第13章openGauss的高可用性數(shù)據(jù)庫(kù)系統(tǒng)設(shè)計(jì)與開(kāi)發(fā)openGauss的高可用性openGauss的高可用性主備模式安裝實(shí)例主備切換openGauss的高可用性高可用性含義數(shù)據(jù)庫(kù)的高可用性主要指的是在面對(duì)硬件或軟件故障時(shí)，?數(shù)據(jù)庫(kù)系統(tǒng)仍能保持高服務(wù)可用性的能力。?這包括數(shù)據(jù)冗余、?服務(wù)節(jié)點(diǎn)冗余、?容錯(cuò)等多個(gè)方面，?以確保在主數(shù)據(jù)庫(kù)發(fā)生故障時(shí)，?系統(tǒng)仍能保持正常運(yùn)行，?保障數(shù)據(jù)的安全性和完整性，?提升用戶體驗(yàn)和系統(tǒng)的整體性能。保障高可用性的主要策略數(shù)據(jù)冗余：?通過(guò)多份備份和存儲(chǔ)數(shù)據(jù)，?確保在主數(shù)據(jù)庫(kù)故障時(shí)仍能恢復(fù)數(shù)據(jù)并保持系統(tǒng)運(yùn)行。?這包括定期備份數(shù)據(jù)、?配置熱備份和冷備份等方式，?以提高數(shù)據(jù)的安全性和可靠性。?服務(wù)節(jié)點(diǎn)冗余：?通過(guò)配置多個(gè)服務(wù)節(jié)點(diǎn)，?當(dāng)一個(gè)節(jié)點(diǎn)發(fā)生故障時(shí)可以自動(dòng)切換到其他節(jié)點(diǎn)，?保證系統(tǒng)的持續(xù)性服務(wù)。?常見(jiàn)的方式包括主備復(fù)制、?集群部署、?負(fù)載均衡等，?通過(guò)部署多個(gè)服務(wù)節(jié)點(diǎn)并實(shí)現(xiàn)自動(dòng)故障檢測(cè)和切換，?提高系統(tǒng)的穩(wěn)定性和可用性。保障高可用性的主要策略容錯(cuò)：?指系統(tǒng)在面對(duì)各種異常情況和故障時(shí)，?能夠保持穩(wěn)定性和正常運(yùn)行的能力。?通過(guò)設(shè)計(jì)和實(shí)施各種機(jī)制和策略來(lái)防止系統(tǒng)因故障而導(dǎo)致數(shù)據(jù)丟失或服務(wù)中斷。?關(guān)鍵在于提高系統(tǒng)的魯棒性和抗干擾能力，?包括故障檢測(cè)、?自動(dòng)故障轉(zhuǎn)移、?數(shù)據(jù)冗余、?錯(cuò)誤恢復(fù)等技術(shù)手段。?openGauss的高可用性openGauss的高可用性高可用性主要體現(xiàn)在以下幾個(gè)方面支持多種部署模式：?openGauss支持主備同步、?異步以及級(jí)聯(lián)備機(jī)等多種部署模式，?以確保在故障發(fā)生時(shí)能夠迅速切換至備用數(shù)據(jù)庫(kù)，?保證服務(wù)的連續(xù)性。?數(shù)據(jù)頁(yè)CRC校驗(yàn)與自動(dòng)修復(fù)：?openGauss通過(guò)數(shù)據(jù)頁(yè)CRC校驗(yàn)機(jī)制，?能夠在數(shù)據(jù)頁(yè)損壞時(shí)通過(guò)備用機(jī)自動(dòng)修復(fù)，?確保數(shù)據(jù)的完整性和一致性。?備機(jī)并行恢復(fù)：?openGauss支持備機(jī)并行恢復(fù)功能，?能夠在短時(shí)間內(nèi)將備機(jī)升級(jí)為主機(jī)，?提供服務(wù)，?確保在極短的時(shí)間內(nèi)恢復(fù)服務(wù)可用性。?基于Paxos分布式一致性協(xié)議的日志復(fù)制及選主框架：?通過(guò)這一技術(shù)，?openGauss能夠?qū)崿F(xiàn)高可用性和容災(zāi)能力，?確保在多個(gè)數(shù)據(jù)中心或區(qū)域之間實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)同步和故障快速恢復(fù)。高可用性主要體現(xiàn)在以下幾個(gè)方面兩地三中心跨Region容災(zāi)：?openGauss支持“兩地三中心”的災(zāi)備模式，?即在兩個(gè)地理位置不同的數(shù)據(jù)中心設(shè)置生產(chǎn)中心、?同城容災(zāi)中心以及異地容災(zāi)中心，?這種模式兼具高可用性和災(zāi)難備份的能力，?能夠有效地應(yīng)對(duì)自然災(zāi)害等極端情況。openGauss的高可用性實(shí)例主備切換主備切換的基本概念主庫(kù)（Primary）：負(fù)責(zé)處理讀寫(xiě)請(qǐng)求的數(shù)據(jù)庫(kù)實(shí)例。備庫(kù)（Standby）：負(fù)責(zé)接收主庫(kù)的WAL（Write-AheadLogging）日志并進(jìn)行數(shù)據(jù)同步的數(shù)據(jù)庫(kù)實(shí)例。主備切換：將主庫(kù)和備庫(kù)的角色互換，原主庫(kù)變?yōu)閭鋷?kù)，原備庫(kù)變?yōu)橹鲙?kù)。主備切換的適用場(chǎng)景計(jì)劃維護(hù)：在主庫(kù)需要進(jìn)行維護(hù)時(shí)，切換到備庫(kù)以保證業(yè)務(wù)連續(xù)性。故障恢復(fù)：當(dāng)主庫(kù)發(fā)生故障時(shí)，切換到備庫(kù)以恢復(fù)服務(wù)。負(fù)載均衡：在負(fù)載較高時(shí)，切換到備庫(kù)以分擔(dān)主庫(kù)的壓力。實(shí)例主備切換主備切換的前提條件主備同步正常：主庫(kù)和備庫(kù)之間的數(shù)據(jù)同步正常，備庫(kù)的數(shù)據(jù)與主庫(kù)一致。備庫(kù)狀態(tài)正常：備庫(kù)處于正常運(yùn)行狀態(tài)，能夠接管主庫(kù)的角色。業(yè)務(wù)可中斷：主備切換過(guò)程中，數(shù)據(jù)庫(kù)服務(wù)可能會(huì)短暫中斷，需確保業(yè)務(wù)能夠容忍。主備切換的注意事項(xiàng)數(shù)據(jù)一致性：確保主備切換過(guò)程中數(shù)據(jù)的一致性，避免數(shù)據(jù)丟失。業(yè)務(wù)中斷：主備切換可能會(huì)導(dǎo)致短暫的業(yè)務(wù)中斷，需提前通知業(yè)務(wù)方。網(wǎng)絡(luò)延遲：如果主備庫(kù)之間的網(wǎng)絡(luò)延遲較大，可能會(huì)影響切換的速度和數(shù)據(jù)同步。備份和恢復(fù)：在執(zhí)行主備切換之前，建議對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份，以防止意外情況發(fā)生。實(shí)例主備切換主備切換的步驟以操作系統(tǒng)用戶omm登錄數(shù)據(jù)庫(kù)任意節(jié)點(diǎn)，執(zhí)行如下命令，查看主備情況。gs_om-tstatus--detail以操作系統(tǒng)用戶omm登錄準(zhǔn)備切換為主節(jié)點(diǎn)的備節(jié)點(diǎn)，執(zhí)行如下命令。gs_ctlswitchover-D$PGDATAswitchover成功后，在新主機(jī)節(jié)點(diǎn)上執(zhí)行如下命令記錄當(dāng)前主備機(jī)器信息。gs_om-trefreshconf第14章數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)系統(tǒng)設(shè)計(jì)與開(kāi)發(fā)數(shù)據(jù)庫(kù)審計(jì)審計(jì)概述查看審計(jì)結(jié)果維護(hù)審計(jì)日志審計(jì)實(shí)例審計(jì)概述審計(jì)概念按照“可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則”（TrustedComputerSystemEvaluationCriteria，TCSEC)的要求，審計(jì)功能是DBMS達(dá)到C2以上安全級(jí)別必不可少的一項(xiàng)指標(biāo)。數(shù)據(jù)庫(kù)審計(jì)功能就是把用戶對(duì)數(shù)據(jù)庫(kù)的所有操作自動(dòng)記錄下來(lái)放入“審計(jì)日志”（auditlog）中，數(shù)據(jù)庫(kù)審計(jì)機(jī)制以一種非常詳細(xì)的級(jí)別捕獲用戶行為，它可以對(duì)任何用戶所做的登錄注銷、所執(zhí)行的任何SQL語(yǔ)句、對(duì)數(shù)據(jù)庫(kù)對(duì)象的任何操作進(jìn)行自動(dòng)跟蹤登記，以便數(shù)據(jù)庫(kù)管理者在事后進(jìn)行監(jiān)督和檢查，數(shù)據(jù)庫(kù)審計(jì)又稱為審計(jì)跟蹤。在一些敏感性較高的應(yīng)用中，?審計(jì)日志還可以用于遵從合規(guī)性規(guī)定。?許多行業(yè)標(biāo)準(zhǔn)和法律法規(guī)要求記錄數(shù)據(jù)庫(kù)操作歷史，?以便監(jiān)管機(jī)構(gòu)對(duì)業(yè)務(wù)實(shí)踐進(jìn)行檢查。??審計(jì)日志有助于確定惡意用戶的行為和未經(jīng)授權(quán)的訪問(wèn)，?以便及時(shí)采取應(yīng)對(duì)措施和提高安全性。?通過(guò)分析審計(jì)日志，?并與內(nèi)部政策和規(guī)定相比較，?可以確定員工是否遵守安全性規(guī)定，?從而有助于加強(qiáng)企業(yè)文化。審計(jì)概述openGauss的審計(jì)審計(jì)總開(kāi)關(guān)audit_enabled參數(shù)支持動(dòng)態(tài)加載。在數(shù)據(jù)庫(kù)運(yùn)行期間修改該配置項(xiàng)的值會(huì)立即生效，無(wú)需重啟數(shù)據(jù)庫(kù)。默認(rèn)值為on，表示開(kāi)啟審計(jì)功能。除了審計(jì)總開(kāi)關(guān)，各個(gè)審計(jì)項(xiàng)也有對(duì)應(yīng)的開(kāi)關(guān)。只有開(kāi)關(guān)開(kāi)啟，對(duì)應(yīng)的審計(jì)功能才能生效。各審計(jì)項(xiàng)的開(kāi)關(guān)支持動(dòng)態(tài)加載。在數(shù)據(jù)庫(kù)運(yùn)行期間修改審計(jì)開(kāi)關(guān)的值，不需要重啟數(shù)據(jù)庫(kù)便可生效。審計(jì)概述openGauss配置審計(jì)項(xiàng)配置項(xiàng)描述戶登錄、注銷審計(jì)參數(shù)：audit_login_logout默認(rèn)值為7，表示開(kāi)啟用戶登錄、退出的審計(jì)功能。設(shè)置為0表示關(guān)閉用戶登錄、退出的審計(jì)功能。不推薦設(shè)置除0和7之外的值。數(shù)據(jù)庫(kù)啟動(dòng)、停止、恢復(fù)和切換審計(jì)參數(shù)：audit_database_process默認(rèn)值為1，表示開(kāi)啟數(shù)據(jù)庫(kù)啟動(dòng)、停止、恢復(fù)和切換的審計(jì)功能。用戶鎖定和解鎖審計(jì)參數(shù)：audit_user_locked默認(rèn)值為1，表示開(kāi)啟審計(jì)用戶鎖定和解鎖功能。用戶訪問(wèn)越權(quán)審計(jì)參數(shù)：audit_user_violation默認(rèn)值為0，表示關(guān)閉用戶越權(quán)操作審計(jì)功能。授權(quán)和回收權(quán)限審計(jì)參數(shù)：audit_grant_revoke默認(rèn)值為1，表示開(kāi)啟審計(jì)用戶權(quán)限授予和回收功能。對(duì)用戶操作進(jìn)行全量審計(jì)參數(shù)：full_audit_users默認(rèn)值為空字符串，表示采用默認(rèn)配置，未配置全量審計(jì)用戶。不需要審計(jì)的客戶端名稱及IP地址參數(shù)：no_audit_client默認(rèn)值為空字符串，表示采用默認(rèn)配置，未將客戶端及IP加入審計(jì)黑名單。審計(jì)概述openGauss配置審計(jì)項(xiàng)配置項(xiàng)描述數(shù)據(jù)庫(kù)對(duì)象的CREATE，ALTER，DROP操作審計(jì)參數(shù)：audit_system_object默認(rèn)值為67121159，表示只對(duì)DATABASE、SCHEMA、USER、DATASOURCE這四類數(shù)據(jù)庫(kù)對(duì)象的CREATE、ALTER、DROP操作進(jìn)行審計(jì)。具體表的INSERT、UPDATE和DELETE操作審計(jì)參數(shù)：audit_dml_state默認(rèn)值為0，表示關(guān)閉具體表的DML操作（SELECT除外）審計(jì)功能。SELECT操作審計(jì)參數(shù)：audit_dml_state_select默認(rèn)值為0，表示關(guān)閉SELECT操作審計(jì)功能。COPY審計(jì)參數(shù)：audit_copy_exec默認(rèn)值為1，表示開(kāi)啟copy操作審計(jì)功能。存儲(chǔ)過(guò)程和自定義函數(shù)的執(zhí)行審計(jì)參數(shù)：audit_function_exec默認(rèn)值為0，表示不記錄存儲(chǔ)過(guò)程和自定義函數(shù)的執(zhí)行審計(jì)日志。執(zhí)行白名單內(nèi)的系統(tǒng)函數(shù)審計(jì)參數(shù)：audit_system_function_exec默認(rèn)值為0，表示不記錄執(zhí)行系統(tǒng)函數(shù)的審計(jì)日志。SET審計(jì)參數(shù)：audit_set_parameter默認(rèn)值為0，表示關(guān)閉SET審計(jì)功能。事務(wù)ID記錄參數(shù)：audit_xid_info默認(rèn)值為0，表示關(guān)閉審計(jì)日志記錄事務(wù)ID功能。審計(jì)概述數(shù)據(jù)庫(kù)審計(jì)操作步驟以操作系統(tǒng)用戶omm登錄數(shù)據(jù)庫(kù)主節(jié)點(diǎn)。連接數(shù)據(jù)庫(kù)檢查審計(jì)總開(kāi)關(guān)狀態(tài)用show命令顯示審計(jì)總開(kāi)關(guān)audit_enabled的值。showaudit_enabled;如果顯示為off，執(zhí)行‘\q’命令退出數(shù)據(jù)庫(kù)，繼續(xù)執(zhí)行后續(xù)步驟。如果顯示為on，則無(wú)需執(zhí)行后續(xù)步驟。執(zhí)行如下命令開(kāi)啟審計(jì)功能，參數(shù)設(shè)置立即生效。其中，-N指定數(shù)據(jù)節(jié)點(diǎn)，all為有所節(jié)點(diǎn)；表示-I指定數(shù)據(jù)庫(kù)實(shí)例，all表示針對(duì)所有實(shí)例；-c指定參數(shù)及賦值。gs_gucset-Nall-Iall-c"audit_enabled=on"配置具體的審計(jì)項(xiàng)。配置具體的審計(jì)薦時(shí)要注意以下幾點(diǎn)：只有開(kāi)啟審計(jì)功能，用戶的操作才會(huì)被記錄到審計(jì)文件中。各審計(jì)項(xiàng)的默認(rèn)參數(shù)都符合安全標(biāo)準(zhǔn)，用戶可以根據(jù)需要開(kāi)啟其他審計(jì)功能，但會(huì)對(duì)性能有一定影響。查看審計(jì)結(jié)果查看審計(jì)結(jié)果只有擁有AUDITADMIN屬性的用戶才可以查看審計(jì)記錄。審計(jì)查詢命令是數(shù)據(jù)庫(kù)提供的sql函數(shù)pg_query_audit，其原型為：pg_query_audit(timestamptzstartime,timestamptzendtime,audit_log)參數(shù)startime和endtime分別表示審計(jì)記錄的開(kāi)始時(shí)間和結(jié)束時(shí)間，audit_log表示所查看的審計(jì)日志信息所在的物理文件路徑，當(dāng)不指定audit_log時(shí)，默認(rèn)查看連接當(dāng)前實(shí)例的審計(jì)日志信息。說(shuō)明：startime和endtime的差值代表要查詢的時(shí)間段，其有效值為從startime日期中的00:00:00開(kāi)始到endtime日期中的23:59:59之間的任何值。請(qǐng)正確指定這兩個(gè)參數(shù)，否則將查不到需要的審計(jì)信息。查看審計(jì)結(jié)果查看審計(jì)結(jié)果操作步驟以操作系統(tǒng)用戶omm登錄數(shù)據(jù)庫(kù)主節(jié)點(diǎn)。使用如下命令連接數(shù)據(jù)庫(kù)。gsql-dpostgres-p15600postgres為需要連接的數(shù)據(jù)庫(kù)名稱，15600為數(shù)據(jù)庫(kù)主節(jié)點(diǎn)的端口號(hào)。查詢審計(jì)記錄。select*frompg_query_audit('2024-08-0212:08:00','2024-08-0212:10:00');維護(hù)審計(jì)日志背景信息?為了有效維護(hù)數(shù)據(jù)庫(kù)審計(jì)日志，?需要對(duì)審計(jì)日志相關(guān)的配置參數(shù)進(jìn)行操作，?以確保審計(jì)需求得到滿足，由于審計(jì)日志會(huì)占用較多硬盤(pán)空間，DBA可以手動(dòng)將已經(jīng)失效的審計(jì)日志清除。用戶維護(hù)操作審計(jì)日志配置參數(shù)的前提條件是必須擁有審計(jì)權(quán)限。與審計(jì)日志相關(guān)的配置參數(shù)及其含義配置項(xiàng)含義默認(rèn)值audit_directory審計(jì)文件的存儲(chǔ)目錄。

audit_resource_policy審計(jì)日志的保存策略。on（表示使用空間配置策略）audit_space_limit審計(jì)文件占用的磁盤(pán)空間總量。1GBaudit_file_remain_time審計(jì)日志文件的最小保存時(shí)間。90audit_file_remain_threshold審計(jì)目錄下審計(jì)文件的最大數(shù)量。1048576維護(hù)審計(jì)日志背景信息審計(jì)日志保存方式目前常用的記錄審計(jì)內(nèi)容的方式有兩種：記錄到數(shù)據(jù)庫(kù)的表中、記錄到OS文件中。這兩種方式的優(yōu)缺點(diǎn)比較如下表所示。從數(shù)據(jù)庫(kù)安全角度出發(fā)，openGauss采用記錄到OS文件的方式來(lái)保存審計(jì)結(jié)果，保證了審計(jì)結(jié)果的可靠性。方式優(yōu)點(diǎn)缺點(diǎn)記錄到表中不需要用戶維護(hù)審計(jì)日志。由于表是數(shù)據(jù)庫(kù)的對(duì)象，如果一個(gè)數(shù)據(jù)庫(kù)用戶具有一定的權(quán)限，就能夠訪問(wèn)到審計(jì)表。如果該用戶非法操作審計(jì)表，審計(jì)記錄的準(zhǔn)確性難以得到保證。記錄到OS文件中比較安全，即使一個(gè)帳戶可以訪問(wèn)數(shù)據(jù)庫(kù)，但不一定有訪問(wèn)OS這個(gè)文件的權(quán)限。需要用戶維護(hù)審計(jì)日志。維護(hù)審計(jì)日志操作步驟以操作系統(tǒng)用戶omm登錄數(shù)據(jù)庫(kù)主節(jié)點(diǎn)。使用如下命令連接數(shù)據(jù)庫(kù)。選擇日志維護(hù)方式進(jìn)行維護(hù)。設(shè)置自動(dòng)刪除審計(jì)日志審計(jì)文件占用的磁盤(pán)空間或者審計(jì)文件的個(gè)數(shù)超過(guò)指定的最大值時(shí)，系統(tǒng)將刪除最早的審計(jì)文件，并記錄審計(jì)文件刪除信息到審計(jì)日志中。配置審計(jì)文件占用磁盤(pán)空間的大?。╝udit_space_limit）在linux系統(tǒng)下運(yùn)行g(shù)s_guc命令將audit_space_limit參數(shù)值設(shè)置成默認(rèn)值1024MB。gs_gucreload-Nall-Iall-c"audit_space_limit=1024MB"配置審計(jì)文件個(gè)數(shù)的最大值（audit_file_remain_threshold）在linux系統(tǒng)下運(yùn)行g(shù)s_guc命令將audit_file_remain_threshold參數(shù)值設(shè)置成默認(rèn)值1048576。gs_gucreload-Nall-Iall-c"audit_file_remain_threshold=1048576"維護(hù)審計(jì)日志操作步驟選擇日志維護(hù)方式進(jìn)行維護(hù)。手動(dòng)備份審計(jì)文件系統(tǒng)將會(huì)自動(dòng)刪除較早的審計(jì)文件，因此用戶周期性地對(duì)比較重要的審計(jì)日志進(jìn)行保存。使用show命令獲得審計(jì)文件所在目錄（audit_directory）。showaudit_directory;將審計(jì)目錄整個(gè)拷貝出來(lái)進(jìn)行保存。手動(dòng)刪除審計(jì)日志當(dāng)不再需要某時(shí)段的審計(jì)記錄時(shí)，可以使用審計(jì)接口命令pg_delete_audit進(jìn)行手動(dòng)刪除。執(zhí)行下列命令可以清空指定時(shí)間段的審計(jì)日志。select*frompg_delete_audit('2024-08-0212:08:00','2024-08-0212:10:00');審計(jì)實(shí)例-傳統(tǒng)審計(jì)傳統(tǒng)審計(jì)概念傳統(tǒng)審計(jì)通過(guò)參數(shù)配置各個(gè)審計(jì)項(xiàng)開(kāi)關(guān)，管理員可以通過(guò)參數(shù)配置對(duì)哪些語(yǔ)句或操作記錄審計(jì)日志。傳統(tǒng)審計(jì)采用記錄到OS文件的方式來(lái)保存審計(jì)日志，支持審計(jì)管理員通過(guò)SQL函數(shù)接口審計(jì)日志查詢和刪除。傳統(tǒng)審計(jì)會(huì)產(chǎn)生大量的審計(jì)日志，且不支持定制化的訪問(wèn)對(duì)象和訪問(wèn)來(lái)源配置，不方便數(shù)據(jù)庫(kù)安全管理員對(duì)審計(jì)日志的分析。審計(jì)實(shí)例-傳統(tǒng)審計(jì)配置具體的審計(jì)項(xiàng)audit_system_object代表審計(jì)項(xiàng)開(kāi)關(guān)。該參數(shù)決定是否對(duì)數(shù)據(jù)庫(kù)對(duì)象的CREATE、DROP、ALTER操作進(jìn)行審計(jì)。該參數(shù)的值由29個(gè)二進(jìn)制位的組合求出，這29個(gè)二進(jìn)制位分別代表29類數(shù)據(jù)庫(kù)對(duì)象。如果對(duì)應(yīng)的二進(jìn)制位取值為0，表示不審計(jì)對(duì)應(yīng)的數(shù)據(jù)庫(kù)對(duì)象的CREATE、DROP、ALTER操作；取值為1，表示審計(jì)對(duì)應(yīng)的數(shù)據(jù)庫(kù)對(duì)象的CREATE、DROP、ALTER操作。審計(jì)實(shí)例-傳統(tǒng)審計(jì)審計(jì)實(shí)例-傳統(tǒng)審計(jì)傳統(tǒng)審計(jì)步驟查看audit_system_object參數(shù)，默認(rèn)值為67121159(0100000000000011000000000111)，未開(kāi)啟對(duì)table的Create、Alter、Drop操作審計(jì)。showaudit_system_object;修改student表結(jié)構(gòu)altertablestudentaddweixinvarchar(32);查看最新審計(jì)日志，未發(fā)現(xiàn)表結(jié)構(gòu)修改記錄。select*frompg_query_audit('2025-03-1221:40:00','2025-03-1221:55:00');修改audit_system_object參數(shù)的值設(shè)置為67121167(0100000000000011000000001111)，開(kāi)啟對(duì)table的Create、Alter、Drop操作審計(jì)。gs_gucreload-Nall-Iall-c"audit_system_object=67121167"再次修改student表結(jié)構(gòu)altertablestudentaddphonevarchar(16);再次查看最新審計(jì)日志，發(fā)現(xiàn)表結(jié)構(gòu)修改記錄。select*frompg_query_audit('2025-03-1221:50:00','2025-03-1221:55:00');撤銷審計(jì)，將audit_system_object參數(shù)修改回67121159即可gs_gucreload-Nall-Iall-c"audit_system_object=67121159"審計(jì)實(shí)例-全量審計(jì)全量審計(jì)概念openGauss5.0.0版本在傳統(tǒng)審計(jì)功能基礎(chǔ)上，新增支持用戶級(jí)別全量審計(jì)功能。新增GUC參數(shù)full_audit_users配置全量審計(jì)用戶列表，對(duì)列表中的用戶執(zhí)行的所有可被審計(jì)的操作記錄審計(jì)日志；新增GUC參數(shù)no_audit_client配置無(wú)需記錄審計(jì)的客戶端列表；新增GUC參數(shù)audit_system_function_exec配置系統(tǒng)函數(shù)審計(jì)開(kāi)關(guān)。審計(jì)實(shí)例-全量審計(jì)審計(jì)步驟查看full_audit_users參數(shù)的值，該參數(shù)默認(rèn)為空串，表示不針對(duì)具體用戶操作審計(jì)。showfull_audit_users;修改full_audit_users參數(shù)的值，開(kāi)啟對(duì)用戶jimmy的全量審計(jì)功能。gs_gucreload-Nall-Iall-c"full_audit_users='jimmy'"首先以用戶hr身份給hr.departments添加1條記錄。insertintohr.departmentsvalues(280,'Test',103,1400);然后以用戶jimmy身份給hr.departments添加1條記錄。insertintohr.departmentsvalues(290,'OM',103,1700);查看審計(jì)日志，日志里只記錄了hr用戶對(duì)departments表的INSERT操作而沒(méi)有記錄jimmy用戶對(duì)departments表的INSERT操作。select*frompg_query_audit('2025-03-1222:25:00','2025-03-1222:35:00');撤銷審計(jì)，將full_audit_users參數(shù)置空即可gs_gucreload-Nall-Iall-c"full_audit_users=''"審計(jì)實(shí)例-統(tǒng)一審計(jì)統(tǒng)一審計(jì)概述統(tǒng)一審計(jì)機(jī)制是一種通過(guò)定制化制定審計(jì)策略而實(shí)現(xiàn)高效安全審計(jì)管理的一種技術(shù)。當(dāng)管理員定義審計(jì)對(duì)象和審計(jì)行為后，用戶執(zhí)行的任務(wù)如果關(guān)聯(lián)到對(duì)應(yīng)的審計(jì)策略，則生成對(duì)應(yīng)的審計(jì)行為，并記錄審計(jì)日志。定制化審計(jì)策略可涵蓋常見(jiàn)的用戶管理活動(dòng)，DDL和DML行為，滿足日常審計(jì)訴求。統(tǒng)一審計(jì)策略支持綁定資源標(biāo)簽、配置數(shù)據(jù)來(lái)源輸出審計(jì)日志，可以提升安全管理員對(duì)數(shù)據(jù)庫(kù)監(jiān)控的效率。審計(jì)實(shí)例-統(tǒng)一審計(jì)統(tǒng)一審計(jì)步驟查看enable_security_policy參數(shù)在gsql工具中執(zhí)行下列語(yǔ)句查看enable_security_policy參數(shù)的值，該參數(shù)默認(rèn)為off。showenable_security_policy;修改enable_security_policy參數(shù)的值執(zhí)行“\q”命令退出gsql，在linux系統(tǒng)下運(yùn)行g(shù)s_guc命令將enable_security_policy參數(shù)的值設(shè)置on，開(kāi)啟對(duì)統(tǒng)一審計(jì)功能。gs_gucreload-Nall-Iall-c"enable_security_policy=on"操作系統(tǒng)root用戶進(jìn)行rsyslog配置統(tǒng)一審計(jì)策略的審計(jì)日志單獨(dú)記錄，暫不提供可視化查詢接口，整個(gè)日志依賴于操作系統(tǒng)自帶rsyslog服務(wù)，通過(guò)配置完成日志歸檔。在操作系統(tǒng)后臺(tái)服務(wù)配置文件/etc/rsyslog.conf中添加下面1行內(nèi)容，將統(tǒng)一審計(jì)日志的內(nèi)容寫(xiě)入/var/log/localmessages文件中。local0.*/var/log/localmessages以root身份執(zhí)行下列命令重啟rsyslog服務(wù)使配置生效。systemctlrestartrsyslog審計(jì)實(shí)例-統(tǒng)一審計(jì)統(tǒng)一審計(jì)步驟新建資源標(biāo)簽統(tǒng)一審計(jì)策略需要由具備POLADMIN或SYSADMIN屬性的用戶或初始用戶創(chuàng)建，普通用戶無(wú)訪問(wèn)安全策略系統(tǒng)表和系統(tǒng)視圖的權(quán)限。安全策略管理員是指具有POLADMIN屬性的帳戶，具有創(chuàng)建資源標(biāo)簽、脫敏策略和統(tǒng)一審計(jì)策略的權(quán)限。系統(tǒng)管理員是指具有SYSADMIN屬性的帳戶，默認(rèn)安裝情況下具有與對(duì)象所有者相同的權(quán)限。安全策略管理員登錄數(shù)據(jù)庫(kù)，配置資源標(biāo)簽。統(tǒng)一審