审计策略修改

文章目录环境文档用途详细信息环境系统平台银河麒麟svsX86_64,银河麒麟龙芯svs,银河麒麟飞腾svs,银河麒麟 X86_64,银河麒麟 飞腾,银河麒麟 鲲鹏,银河麒麟 海光,银河麒麟 龙芯版本9.0.1,4.5.10,4.5.9,4.5.8,4.5.7,4.5.6,4.3.4.9,4.3.4.8,4.3.4.7,4.3.4.6,4.3.4.5,4.3.4.4,4.3.4.3,4.3.4.2文档用途本文适用于指导Highgo Database数据库审计功能相关配置。详细信息目前瀚高数据库支持审计功能的版本有安全版v4.3.4.x、v4.5.x和企业版v9.0.x各版本之间略有差异具体查看与修改方式如下安全版v4.5.x版本1、查看审计策略配置审计管理员syssao可以通过select show_audit_param();来查看当前的审计策略配置[rootlocalhost~]# psql highgo syssao --登录syssao用户highgoselectshow_audit_param();--执行sql查看审计策略show_audit_param------------------------------------hg_auditon,hg_audit_analyzeoff,hg_audit_alarmemail,hg_audit_alarm_emailhg_audit_logsize1GB,hg_audit_keep_days180,hg_audit_full_mode1hg_audit_file_archive_modeoff,hg_audit_file_archive_dest每个参数的说明如下hg_audit审计总开关默认为 on。 hg_audit_analyze审计分析开关on 表示需要检查用户配置的审计事件风险等级并根据风险等级进行处理off 表示只记录审计记录而不处理风险等级默认为off. hg_audit_alarm审计告警方式当前只支持 email 方式即当需要进行审计告警时发送邮件到 hg_audit_alarm_email 所配置的邮箱. hg_audit_alarm_email审计告警邮箱. hg_audit_logsize生成的审计文件大小可配置的范围为 16MB~1GB默认为16MB。 hg_audit_file_archive_mode审计自动归档模式的开关on 表示打开审计文件自动归档审计归档进程扫描 hgaudit/audit_archive_ready 下的 ready 文件把相应的审计日志文件归档到 hg_audit_file_archive_dest 指定的路径下。默认为 off hg_audit_file_archive_dest审计归档路径只支持绝对路径。设定的路径必须存在且数据库运行用户对其有写权限。2、修改审计策略配置审计管理员syssao可以通过select set_audit_param(‘参数’,‘选项’);修改审计策略配置修改后重启数据库生效修改示例--登录syssao用户[rootlocalhost~]# psql highgo syssao--开启审计日志关闭审计日志将on改为offhighgoselectset_audit_param(hg_audit,on);set_audit_param---------------------------------setconfiguration successfully.--开启审计分析建议为off打开后会使审计日志急速膨胀。highgoselectset_audit_param(hg_audit_analyze,on);set_audit_param---------------------------------setconfiguration successfully.(1行记录)--单个审计日志文件大小限制为60MBhighgoselectset_audit_param(hg_audit_logsize,60MB);set_audit_param---------------------------------setconfiguration successfully.(1行记录)--审计日志保留日期修改为90天highgoselectset_audit_param(hg_audit_keep_days,90);set_audit_param---------------------------------setconfiguration successfully.(1行记录)--开启审计日志归档highgoselectset_audit_param(hg_audit_file_archive_mode,on);set_audit_param---------------------------------setconfiguration successfully.(1行记录)--配置审计日志归档路径hg_audit_file_archive_mode为on时生效,需设置绝对路径且路径必须存在。highgoselectset_audit_param(hg_audit_file_archive_dest,/highgo/audit_archive);set_audit_param---------------------------------setconfiguration successfully.(1行记录)--退出数据库highgo\q--重启数据库生效(重启前先确认数据库授权是否在有效期内[roothost~]# check_lic --检查数据库授权(v4.5.7及以下版本)[roothost~]# hg_lic --检查数据库授权(v4.5.8及以上版本)[roothost~]# pg_ctl restart --重启数据库安全版v4.3.4.x1、查看审计策略配置与安全版v4.5.x版本查看方式相同使用审计管理员syssao通过select show_audit_param();来查看当前的审计策略配置[rootlocalhost~]# psql highgo syssao --登录数据库syssao用户highgoselectshow_audit_param();--执行sql查看审计策略show_audit_param---------------------------------------hg_audit_Logall,hg_audit_LogCatalogon,hg_audit_LogClientoff,hg_audit_LogLevellog,hg_audit_LogParameteroff,hg_audit_LogRelationoff,hg_audit_LogStatementOnceoff,hg_audit_Role,hg_audit_filename%d_%H,hg_audit_truncate_on_rotationoff,hg_audit_RotationAge1440min,hg_audit_RotationSize10240KB,每个参数的说明如下hg_audit_Log审计范围可以是 readwritefunctionroleddl miscall。默认是 all。 hg_audit_LogCatalog是否审计系统表默认是开。 hg_audit_LogClient是否将日志信息发送给客户端默认关。 hg_audit_LogLevel审计日志的级别可以是 debug5debug4debug3 debug2debug1infonoticewarninglog。 hg_audit_LogParameter记录传入的参数默认关。 hg_audit_LogRelation是否为每一个表都创建单独的日志项。默认关。 hg_audit_LogStatementOnce相同查询只记录一次默认关。 hg_audit_Role该参数的配置对于审计信息记录无影响默认配置即可。 hg_audit_filename审计日志的文件格式默认%d_%H。 hg_audit_truncate_on_rotation审计日志自动覆盖。默认关。 hg_audit_RotationAge自动覆盖的时间间隔。默认 1440 分钟。 hg_audit_RotationSize自动覆盖的最大文件大小默认 10M。2、修改审计策略配置审计管理员syssao可以通过select set_audit_param(‘参数’,‘选项’);修改审计策略配置修改后重启数据库生效修改示例--登录syssao用户[rootlocalhost~]# psql highgo syssao--审计范围修改为ddlhighgoselectset_audit_param(hg_audit_Log,ddl);set_audit_param---------------------------------setconfiguration successfully.(1row)--开启审计日志循环覆盖highgoselectset_audit_param(hg_audit_truncate_on_rotation,on);set_audit_param---------------------------------setconfiguration successfully.(1row)--审计日志覆盖间隔为一周60*24*710080highgoselectset_audit_param(hg_audit_RotationAge,10080);set_audit_param---------------------------------setconfiguration successfully.(1row)--审计日志名称以星期缩写格式命名highgoselectset_audit_param(hg_audit_filename,%a);set_audit_param---------------------------------setconfiguration successfully.(1row)--退出数据库highgo\q--重启数据库生效(重启前先确认数据库授权是否在有效期内[roothost~]# check_lic --检查数据库授权[roothost~]# pg_ctl restart --重启数据库企业版v9.0.x此版本有两种审计模式分为通用模式与专用模式通过参数audit.privimode 来实现参数可选值为 12。默认为 1。1 代表通用模式表示安全审计管理员有权限查看所有审计日志2 代表专用模式表示安全保密管理员有权对普通用户和安全审计管理员的行为进行审计安全审计管理员有权对数据库安全员和数据库管理员的行为进行审计。在三权开启的状态下只有审计管理员syssao用户有修改和查询审计策略的权限1、查看审计策略配置使用审计管理员syssao通过show 审计参数;来查看当前的审计策略配置查询示例[rootlocalhost~]# psql highgo syssao --登录syssao用户highgoshowaudit.enable;--查看审计总开关状态audit.enable--------------onhighgoshowaudit.privimode;--查看审计模式audit.privimode-----------------1highgoshowaudit.retentionpolicy;--查看审计保留策略按时间或空间保存日志。audit.retentionpolicy-----------------------timehighgoshowaudit.retentiondays;--审计默认保留天数(此参数生效前提是audit.retentionpolicy值为time)audit.retentiondays---------------------30每个参数的说明如下audit.enable安全审计总开关 on表示打开安全审计 off表示关闭安全审计默认) audit.privimode指定审计模式 1表示通用模式默认 2表示专用模式 audit.retentionpolicy审计日志保留策略按时间或空间保存日志。 time按照时间方式保存日志默认 space按照空间方式保存日志 audit.retentiondays审计日志保存天数默认 30 天超 30 天覆盖。audit.retentionpolicytime 时本参数生效 audit.detectiontime定时任务检测时间将超过时间的日志删除默认为 1 天。audit.retentionpolicytime 时本参数生效 audit.spacelimit最大允许;用空间。默认为磁盘空间10G; audit.retentionpolicyspace 时本参数生效 audit.spacealarm空间使用超阀值告警用于指定一个百分比默认 0.8audit.retentionpolicyspace 时本参数生效 audit.archdir指定归档路径 audit.systemopers系统审计开关 off表示不对系统审计事件进行审计(默认); succ表示只对成功的系统审计事件进行审计 fail表示只对失败的系统审计事件进行审计; all表示成功和失败皆审计。 audit.sqlitedbpath配置 sqilte 数据库的路径 默认路径$PGDATA/pgaudit/sqlite/sqlite.db2、修改审计策略配置审计管理员syssao可以通过alter system set 参数 选项;修改审计策略配置所有审计参数均为重启服务生效修改示例--登录syssao用户[highgolocalhost~]$ psql highgo syssao--开启审计模式highgo# alter system set audit.enable on;ALTERSYSTEM--修改审计模式为专用模式highgoaltersystemsetaudit.privimode2;ALTERSYSTEM--修改审计日志保留策略未时间模式highgoaltersystemsetaudit.retentionpolicytime;ALTERSYSTEM--修改审计日志保留180天highgoaltersystemsetaudit.retentiondays180;ALTERSYSTEM--修改系统审计事件对失败系统审计事件进行审计highgoaltersystemsetaudit.systemopersfail;ALTERSYSTEM[highgolocalhost~]$ pg_ctl restart--重启数据库