GaussDB(DWS) 云端运维系列第五期:集群安全(审计日志,审计日志转储)
GaussDB(DWS)集群安全之审计日志
GaussDB(DWS)审计日志是GaussDB集群安全保障的重要手段,GaussDB(DWS) 使用云审计服务,可以记录GaussDB(DWS) 管理控制台的关键操作事件,记录下的日志可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。针对此功能本次介绍分为两部分,第一部分介绍设置GaussDB(DWS)审计日志,第二部分是转储GaussDB(DWS)审计日志。
设置GaussDB(DWS)审计日志
操作场景
GaussDB(DWS) 支持对特定数据库操作记录审计日志,包括:日志保留策略、用户越权访问、存储过程以及对数据库对象的DML、SELECT、COPY和DDL操作。
审计日志配置后,当GaussDB(DWS) 集群状态异常,或根据业务需要,用户可以查询审计信息确定故障原因或定位历史操作记录。
前提条件
数据库审计日志在集群的“安全配置”页面中进行设置,仅“可用”和“低性能”状态的集群才支持修改安全配置,同时集群的任务信息不能处于“创建快照中”、“节点扩容”、“配置中”和“重启中”。
操作步骤
- 登录GaussDB(DWS) 管理控制台。
- 单击“集群管理”。
- 在集群列表中,单击指定集群的名称,然后单击“安全设置”。默认显示“配置状态”为“已同步”,表示页面显示的是数据库当前最新结果。
4. 在“审计配置”区域中,设置审计日志保留策略。
图1 审计日志保留策略
详细信息如表1所示。
| 表1 审计日志保留策略 |
|
| 参数名 |
说明 |
| 审计日志保留策略 |
设置审计日志保留策略,支持如下两种策略: o “空间优先”:表示当单个节点的审计日志超过1G后,将自动淘汰审计日志。 o “时间优先”:表示在“审计日志最小保存时间(天)”内会保留审计日志,超过时间后,根据存储容量限制(单个节点1G),对审计日志进行自动淘汰。 默认策略是“空间优先”。 说明: 版本号为1.0.0和1.1.0的集群不支持设置审计日志保留策略。 |
| 审计日志最小保存时间(天) |
当“审计日志保留策略”设置为“时间优先”策略时,该参数有效。 可选天数为0~730天,默认值为90天。 |
5.根据需要设置以下操作的审计开关。
图2 审计项
各审计项的详细信息如表2所示。
| 表2 审计项 |
|
| 参数名 |
说明 |
| 审计用户越权访问操作 |
表示是否记录用户的越权访问操作,默认关闭。 |
| 审计DML操作 |
表示是否对数据表的INSERT、UPDATE和DELETE操作进行记录,默认关闭。 |
| 审计SELECT操作 |
表示是否对SELECT操作进行记录,默认关闭。 |
| 审计存储过程执行 |
表示是否在执行存储过程和自定义函数的时候记录操作信息,默认关闭。 |
| 审计COPY操作 |
表示是否对COPY操作进行记录,默认关闭。 |
| 审计DDL操作 |
表示是否对指定数据库对象的CREATE、DROP和ALTER操作进行记录。除“Database”、“Schema”和“User”默认启用记录,其他默认关闭。 |
GaussDB(DWS) 除了支持表2的审计功能,默认还开启了如表3所示的关键审计项。
| 表3 关键审计项 |
|
| 参数名 |
说明 |
| 关键审计项 |
记录用户登录成功、登录失败和注销的信息。 |
| 记录数据库启动、停止、恢复和切换审计信息。 |
|
| 记录用户锁定和解锁功能信息。 |
|
| 记录用户权限授予和权限回收信息。 |
|
| 记录SET操作的审计功能。 |
|
6.设置是否开启审计日志转储功能。
7.单击“应用”。单击,“配置状态”显示为“应用中”,表示系统正在保存配置。等待一段时间后再次刷新“配置状态”,当显示为“已同步”,表示已保存配置并生效。
转储数据库审计日志
GaussDB(DWS) 记录您的数据库中的连接和用户活动相关信息。这些审计日志信息有助于您监控数据库以确保安全或进行故障排除或定位历史操作记录。当前这些审计日志默认存储于数据库中,您还可以将审计日志转储到OBS中使负责监控数据库中活动的用户更方便的查看这些日志信息。
您可以在GaussDB(DWS) 管理控制台进行如下操作:
开启审计日志转储
GaussDB(DWS) 集群创建成功后,您可以为集群开启审计日志转储,将审计日志转储到OBS中,方便查看。
开启审计日志转储前需满足如下条件:
- 已创建用于存储审计日志的OBS桶。
开启审计日志转储具体操作如下:
- 登录GaussDB(DWS) 管理控制台。
- 在左侧导航栏中,单击“集群管理”。
- 在集群列表中,单击您想要开启审计日志转储的集群的名称,然后单击“安全设置”。
- 在“审计配置”区域中,开启审计日志转储。每个区域的每个项目首次开启审计日志转储功能时,系统将提示您需创建名称为“DWSAccessOBS”的委托,委托创建成功后,GaussDB(DWS) 可以将审计日志转储至OBS中。默认情况下,只有华为云账号或拥有Security Administrator权限的用户才具备创建委托的权限。账号中的IAM用户,默认没有创建委托的权限,需联系有权限的用户在当前页面完成对GaussDB(DWS) 的委托授权。
图1 开启审计日志转储
- OBS桶:存储审计数据的OBS桶名称。如果没有可选择的OBS桶,可以单击“查看OBS桶”进入OBS管理控制台创建新的OBS桶。
- OBS路径:在OBS中存储审计文件的自定义目录。多级目录可用“/”进行分隔,不能以“/”开头。路径取值范围:1~50个字符。如果填写的OBS路径不存在时,系统会先创建该OBS路径再进行转储。
- 转储周期(分):根据用户配置的时间,周期性的将数据转储到OBS中。取值范围:5~43200。单位为分钟。
- 单击“应用”。“配置状态”显示为“应用中”,表示系统正在保存配置。等待一段时间后再次刷新“配置状态”,当显示为“已同步”,表示已保存配置并生效。
修改审计日志转储
开启审计日志转储后,您可以对转储配置进行修改,如修改日志存放的OBS桶和路径,转储周期等。
修改审计日志转储具体操作如下:
- 登录GaussDB(DWS) 管理控制台。
- 在左侧导航栏中,单击“集群管理”。
- 在集群列表中,单击您想要修改审计日志转储的集群的名称,然后单击“安全设置”。
- 在“审计配置”区域中,修改审计日志转储配置。
- 单击“应用”。“配置状态”显示为“应用中”,表示系统正在保存配置。等待一段时间后再次刷新“配置状态”,当显示为“已同步”,表示已保存配置并生效。
查看审计日志转储记录
开启审计日志转储后,您可以通过OBS查看转储的审计日志。
查看审计日志转储记录具体操作如下:
- 登录GaussDB(DWS) 管理控制台。
- 在左侧导航栏中,单击“集群管理”。
- 在集群列表中,单击您想要查看审计日志转储记录的集群的名称,然后单击“安全设置”。
- 在“审计配置”区域中,单击“查看转储记录”。
- 在弹出的“审计日记转储记录”弹出框中,单击“查看OBS桶”,进入OBS管理控制台。
- 选择日志存放的OBS桶和文件夹进入查看具体的日志文件。
您可以选择将日志文件下载,解压并打开查看。审计日志文件字段说明如下。
| 表1 审计日志文件字段说明 |
|
| 名称 |
描述 |
| time |
操作时间 |
| type |
操作类型 |
| result |
操作结果 |
| username |
执行操作的用户名 |
| database |
数据库名称 |
| client_conninfo |
客户端连接信息 |
| object_name |
操作对象名称 |
| detail_info |
执行操作详细信息 |
| node_name |
节点名称 |
| thread_id |
线程ID |
| local_port |
本地端口号 |
| remote_port |
远端端口号 |
关闭审计日志转储
审计日志转储开启后,如果您不想将审计日志转储到OBS中,您可以将审计日志转储关闭。
关闭审计日志转储具体操作如下:
- 登录GaussDB(DWS) 管理控制台。
- 在左侧导航栏中,单击“集群管理”。
- 在集群列表中,单击您想要关闭审计日志转储的集群的名称,然后单击“安全设置”。
- 在“审计配置”区域中,关闭审计日志转储开关。
- 单击“应用”。“配置状态”显示为“应用中”,表示系统正在保存配置。等待一段时间后再次刷新“配置状态”,当显示为“已同步”,表示已保存配置并生效。
- 点赞
- 收藏
- 关注作者
评论(0)