POLICY 语句创建审计策略。
审计策略被创建后并不生效,还需通过 AUDIT POLICY 语句对其进行使能。使能后,用户执行的操作在审计项内时,会触发审计。
审计策略被成功创建后,可通过 AUDIT_UNIFIED_POLICIES 视图查看其定义信息。
# 审计日志
用户可以通过审计视图 UNIFIED_AUDIT_TRAIL 查看审计日志,按照日期、审计项类型、对象名称、操作用户等检索和排序详细的操作记录。
为避免过多占用磁盘空间,建议清理已备份或已满足保留时效的审计数据,清理方式有:
设置清理时间点:设置清理时间点可以更灵活地指定审计数据清理范围。
手动清理:在必要时对审计日志执行手动删除。
自动清理:通过建立自动清理任务,由系统定期删除审计数据。
# 异步审计
异步审计将审计数据信息先写入审计数据队列,当审计数据队列达到阈值(数据刷新时间间隔、数据队列满)时,再将数据批量插入审计记录表中。
异步审计开关由 AUDIT_QUEUE_WRITE 参数控制,默认为开启。
异步审计可以减少对数据库性能的影响,但在一些异常情况下(例如数据库异常宕机)可能导致丢失部分审计数据。
版权声明: 本文为 InfoQ 作者【YashanDB】的原创文章。
原文链接:【http://xie.infoq.cn/article/db48cc5034c3ebd5355757328】。文章转载请联系作者。
评论