当前位置：首页 > news >正文

openGauss学习笔记-116 openGauss 数据库管理-设置数据库审计-审计概述

news 2025/11/27 2:02:36

文章目录

- openGauss学习笔记-116 openGauss 数据库管理-设置数据库审计-审计概述
- - 116.1 背景信息
  - 116.2 操作步骤

openGauss学习笔记-116 openGauss 数据库管理-设置数据库审计-审计概述

116.1 背景信息

数据库安全对数据库系统来说至关重要。openGauss将用户对数据库的所有操作写入审计日志。数据库安全管理员可以利用这些日志信息，重现导致数据库现状的一系列事件，找出非法操作的用户、时间和内容等。

关于审计功能，用户需要了解以下几点内容：

审计总开关audit_enabled支持动态加载。在数据库运行期间修改该配置项的值会立即生效，无需重启数据库。默认值为on，表示开启审计功能。
除了审计总开关，各个审计项也有对应的开关。只有开关开启，对应的审计功能才能生效。
各审计项的开关支持动态加载。在数据库运行期间修改审计开关的值，不需要重启数据库便可生效。

目前，openGauss支持以下审计项如表1所示。

表 1 配置审计项

配置项	描述
用户登录、注销审计	参数：audit_login_logout默认值为7，表示开启用户登录、退出的审计功能。设置为0表示关闭用户登录、退出的审计功能。不推荐设置除0和7之外的值。
数据库启动、停止、恢复和切换审计	参数：audit_database_process默认值为1，表示开启数据库启动、停止、恢复和切换的审计功能。
用户锁定和解锁审计	参数：audit_user_locked默认值为1，表示开启审计用户锁定和解锁功能。
用户访问越权审计	参数：audit_user_violation默认值为0，表示关闭用户越权操作审计功能。
授权和回收权限审计	参数：audit_grant_revoke默认值为1，表示开启审计用户权限授予和回收功能。
对用户操作进行全量审计	参数：full_audit_users默认值为空字符串，表示采用默认配置，未配置全量审计用户。
不需要审计的客户端名称及IP地址	参数：no_audit_client默认值为空字符串，表示采用默认配置，未将客户端及IP加入审计黑名单。
数据库对象的CREATE，ALTER，DROP操作审计	参数：audit_system_object默认值为67121159，表示只对DATABASE、SCHEMA、USER、DATA SOURCE这四类数据库对象的CREATE、ALTER、DROP操作进行审计。
具体表的INSERT、UPDATE和DELETE操作审计	参数：audit_dml_state默认值为0，表示关闭具体表的DML操作（SELECT除外）审计功能。
SELECT操作审计	参数：audit_dml_state_select默认值为0，表示关闭SELECT操作审计功能。
COPY审计	参数：audit_copy_exec默认值为1，表示开启copy操作审计功能。
存储过程和自定义函数的执行审计	参数：audit_function_exec默认值为0，表示不记录存储过程和自定义函数的执行审计日志。
执行白名单内的系统函数审计	参数：audit_system_function_exec默认值为0，表示不记录执行系统函数的审计日志。
SET审计	参数：audit_set_parameter默认值为0，表示关闭SET审计功能。
事务ID记录	参数：audit_xid_info默认值为0，表示关闭审计日志记录事务ID功能。

安全相关参数及说明请参见表2。

表 2 安全相关参数及说明

参数名	说明
ssl	指定是否启用SSL连接。
require_ssl	指定服务器端是否强制要求SSL连接。
ssl_ciphers	指定SSL支持的加密算法列表。
ssl_cert_file	指定包含SSL服务器证书的文件的名称。
ssl_key_file	指定包含SSL私钥的文件名称。
ssl_ca_file	指定包含CA信息的文件的名称。
ssl_crl_file	指定包含CRL信息的文件的名称。
password_policy	指定是否进行密码复杂度检查。
password_reuse_time	指定是否对新密码进行可重用天数检查。
password_reuse_max	指定是否对新密码进行可重用次数检查。
password_lock_time	指定帐户被锁定后自动解锁的时间。
failed_login_attempts	如果输入密码错误的次数达到此参数值时，当前帐户被锁定。
password_encryption_type	指定采用何种加密方式对用户密码进行加密存储。
password_min_uppercase	密码中至少需要包含大写字母的个数。
password_min_lowercase	密码中至少需要包含小写字母的个数。
password_min_digital	密码中至少需要包含数字的个数。
password_min_special	密码中至少需要包含特殊字符的个数。
password_min_length	密码的最小长度。说明：在设置此参数时，请将其设置成不大于password_max_length，否则进行涉及密码的操作会一直出现密码长度错误的提示
password_max_length	密码的最大长度。说明：在设置此参数时，请将其设置成不小于password_min_length，否则进行涉及密码的操作会一直出现密码长度错误的提示。
password_effect_time	密码的有效期限。
password_notify_time	密码到期提醒的天数。
audit_enabled	控制审计进程的开启和关闭。
audit_directory	审计文件的存储目录。
audit_data_format	审计日志文件的格式，当前仅支持二进制格式（binary）。
audit_rotation_interval	指定创建一个新审计日志文件的时间间隔。当现在的时间减去上次创建一个审计日志的时间超过了此参数值时，服务器将生成一个新的审计日志文件。
audit_rotation_size	指定审计日志文件的最大容量。当审计日志消息的总量超过此参数值时，服务器将生成一个新的审计日志文件。
audit_resource_policy	控制审计日志的保存策略，以空间还是时间限制为优先策略，on表示以空间为优先策略。
audit_file_remain_time	表示需记录审计日志的最短时间要求，该参数在audit_resource_policy为off时生效。
audit_space_limit	审计文件占用磁盘空间的最大值。
audit_file_remain_threshold	审计目录下审计文件的最大数量。
audit_login_logout	指定是否审计数据库用户的登录（包括登录成功和登录失败）、注销。
audit_database_process	指定是否审计数据库启动、停止、切换和恢复的操作。
audit_user_locked	指定是否审计数据库用户的锁定和解锁。
audit_user_violation	指定是否审计数据库用户的越权访问操作。
audit_grant_revoke	指定是否审计数据库用户权限授予和回收的操作。
full_audit_users	指定全量审计用户列表，对列表中的用户执行的所有可被审计的操作记录审计日志。
no_audit_client	指定不需要审计的客户端名称及IP地址列表。
audit_system_object	指定是否审计数据库对象的CREATE、DROP、ALTER操作。
audit_dml_state	指定是否审计具体表的INSERT、UPDATE、DELETE操作。
audit_dml_state_select	指定是否审计SELECT操作。
audit_copy_exec	指定是否审计COPY操作。
audit_function_exec	指定在执行存储过程、匿名块或自定义函数（不包括系统自带函数）时是否记录审计信息。
audit_system_function_exec	指定是否开启对执行白名单内的系统函数记录审计日志。
audit_set_parameter	指定是否审计SET操作。
enableSeparationOfDuty	指定是否开启三权分立。
session_timeout
auth_iteration_count	认证加密信息生成过程中使用的迭代次数。

116.2 操作步骤

以操作系统用户omm登录数据库主节点。
连接数据库。

数据库安装完成后，默认生成名称为postgres的数据库。第一次连接数据库时可以连接到此数据库。

执行如下命令连接数据库。
```
gsql -d postgres -p 8000
```
其中postgres为需要连接的数据库名称，8000为数据库主节点的端口号。请根据实际情况替换。另外，也可以使用如下任一命令连接数据库。
```
gsql postgres://omm:Gauss_234@127.0.0.1:8000/postgres -r
gsql -d "host=127.0.0.1 port=8000 dbname=postgres user=omm password=Gauss_234"
```
连接成功后，系统显示类似如下信息：
```
gsql((openGauss x.x.x build f521c606) compiled at 2021-09-16 14:55:22 commit 2935 last mr 6385 release)
Non-SSL connection (SSL connection is recommended when requiring high-security)
Type "help" for help.openGauss=# 
```
omm用户是管理员用户，因此系统显示“DBNAME=#”。若使用普通用户身份登录和连接数据库，系统显示“DBNAME=>”。

“Non-SSL connection”表示未使用SSL方式连接数据库。如果需要高安全性时，请使用SSL连接。

说明： gsql是本产品提供的命令行方式的数据库连接工具。更多的数据库连接办法可参考使用gsql访问openGauss。
检查审计总开关状态。
1. 用show命令显示审计总开关audit_enabled的值。
```
openGauss=# SHOW audit_enabled;
```
  如果显示为off，执行‘\q’命令退出数据库，继续执行后续步骤。如果显示为on，则无需执行后续步骤。
2. 执行如下命令开启审计功能，参数设置立即生效。
```
gs_guc set -N all -I all -c "audit_enabled=on"
```
配置具体的审计项。
说明：
- 只有开启审计功能，用户的操作才会被记录到审计文件中。
- 各审计项的默认参数都符合安全标准，用户可以根据需要开启其他审计功能，但会对性能有一定影响。
以开启对数据库所有对象的增删改操作的审计开关为例，其他配置项的修改方法与此相同，修改配置项的方法如下所示：
```
gs_guc reload -N all -I all -c "audit_system_object=12295"
```
其中audit_system_object代表审计项开关，12295为该审计开关的值。

👍 点赞，你的认可是我创作的动力！

⭐️ 收藏，你的青睐是我努力的方向！

✏️ 评论，你的意见是我进步的财富！

openGauss学习笔记-116 openGauss 数据库管理-设置数据库审计-审计概述

文章目录 openGauss学习笔记-116 openGauss 数据库管理-设置数据库审计-审计概述116.1 背景信息116.2 操作步骤 openGauss学习笔记-116 openGauss 数据库管理-设置数据库审计-审计概述 116.1 背景信息数据库安全对数据库系统来说至关重要。openGauss将用户对数据库的所有操作…...

编程日记 2023/11/9 22:54:28

python编程复习系列——week2(Input Output (2))

文章目录一、多行代码语句二、Escape序列三、字符串格式四、数值运算课后作业一、多行代码语句 🥞使用反斜杠\来表示在下一行中继续使用一条语句。 subject_code "CSCI111" subject_mark 80 subject_grade "D" result "Subject re…...

编程日记 2023/11/9 22:53:27

为什么HTTP用得很好的，开始普及HTTPS呢？

显而易见，现在的HTTP早已不安全，当我们在浏览各个网站时会发现HTTP前面都会显示不安全，因为HTTP是明文传输，一旦电脑被植入了木马，木马程序就会主动周期性发消息给Internet的控制终端，这样NAT小洞会一直敞开…...

编程日记 2023/11/9 22:52:26

C++day6作业

1.思维导图 2.编程题： 以下是一个简单的比喻，将多态概念与生活中的实际情况相联系： 比喻：动物园的讲解员和动物表演想象一下你去了一家动物园，看到了许多不同种类的动物，如狮子、大象、猴子等。现在&am…...

编程日记 2023/11/9 22:49:18

【毕设项目源码推荐 javaweb 项目】基于 springboot+vue 的图书个性化推荐系统的设计与实现(springboot003)

简介 :::warning 【毕设项目源码推荐 javaweb 项目】基于 springbootvue 的图书个性化推荐系统的设计与实现适用于计算机类毕业设计，课程设计参考与学习用途。仅供学习参考， 不得用于商业或者非法用途，否则，一切后果请用户自负…...

编程日记 2023/11/9 22:47:17

FFmpeg编译hevc版本，支持mac、linux系统

相关前置库 openssl 仓库：https://github.com/openssl/openssl.git编译方式参考INSTALL.md中的步骤 # Unix / Linux / macOS$ ./config$ make && sudo make installlame库如果需要处理mp3相关，依赖lame库， 仓库：https…...

编程日记 2023/11/9 22:46:16

AI系统ChatGPT程序源码+AI绘画系统源码+支持GPT4.0+Midjourney绘画+已支持OpenAI GPT全模型+国内AI全模型

一、AI创作系统 SparkAi创作系统是基于OpenAI很火的ChatGPT进行开发的Ai智能问答系统和Midjourney绘画系统，支持OpenAI-GPT全模型国内AI全模型。本期针对源码系统整体测试下来非常完美，可以说SparkAi是目前国内一款的ChatGPT对接OpenAI软件系统。那么如…...

编程日记 2023/11/9 22:45:15

Unity 3D 调整cube的颜色

1.选中Assets后，右键->Create->Material 2.调整Material的颜色，然后将Material拖到对应的cube上...

编程日记 2023/11/9 22:44:13

数字通信和fpga概述——杜勇版本学习笔记

1数字通信处理流程脉冲调制是每个数字通信系统中间必不可少的环节，通常是使用升余弦滚降滤波器来实现。超外差接收机原理是利用本地产生的振荡波与输入信号混频，将输入信号频率变换为某个预先确定的频率的方法。超外差原理最早是由E.H.阿姆斯特朗于1…...

编程日记 2023/11/9 22:43:12

17.复制字符串，包括\0

#include<stdio.h> #include <cstring>int main(){int len1,len2;char s1[44];char s2[33];scanf("%s",s1);scanf("%s",s2);len1strlen(s1)1;printf("先s1的字符长度为：%d\n",len1) ;strcpy(s1,s2) ;printf("复制字…...

编程日记 2023/11/9 22:42:12

C# List＜T＞.IndexOf()方法的使用

C#中的List<T>.IndexOf()方法用于查找指定元素在列表中的索引位置。它返回第一个匹配项的索引，如果未找到匹配项，则返回-1。语法：有三种参数可选 int List<T>.IndexOf(T item); int List<T>.IndexOf(T item, int star…...

编程日记 2023/11/9 22:41:11

深入理解JVM虚拟机第十八篇：JVM种局部变量表结构的认识

大神链接：作者有幸结识技术大神孙哥为好友，获益匪浅。现在把孙哥视频分享给大家。孙哥链接：孙哥个人主页作者简介：一个颜值99分，只比孙哥差一点的程序员本专栏简介：话不多说，让我们一起干翻JVM 本文章简介：话不多说，让我们讲清楚虚拟机栈存储结构和运行原理文章目…...

编程日记 2023/11/9 22:40:10

zabbix监控安装-linux

zabbix6.4中文文档1. 简介 (zabbix.com) Zabbix 是一个企业级的开源分布式监控解决方案。 1.zabbix结构体系 Server： server 是存储所有配置、统计和操作数据的中央存储库。 Proxy： zabbix proxy可以代替 Zabbix server 收集性能和可用性数据。p…...

编程日记 2023/11/9 22:38:07

7+差异分析+WGCNA+PPI网络，学会了不吃亏

今天给同学们分享一篇生信文章“Integrated PPI- and WGCNA-Retrieval of Hub Gene Signatures Shared Between Barretts Esophagus and Esophageal Adenocarcinoma”，这篇文章发表在Front Pharmacol期刊上，影响因子为5.6。结果解读： 选定研…...

编程日记 2023/11/9 22:37:06

接口自动化测试

下面我们来看看，针对在本章优化重构后的接口测试框架来说，有哪些优点呢。我们首先来看下目录， 1.Case文件夹用来存放我们的测试用例相关的， 2.Data用来存储我们的测试数据，Excel管理测试用例，yaml文件管理…...

编程日记 2023/11/9 22:36:05

SPASS-描述性分析

将身高移入变量结果展示： 表中分析变量“身高”的个案数、所有个案中的极大值、极小值、均值、标准差及偏度和峰度...

编程日记 2023/11/9 22:33:01

kafka-go操作kafka

package mainimport ("context""fmt""os""os/signal""syscall""time""github.com/segmentio/kafka-go" )var (topic "user_click"reader *kafka.Reader )// 生产消息 func writeKafka(ctx …...

编程日记 2023/11/9 22:30:59

如何判断被DDoS攻击

当网络和设备正常的情况下，服务器突然出现连接断开、访问卡顿、用户掉线等情况;服务器CPU或内存占用率出现明显增长;网络出入流量出现明显增长;网站或应用程序突然出现大量的未知访问;登录服务器失败或者登录过慢等等。以上是最为常见的服务器被 DDoS攻击后出现的几…...

编程日记 2023/11/9 22:29:59

web —— html

Web —— css基础 1. HTML2. 基本HTML结构3. HTML常用标签3.1 文本相关标签3.2 HTML图像标签3.3 HTML超链接标签3.4 HTML表，单3.4.1 HTML表格3.4.2 HTML表单，输入框（多选框，单选框）下拉框 3.5 HTML分区标签3.5.1 div标…...

编程日记 2023/11/9 22:27:57

【C/PTA】数组练习（编程）

本文结合PTA专项练习带领读者掌握数组，刷题为主注释为辅，在代码中理解思路，其它不做过多叙述。文章目录 7-1 计算最大值出现的次数7-2 求一批整数中出现最多的个位数字7-3 装箱问题7-4 数组-值钱的微信号7-5 数组-吹泡泡7-6 数组-数学鬼才 7…...

编程日记 2023/11/9 22:26:54

python/java环境配置

环境变量放一起 python： 1.首先下载Python Python下载地址：Download Python | Python.org downloads ---windows -- 64 2.安装Python 下面两个，然后自定义，全选可以把前4个选上 3.环境配置 1）搜高级系统设置 2…...

编程新知 2025/11/25 0:57:10

在 Nginx Stream 层“改写”MQTT ngx_stream_mqtt_filter_module

1、为什么要修改 CONNECT 报文？ 多租户隔离：自动为接入设备追加租户前缀，后端按 ClientID 拆分队列。零代码鉴权：将入站用户名替换为 OAuth Access-Token，后端 Broker 统一校验。灰度发布：根据 IP/地理位写…...

编程新知 2025/8/1 10:20:23

跨链模式：多链互操作架构与性能扩展方案

跨链模式：多链互操作架构与性能扩展方案 ——构建下一代区块链互联网的技术基石一、跨链架构的核心范式演进 1. 分层协议栈：模块化解耦设计现代跨链系统采用分层协议栈实现灵活扩展（H2Cross架构）： 适配层&#xf…...

编程新知 2025/11/25 22:33:32

第一篇：Agent2Agent (A2A) 协议——协作式人工智能的黎明

AI 领域的快速发展正在催生一个新时代，智能代理（agents）不再是孤立的个体，而是能够像一个数字团队一样协作。然而，当前 AI 生态系统的碎片化阻碍了这一愿景的实现，导致了“AI 巴别塔问题”——不同代理之间…...

编程新知 2025/11/24 23:36:07

什么是EULA和DPA

文章目录 EULA（End User License Agreement）DPA（Data Protection Agreement）一、定义与背景二、核心内容三、法律效力与责任四、实际应用与意义 EULA（End User License Agreement） 定义： EULA即…...

编程新知 2025/10/18 7:13:10

工业自动化时代的精准装配革新：迁移科技3D视觉系统如何重塑机器人定位装配

AI3D视觉的工业赋能者迁移科技成立于2017年，作为行业领先的3D工业相机及视觉系统供应商，累计完成数亿元融资。其核心技术覆盖硬件设计、算法优化及软件集成，通过稳定、易用、高回报的AI3D视觉系统，为汽车、新能源、金属制造等行…...

编程新知 2025/11/25 4:59:47

android13 app的触摸问题定位分析流程

一、知识点一般来说，触摸问题都是app层面出问题，我们可以在ViewRootImpl.java添加log的方式定位；如果是touchableRegion的计算问题，就会相对比较麻烦了，需要通过adb shell dumpsys input > input.log指令，且通过打印堆栈的方式，逐步定位问题，并找到修改方案。问题…...

编程新知 2025/11/19 19:41:44