無(wú)論是用戶本人回顧自己的歷史操作記錄，還是管理員監(jiān)督用戶的高風(fēng)險(xiǎn)行為，大家都希望在使用審計(jì)功能的時(shí)候既能萬(wàn)無(wú)一失地保存所需地記錄，又能實(shí)現(xiàn)高效檢索查詢。精準(zhǔn)配置審計(jì)開關(guān)是實(shí)現(xiàn)這一目標(biāo)必不可少的步驟，雖然開關(guān)種類繁多，但我們可得仔細(xì)研究配置。在實(shí)際生產(chǎn)中，可能會(huì)存在某些用戶的權(quán)限和風(fēng)險(xiǎn)和其他用戶不一樣，針對(duì)這些用戶的審計(jì)要求相較于其他用戶也要更為嚴(yán)格。如果為了這類用戶而打開所有的審計(jì)開關(guān)，雖然保證了完整性，但是其他低風(fēng)險(xiǎn)用戶的日志又被記錄了下來(lái)，增加了審計(jì)線程的負(fù)擔(dān)。為了更好的滿足客戶訴求，我們需要在一個(gè)全新的維度——用戶維度增加審計(jì)開關(guān)。

本期就為大家?guī)?lái)關(guān)于openGauss 5.0.0版本新增的審計(jì)模塊GUC參數(shù)——全量審計(jì)開關(guān) full_audit_users的介紹與操作分享，支持用戶級(jí)別審計(jì)，用于解決針對(duì)數(shù)據(jù)庫(kù)中的高風(fēng)險(xiǎn)用戶進(jìn)行針對(duì)性的全量審計(jì)的問(wèn)題。

用戶級(jí)全量審計(jì)開關(guān) full_audit_users介紹

原本的審計(jì)開關(guān)是以SQL語(yǔ)法為維度，分為DDL，DML，DCL三個(gè)大類，進(jìn)一步細(xì)分操作對(duì)象與指令設(shè)置對(duì)應(yīng)的開關(guān)。新增的參數(shù)full_audit_users彌補(bǔ)了其在用戶維度的缺失，支持針對(duì)個(gè)別高風(fēng)險(xiǎn)用戶進(jìn)行全量審計(jì)的同時(shí)不影響其他用戶的審計(jì)開關(guān)設(shè)置。full_audit_users屬于SIGHUP類型參數(shù)，取值范圍是字符串，默認(rèn)為空，多個(gè)用戶名需使用逗號(hào)分隔。用于配置全量審計(jì)用戶列表，列表中的用戶的所有類別的審計(jì)開關(guān)都會(huì)被打開，其執(zhí)行的所有可被審計(jì)的操作都會(huì)記錄審計(jì)日志。

例如，通過(guò)gs_guc工具設(shè)置full_audit_users全量審計(jì)用戶為u_audit1和zhoutl。

登錄數(shù)據(jù)庫(kù)后，查詢full_audit_users參數(shù)設(shè)置結(jié)果如下：

參數(shù)設(shè)置生效后，u_audit1和zhoutl用戶執(zhí)行的所有可被審計(jì)的操作都會(huì)記錄審計(jì)日志。

總結(jié)

通過(guò)以上對(duì)審計(jì)模塊參數(shù)full_audit_users 的介紹，我們可以依據(jù)實(shí)際使用場(chǎng)景，針對(duì)性地將某些高風(fēng)險(xiǎn)用戶設(shè)置為全量審計(jì)用戶，更精準(zhǔn)地記錄高風(fēng)險(xiǎn)用戶操作，同時(shí)減輕審計(jì)線程的負(fù)擔(dān)，提升審計(jì)查詢效率，真正發(fā)揮審計(jì)模塊記錄高危操作的功能。后續(xù)我們也會(huì)更細(xì)粒度地分析審計(jì)的不同維度，匹配用戶的差異化需求，全面提升openGauss安全審計(jì)功能的核心競(jìng)爭(zhēng)力。