用户和权限审计
audit_login_logout
参数说明:这个参数决定是否审计用户的登录(包括登录成功和登录失败)、注销。
该参数属于SIGHUP类型参数,请参考表1中对应设置方法进行设置。
取值范围:整型,0~7。
- 0表示关闭用户登录、注销审计功能。
- 1表示只审计用户登录成功。
- 2表示只审计用户登录失败。
- 3表示只审计用户登录成功和失败。
- 4表示只审计用户注销。
- 5表示只审计用户注销和登录成功。
- 6表示只审计用户注销和登录失败。
- 7表示审计用户登录成功、失败和注销。
默认值:7
audit_database_process
参数说明:该参数决定是否对数据库的启动、停止、切换和恢复进行审计。
该参数属于SIGHUP类型参数,请参考表1中对应设置方法进行设置。
取值范围:整型,0、1。
- 0表示关闭数据库启动、停止、切换和恢复的审计功能。
- 1表示开启数据库启动、停止、切换和恢复的审计功能。
默认值:1
数据库启动时DN走备升主流程,因此DN启动时审计日志中类型为system_switch。
audit_user_locked
参数说明:该参数决定是否审计用户的锁定和解锁。
该参数属于SIGHUP类型参数,请参考表1中对应设置方法进行设置。
取值范围:整型,0、1。
- 0表示关闭用户锁定和解锁审计功能。
- 1表示开启审计用户锁定和解锁功能。
默认值:1
audit_user_violation
参数说明:该参数决定是否审计用户的越权访问操作。
该参数属于SIGHUP类型参数,请参考表1中对应设置方法进行设置。
取值范围:整型,0、1。
- 0表示关闭用户越权操作审计功能。
- 1表示开启用户越权操作审计功能。
默认值:0
audit_grant_revoke
参数说明:该参数决定是否审计用户权限授予和回收的操作。
该参数属于SIGHUP类型参数,请参考表1中对应设置方法进行设置。
取值范围:整型,0、1。
- 0表示关闭审计用户权限授予和回收功能。
- 1表示开启审计用户权限授予和回收功能。
默认值:1
audit_security_label
参数说明:该参数决定是否审计用户安全标签的创建、删除和应用操作。
参数类型:整型
参数单位:无
取值范围:0、1
- 0:表示关闭审计用户安全标签的创建、删除和应用操作。
- 1:表示开启审计用户安全标签的创建、删除和应用操作。
默认值:0
设置方式:该参数属于SIGHUP类型参数,请参考表1中对应设置方法进行设置。
设置建议:建议设置为默认值。如开启此参数可能会影响系统性能。
audit_internal_event
参数说明:该参数决定是否审计内部工具cm_agent、gs_clean、WDRXdb的连接及进行的操作。
参数类型:布尔型
参数单位:无
取值范围:
- off:表示不对内部工具cm_agent、gs_clean、WDRXdb的登录、退出登录及操作进行审计。
- on:表示对内部工具cm_agent、gs_clean、WDRXdb的登录、退出登录及操作进行审计。
默认值:off
设置方式:该参数属于SIGHUP类型参数,请参考表1中对应设置方法进行设置。
设置建议:建议设置为默认值。
数据库服务端内部工具也会产生审计日志,默认关闭audit_internal_event可以节约审计日志占用空间,提升审计日志查询性能。
full_audit_users
参数说明:该参数用于配置全量审计用户列表,对列表中的用户执行的所有可被审计的操作记录审计日志。
该参数属于SIGHUP类型参数,请参考表1中对应设置方法进行设置。
取值范围:字符串,多个用户名需使用逗号分隔。
默认值:空字符串
no_audit_client
参数说明:该参数用于配置不需要审计的客户端名称及IP地址列表。参数格式为:客户端名称@IP,同pg_query_audit函数中的client_conninfo字段,例如“cm_agent@127.0.0.1, gs_clean@127.0.0.1”。
该参数属于SIGHUP类型参数,请参考表1中对应设置方法进行设置。
取值范围:字符串,多个配置项需使用逗号分隔。
默认值:空字符串
- 当执行的SQL语句同时满足full_audit_users和no_audit_client参数配置时,以no_audit_client配置优先,不记录审计日志。
- 数据库服务端内部工具或节点之间通信也会产生审计日志,针对这些风险较低的审计场景的可以通过配置no_audit_client参数不记录审计,以节约审计日志占用空间,提升审计日志查询性能。