SQL审计

开启SQL审计功能会影响数据库性能。

新建集群后,用户可以通过开启SQL审计添加审计配置的方式记录不同审计规则的数据库操作日志。日志为按天记录,定期删除,同时提供日志下载、手动删除、条件检索等功能。

开启/关闭审计

  • 当有已添加的审计配置时,会导致关闭SQL审计操作失败,页面会提示“已添加审计,无法关闭;如若关闭,请先移除审计”,请先将添加的审计配置手动删除后再关闭SQL审计。

  • 当用户权限不足或SQL语法错误时,将不记录审计日志,若想获取相关日志可在日志管理页面下载集群日志后查看postgresql-Wed.log文件。

集群创建后,SQL审计功能默认为关闭,当用户需要记录数据库详细操作信息时,可以开启SQL审计,并在SQL审计页面根据需求添加不同的审计规则配置。

  1. 在云服务管理页面的左侧导航树中选择[集群管理],进入集群管理页面。

  2. 在集群管理页面,选择[集群列表]页签,单击集群名称/ID可跳转至集群详情页面。

  3. 在集群详情页面选择[SQL审计]页签,单击<SQL审计开关>按钮,弹出开启/关闭SQL审计窗口。

  4. 单击弹窗中的<确定>按钮,完成开启/关闭SQL审计操作。

添加审计对象

  • 审计规则设置存在优先级,角色设置 > 数据库设置 > 全局设置,即针对某个数据库,若同时存在全局设置与数据库设置,则数据库设置生效;针对某个角色,若同时存在全局设置与角色设置,则角色设置生效;针对角色设置与数据库设置重叠的SQL,角色设置生效。表、列设置和全局、数据库、角色设置不冲突,当同时对表、列设置审计配置时,执行sql只要在表、列审计覆盖范围内即可生效,二者不冲突。根据需求选择添加审计对象的层级。

  • 在SQL审计开启状态下,可执行添加审计对象操作。

审计所有对象

审计所有对象即全局设置,表示对所有操作数据库的对象进行审计。

  1. 在云服务管理页面的左侧导航树中选择[集群管理],进入集群管理页面。

  2. 在集群管理页面,选择[集群列表]页签,单击集群名称/ID可跳转至集群详情页面。

  3. 在集群详情页面选择[SQL审计]页签,单击<添加审计对象>按钮,弹出添加审计对象窗口。

  4. 选择“审计所有对象”,勾选审计语句类别,可单选或多选语句类别。设置成功后,会对执行该类别语句的全部对象进行审计。

  5. 单击<确定>按钮,即可完成添加,可在审计配置列表查看相关内容。

自定义审计数据库

自定义审计数据库,即只对所选数据库对象设置的审计语句类别生效。

  1. 在云服务管理页面的左侧导航树中选择[集群管理],进入集群管理页面。

  2. 在集群管理页面,选择[集群列表]页签,单击集群名称/ID可跳转至集群详情页面。

  3. 在集群详情页面选择[SQL审计]页签,单击<添加审计对象>按钮,弹出添加审计对象窗口。

  4. 选择“自定义数据库”,在数据库下拉框中选择一个数据库作为审计对象。可选数据库需提前在[集群详情/数据库]页签下进行创建。

  5. 勾选审计语句类别,可单选或多选语句类别。设置成功后,所选数据库执行该类语句的进行审计。

  6. 单击右侧<添加>按钮,可将审计规则添加到右侧列表中。

  7. 单击<确定>按钮,即可完成添加,可在审计配置列表查看相关内容。若想对不同数据库设置不同的审计规则,可在多次添加后,单击<确定>按钮进行批量添加。

自定义审计角色

自定义审计角色,即只对所选角色设置的审计语句类别生效。

  1. 在云服务管理页面的左侧导航树中选择[集群管理],进入集群管理页面。

  2. 在集群管理页面,选择[集群列表]页签,单击集群名称/ID可跳转至集群详情页面。

  3. 在集群详情页面选择[SQL审计]页签,单击<添加审计对象>按钮,弹出添加审计对象窗口。

  4. 选择“自定义审计角色”,在用户下拉框中选择一个用户作为审计对象。可选用户需提前在[集群详情/用户]页签下进行创建。

  5. 勾选审计语句类别,可单选或多选语句类别。设置成功后,会对执行所选类别语句的自定义用户进行审计。

  6. 单击右侧<添加>按钮,可将审计规则添加到右侧列表中。

  7. 单击<确定>按钮,即可完成添加,可在审计配置列表查看相关内容。若想对不同用户设置不同的审计规则,可在多次添加后,单击<确定>按钮进行批量添加。

自定义审计表

自定义审计表,即只对所选表设置的审计语句类别生效。

  1. 在云服务管理页面的左侧导航树中选择[集群管理],进入集群管理页面。

  2. 在集群管理页面,选择[集群列表]页签,单击集群名称/ID可跳转至集群详情页面。

  3. 在集群详情页面选择[SQL审计]页签,单击<添加审计对象>按钮,弹出添加审计对象窗口。

  4. 选择“自定义审计表”,在下拉框中选择数据库、模式、表。

  5. 勾选审计语句类别,当对自定义表执行了该类语句则会生成审计日志。

  6. 单击右侧<添加>按钮,可将审计规则添加到右侧列表中。

  7. 单击<确定>按钮,即可完成添加,可在审计配置列表查看相关内容。若想对不同用户设置不同的审计规则,可在多次添加后,单击<确定>按钮进行批量添加。

自定义审计列

自定义审计列:只对选择列所设置的审计语句类别生效。

  1. 在云服务管理页面的左侧导航树中选择[集群管理],进入集群管理页面。

  2. 在集群管理页面,选择[集群列表]页签,单击集群名称/ID可跳转至集群详情页面。

  3. 在集群详情页面选择[SQL审计]页签,单击<添加审计对象>按钮,弹出添加审计对象窗口。

  4. 选择“自定义审计列”,在下拉框中选择数据库、模式、表、列。

  5. 勾选审计语句类别,当对自定义表执行了该类语句则会生成审计日志。

  6. 单击右侧<添加>按钮,可将审计规则添加到右侧列表中。

  7. 单击<确定>按钮,即可完成添加,可在审计配置列表查看相关内容。若想对不同用户设置不同的审计规则,可在多次添加后,单击<确定>按钮进行批量添加。

  8. 单个审计规则设置可多次选择,通过单击<添加>按钮后,单击<确定>按钮统一批量添加,也可以在点击<添加>按钮后,点击<删除>按钮对所选操作进行删除操作。

删除审计配置

若某个表已被添加为审计对象且该表的某列也已被添加为审计对象,则删除该列的审计配置时,删除操作会失败。

如需取消某审计规则,可执行删除审计配置操作。在SQL审计开启状态下,可查看已添加的审计对象列表,可以执行删除审计配置的操作。

  1. 在云服务管理页面的左侧导航树中选择[集群管理],进入集群管理页面。

  2. 在集群管理页面,选择[集群列表]页签,单击集群名称/ID可跳转至集群详情页面。

  3. 在集群详情页面选择[SQL审计]页签,单击审计配置列表对应<删除>按钮,弹出删除审计配置弹框,

  4. 在弹窗中单击<确定>按钮,完成操作。

审计日志保留天数

审计日志保存时间默认7天,可设置范围为1-60天。此设置为定时任务,统一于次日凌晨执行,当天日志计算在保留天数之内。

  1. 在云服务管理页面的左侧导航树中选择[集群管理],进入集群管理页面。

  2. 在集群管理页面,选择[集群列表]页签,单击集群名称/ID可跳转至集群详情页面。

  3. 在集群详情页面选择[SQL审计]页签,在SQL审计开启状态下,根据需求对审计日志保留天数进行设置。

  4. 设置完成后,单击<保存>按钮即可完成操作。

下载审计日志

  • 因浏览器版本问题,下载审计日志时,部分用户可自动下载完成;部分用户需复制访问此链接下载,访问链接会在页面弹框内展示。

  • 多条审计日志下载为压缩包格式。

  1. 在云服务管理页面的左侧导航树中选择[集群管理],进入集群管理页面。

  2. 在集群管理页面,选择[集群列表]页签,单击集群名称/ID可跳转至集群详情页面。

  3. 在集群详情页面选择[SQL审计]页签,在SQL审计开启状态下,查看审计日志列表,可以执行下载审计配置的操作。

    • 下载单条审计日志:单击某条日志文件操作列的<下载>按钮,即可完成操作。

    • 批量下载审计日志:选中多条审计日志前面的选框,单击列表上方<下载>按钮,即可完成操作。

删除审计日志

如对审计日志保留天数有特殊需求,可执行手动删除审计日志操作。

  1. 在云服务管理页面的左侧导航树中选择[集群管理],进入集群管理页面。

  2. 在集群管理页面,选择[集群列表]页签,单击集群名称/ID可跳转至集群详情页面。

  3. 在集群详情页面选择[SQL审计]页签,在SQL审计开启状态下,查看审计日志列表,可以执行删除审计配置的操作。

    • 删除单条审计日志:单击某条日志文件操作列的<删除>按钮,弹出确认删除弹框,单击<确定>按钮,即可完成操作。

    • 批量删除审计日志:选中多条审计日志前面的选框,单击列表上方<删除>按钮,弹出确认删除弹框,单击<确定>按钮,即可完成操作。