维护审计日志

前提条件

用户必须拥有审计权限。

背景信息

• 与审计日志相关的配置参数及其含义请参见表1。

  表1 审计日志相关配置参数

  配置项	含义	默认值
  audit_directory	审计文件的存储目录。	$GAUSSLOG/pg_audit
  audit_resource_policy	审计日志的保存策略。	on（表示使用空间配置策略）
  audit_space_limit	审计文件占用的磁盘空间总量。	1GB
  audit_file_remain_time	审计日志文件的最小保存时间。	90
  audit_file_remain_threshold	审计目录下审计文件的最大数量。	1048576

  

  如果使用gs_om工具部署集群，则审计日志路径为“$GAUSSLOG/pg_audit”。

• 审计日志删除命令为数据库提供的sql函数pg_delete_audit，其原型为：

  pg_delete_audit(timestamp startime,timestamp endtime)

  其中参数startime和endtime分别表示审计记录的开始时间和结束时间。

• 目前常用的记录审计内容的方式有两种：记录到数据库的表中、记录到OS文件中。这两种方式的优缺点比较如表2所示。

  表2 审计日志保存方式比较

  方式	优点	缺点
  记录到表中	不需要用户维护审计日志。	由于表是数据库的对象，如果一个数据库用户具有一定的权限，就能够访问到审计表。如果该用户非法操作审计表，审计记录的准确性难以得到保证。
  记录到OS文件中	比较安全，即使一个帐户可以访问数据库，但不一定有访问OS这个文件的权限。	需要用户维护审计日志。

  从数据库安全角度出发，GaussDB采用记录到OS文件的方式来保存审计结果，保证了审计结果的可靠性。

操作步骤

1. 参考连接数据库，连接数据库。
2. 选择日志维护方式进行维护。
   • 设置自动删除审计日志

     审计文件占用的磁盘空间或者审计文件的个数超过指定的最大值时，系统将删除最早的审计文件，并记录审计文件删除信息到审计日志中。

     

     审计文件占用的磁盘空间大小默认值为1024MB，用户可以根据磁盘空间大小重新设置参数。

     配置审计文件占用磁盘空间的大小（audit_space_limit）。

     配置审计文件个数的最大值（audit_file_remain_threshold）。

   • 手动备份审计文件

     当审计文件占用的磁盘空间或者审计文件的个数超过配置文件指定的值时，系统将会自动删除较早的审计文件，因此建议用户周期性地对比较重要的审计日志进行保存。

     1. 使用show命令获得审计文件所在目录（audit_directory）。

        1	openGauss=# SHOW audit_directory;

     2. 将审计目录整个拷贝出来进行保存。
   • 手动删除审计日志

     当不再需要某时段的审计记录时，可以使用审计接口命令pg_delete_audit进行手动删除。

     以删除2020/9/20到2020/9/21之间的审计记录为例：

     1	openGauss=# SELECT pg_delete_audit('2020-09-20 00:00:00','2020-09-21 23:59:59');