数据库审计日志(数据库审计日志在哪)

目录：

• 1、如何查看GBase 8c数据库审计日志？
• 2、如何删除数据库审计日志？
• 3、基于大数据审计的信息安全日志分析法
• 4、数据库审计的功能出了有日志记录和审计功能，还有哪些功能？
• 5、如何掌握openGauss数据库核心技术？秘诀五：拿捏数据库安全（4）

如何查看GBase 8c数据库审计日志？

审计功能支持用户查看日志审计统计信息、统计折线图以及日志列表。支持用户安全、SQL、集群控制以及其他类型的日志审计。

审计功能界面显示日志审计的统计信息，包括所有数据库集群的日志总数、审计时长和今日日志总数。其中审计时长跨度为最初日志时刻至当前最近日志时刻。平台自动实时更新。

如何删除数据库审计日志？

打开历史清楚你想要清楚你的东西  之后按设置里有快捷删除建 点设置完成就可以了

基于大数据审计的信息安全日志分析法

噪声数据随着经济和信息技术的不断发展，许多企业开始引入了ERP等系统，这些系统使得企业的众多活动数据可以实时记录，形成了大量有关企业经营管理的数据仓库。从这些海量数据中获取有用的审计数据是目前计算机审计的一个应用。接下来我为你带来基于大数据审计的信息安全日志分析法，希望对你有帮助。

大数据信息安全日志审计分析方法

1．海量数据采集。

大数据采集过程的主要特点和挑战是并发数高，因此采集数据量较大时，分析平台的接收性能也将面临较大挑战。大数据审计平台可采用大数据收集技术对各种类型的数据进行统一采集，使用一定的压缩及加密算法，在保证用户数据隐私性及完整性的前提下，可以进行带宽控制。

2．数据预处理。

在大数据环境下对采集到的海量数据进行有效分析，需要对各种数据进行分类，并按照一定的标准进行归一化，且对数据进行一些简单的清洗和预处理工作。对于海量数据的预处理，大数据审计平台采用新的技术架构，使用基于大数据集群的分布式计算框架，同时结合基于大数据集群的复杂事件处理流程作为实时规则分析引擎，从而能够高效并行地运行多种规则，并能够实时检测异常事件。

3．统计及分析。

按照数据分析的实时性，分为实时数据分析和离线数据分析。大数据平台在数据预处理时使用的分布式计算框架Storm就非常适合对海量数据进行实时的统计计算，并能够快速反馈统计结果。Storm框架利用严格且高效的事件处理流程保证运算时数据的准确性，并提供多种实时统计接口以使用。

4．数据挖掘。

数据挖掘是在没有明确假设的前提下去挖掘信息、发现知识，所以它所得到的信息具有未知、有效、实用三个特征。与传统统计及分析过程不同的是，大数据环境下的数据挖掘一般没有预先设定好的主题，主要是在现有数据上面进行基于各种算法的计算，从而起到预测的效果，并进一步实现一些高级别数据分析的需求。

大数据分析信息安全日志的解决方案

统一日志审计与安全大数据分析平台能够实时不间断地将用户网络中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志和警报等信息汇集到管理中心，实现全网综合安全审计；同时借助大数据分析和挖掘技术，通过各种模型场景发现各种网络行为、用户异常访问和操作行为。

1．系统平台架构。

以国内某大数据安全分析系统为例，其架构包括大数据采集平台、未知威胁感知系统、分布式实时计算系统(Storm)、复杂事件处理引擎(Esper)、Hadoop平台、分布式文件系统(HDFS)、分布式列数据库(Hbase)、分布式并行计算框架(Map／Reduce、Spark)、数据仓库(Hive)、分布式全文搜索引擎(ElasticSearch)、科学计算系统(Euler)。这些技术能够解决用户对海量事件的采集、处理、分析、挖掘和存储的需求。

如图1所示，系统能够实时地对采集到的不同类型的信息进行归一化和实时关联分析，通过统一的控制台界面进行实时、可视化的呈现，协助安全管理人员迅速准确地识别安全事件，提高工作效率。

2．实现功能。

系统能够实现的功能包括：审计范围覆盖网络环境中的全部网络设备、安全设备、服务器、数据库、中间件、应用系统，覆盖200多种设备和应用中的上万类日志，快速支持用户业务系统日志审计；系统收集企业和组织中的所有安全日志和告警信息，通过归一化和智能日志关联分析引擎，协助用户准确、快速地识别安全事故；通过系统的'安全事件并及时做出安全响应操作，为用户的网络环境安全提供保障；通过已经审计到的各种审计对象日志，重建一段时间内可疑的事件序列，分析路径，帮助安全分析人员快速发现源；整个Hadoop的体系结构主要通过分布式文件系统(HDFS)来实现对分布式存储的底层支持。

3．应用场景。

上述系统可解决传统日志审计无法实现的日志关联分析和智能定位功能。如在企业的网络系统中，大范围分布的网络设备、安全设备、服务器等实时产生的日志量非常大，要从其中提取想要的信息非常困难，而要从设备之间的关联来判断设备故障也将是一大难点。例如，某企业定位某设备与周围直连设备的日志消息相关联起来判断该设备是否存在异常或故障，如对于其中一台核心交换机SW1，与之直连的所有设备如果相继报接口down的日志，则可定位该设备SWl为故障设备，此时应及时做出响应。而传统数据难以通过周围设备的关联告警来定位该故障，大数据审计平台则是最好的解决方法。

大数据分析方法可以利用实体关联分析、地理空间分析和数据统计分析等技术来分析实体之间的关系，并利用相关的结构化和非结构化的信息来检测非法活动。对于集中存储起来的海量信息，可以让审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。

数据库审计的功能出了有日志记录和审计功能，还有哪些功能？

数据库审计作为目前用户接受度最高，使用最为广泛的数据安全产品，如果只是单纯的具有日志记录和审计功能已经不能完全满足用户的需求，其功能必须得到进一步的扩展：

一. 加密协议解析

数据库有时会采用加密协议通讯，为审计解析带来了困难，但这也是数据库审计产品必须解决的问题，否则将无法实现数据库访问完全审计的任务。例如针对SQL Server默认的数据库用户加密或者更深层次的加密协议，都需要数据库审计产品提供相应的解决办法。

二. 复杂环境的数据采集

数据库审计产品除了常规的旁路部署通过交换机镜像数据库访问流量的审计方法外，还应具备适用于复杂网络的数据采集方式，例如在复杂的虚拟化网络环境下，通过“探针”方式捕获数据库流量。但是无论哪种部署方式，都需要在不影响数据库原有性能，无需应用、网络环境改造的前提下，提供可靠的数据库审计服务。

三. 应用关联审计与监控

数据库审计产品除了具备常规的客户端一层的审计信息：客户端IP、数据库用户、主机名、操作系统、用户名等，还应具备应用侧风险行为审计与监控的能力，例如对应用账户、应用IP等关联审计信息。

四. 数据库入侵行为监测

数据库暴露于内外网络，且数据库各版本都有安全漏洞问题，因此数据库审计产品应提供针对数据库漏洞攻击的“检测”功能，并对这些漏洞攻击实时监控、有效记录，发现风险后及时告警，且能够有效追溯风险来源。

五. 数据库异常行为监测

数据库审计产品的主体价值是帮助用户高效的完成风险行为的定责追溯，这需要数据库审计产品针对数据库通讯协议进行完全解析；并具备针对SQL语句的学习、归类形成模板的能力；最终结合会话信息、应用关联信息，实现数据库行为建模。基于访问模型，当数据库访问行为异常时，系统可提供实时的告警能力，降低数据泄露的损失。

六. 数据库违规行为监测

数据库审计产品还应具备针对数据库的违规访问、登录等行为检测告警的能力。例如利用审计到的数据库账号和客户端IP信息，针对指定周期内，同一IP或账号的频次性失败登录行为进行监控并形成告警。

七. 报表展现

数据库审计产品应具备将审计日志进行数据化分析并以个性化报表展示的能力，以便帮助安全管理人员更加便捷、深入的剖析数据库运行风险。例如：综合报表、合规性报表、专项报表、自定义报表等。

安华金和数据库审计产品不但完全具备以上7种能力，还具备更多的且具有用户价值的扩展功能，具体可以咨询他们~百度能查到相关资料的。

如何掌握openGauss数据库核心技术？秘诀五：拿捏数据库安全（4）

目录

Ⅰ.openGauss安全机制概览

Ⅱ.openGauss安全认证

Ⅲ.openGauss角色管理机制

Ⅳ.openGauss审计与追踪

1.审计记录机制

2.审计追踪机制

3.统一审计

Ⅴ.openGauss数据安全技术

Ⅵ.openGauss云安全技术

Ⅶ.openGauss智能安全机制

四.openGauss审计与追踪

openGauss在部署完成后，实际上会有多个用户参与数据管理。除了管理员用户外，更多的是创建的普通用户直接进行数据管理。用户的多样性会导致数据库存在一些不可预期的风险。如何快速发现和追溯到这些异常的行为，则需要依赖审计机制和审计追踪机制。

审计记录机制 01

审计记录的关键在于：

§ 定义何种数据库操作行为需要进行日志记录。

§ 记录的事件以何种形式展现和存储。

只有有效的记录了所关心的行为信息，才能依据这些行为进行问题审计和追溯，实现对系统的一个有效监督。

正如我们在“三权分立模型”章节描述的，进行权限分离后，就出现了审计管理员（当然也可以使用普通角色管理模型中的系统管理员来担当）。审计管理员最重要的作用在于对管理员以及普通用户所有关心的行为进行记录和审计追溯。审计首先要定义审计哪些数据库行为，其次需要定义审计内容记录在什么文件中以及何种目录下，最后需要定义清楚应提供何种接口供审计管理员进行审计查询。

openGauss针对用户所关心的行为提供了基础审计能力，包括事件的发起者、发生的时间和发生的内容。openGauss的审计功能受总体开关audit_enabled控制，默认开启。该开关不支持动态加载，需要重启数据库后才可以使功能的性质发生改变。在总体开关的基础上，openGauss增加了每一个对应审计项的开关。只有相应的开关开启，对应的审计功能项才能生效。

不同于总体开关，每一个对应的子审计项都支持动态加载，在数据库运行期间修改审计开关的值，不需要重启数据库即可支持。审计的子项目包括如下的部分：

§ audit_login_logout：用户登录、注销审计

§ audit_database_process：数据库启动、停止、恢复和切换审计

§ audit_user_locked：用户锁定和解锁审计

§ audit_user_violation：用户访问越权审计

§ audit_grant_revoke：授权和回收权限审计

§ audit_system_object：数据库对象的Create、Alter和Drop操作审计

§ audit_dml_state：具体表的INSERT、UDPDATE和DELETE操作审计

§ audit_dml_state_select：select查询操作审计

§ audit_copy_exec：copy行为审计

§ audit_function_exec：审计执行function的操作

§ audit_set_parameter：审计设置参数的行为

定义完审计记录行为后，当数据库执行相关的操作，内核独立的审计线程就会记录审计日志。

传统的审计日志保存方法有两种，记录到数据库的表中以及记录到OS文件中。前种方法由于表是数据库的对象，在符合权限的情况下就可以访问到该审计表，当发生非法操作时，审计记录的准确性难以得到保证。而后种方法虽然需要用户维护审计日志，但是比较安全，即使一个账户可以访问数据库，但不一定有访问OS这个文件的权限。

与审计日志存储相关的配置参数及其含义定义如下：

§ audit_directory：字符串类型，定义审计日志在系统中的存储目录，一个相对于“/data”数据目录的路径，默认值为：/var/log/openGauss/perfadm/pg_audit，也可以由用户指定。

§ audit_resource_policy：布尔类型，控制审计日志的保存策略，即以空间还是时间限制为优先策略决定审计文件更新，默认值为on。

§ audit_space_limit：整型类型，定义允许审计日志占用的磁盘空间总量，默认值为1GB，在实际配置中需要结合环境进行总体考虑。

§ audit_file_remain_time：整型类型，定义保留审计日志的最短时间要求，默认值为90，单位为天。特别的，如果取值为0，则表示无时间限制。

§ audit_file_remian_threshold：整型类型，定义审计目录audit_directory下可以存储的审计文件个数。默认值为1048576。

§ audit_rotation_size：整型类型，定义单个审计日志文件的最大大小，当审计日志文件大小超过此参数值时，新创建一个审计文件。

§ audit_rotation_interval：整型类型，定义新创建一个审计日志文件的时间间隔。默认值为1天，单位为分钟。

通过上述的这些配置参数，系统管理员用户可以在查询任务发生后找到对应的审计日志，并进行有效归档。审计日志文件也会按照参数指定的规则来进行更新、轮换等。

审计追踪机制 02

openGauss将审计所产生的文件独立存放在审计文件中，并按照产生的先后顺序进行标记管理，并以特定的格式进行存储（默认为二进制格式文件）。当审计管理员需要进行审计查询时，通过执行函数pg_query_audit即可，其具体的语法如下所示：

其中，valid_start_time和valid_end_time定义了审计管理员将要审计的有效开始时间和有效结束时间；audit_log表示审计日志信息所在的归档路径，当不指定该参数时，默认查看链接当前实例的审计日志文件(不区分具体的审计文件)。

值得注意的是，valid_start_time和valid_end_time的有效值为从valid_start_time日期中的00:00:00开始到valid_end_time日期中23:59:59之间。由于审计日志中包含了众多的信息，如时间、地点、行为分类等等，审计管理在获得完整的信息后可以增加各种过滤条件来获得相对应的更明确的信息。

统一审计 03

传统审计依据开关定义了不同的审计组合行为。事实上，这种无区分对待的审计行为虽然记录了所有想要审计的行为，但是对于通过审计日志发现问题则显得不那么容易，且管理员无法为特定的用户定义特定的行为，反而造成了系统处理的负担。因此需要为审计添加更精细化管理的能力。

统一审计的目的在于通过一系列有效的规则在数据库内部有选择性执行有效的审计，从而简化管理，提高数据库生成的审计数据的安全性。本节所述的技术目前处于研发阶段，对应产品尚未向客户发布。

openGauss提供了一套完整的统一审计策略机制，依据不同任务的诉求对用户的行为进行定制化审计管理。更进一步，openGauss的统一审计不仅可以依据用户、依据表进行审计行为定义，同时还可以扩展至通过IP地址、APP的名称来过滤和限制需要审计的内容。实际的语法如下所示：

其中，privilege_audit_clause定义语法如下：

该语法定义了针对DDL类语句的审计策略，其中LABEL表示一组资产**，即数据库对象的**。access_audit_clause定义语法如下：

该语法定义了针对DML类语句的审计策略。filter_clause标记需要过滤的信息，常见的Filter types类型包括IP、APPS应用（访问的应用名）、ROLES（数据库系统用户）以及LABEL对象。

一个有效的统一审计策略可参见如下：

表示创建针对CREATE/ALTER/DROP操作的审计策略，审计策略只对dev用户在本地（local）执行CREATE/ALTER/DROP行为时生效。

未完待续......