检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
审计 审计开关 父主题: GaussDB(DWS)数据库GUC参数
审计开关 audit_enabled 参数说明:控制审计进程的开启和关闭。审计进程开启后,将从管道读取后台进程写入的审计信息,并写入审计文件。 参数类型:SIGHUP 取值范围:布尔型 on表示启动审计功能。 off表示关闭审计功能。
审计日志 查询审计日志记录 父主题: API说明
CTS是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后,CTS可记录DWS的管理事件和数据事件用于审计。
查询审计日志记录 功能介绍 该接口用于查询审计日志记录。 调用方法 请参见如何调用API。
在“审计配置”区域中,根据需要设置以下操作的审计开关: 审计日志保留策略默认为“空间优先”,表示当单个节点的审计日志超过1G后,将自动淘汰审计日志。该功能避免因审计日志占用磁盘空间高导致节点故障或性能低。 图1 审计项 各审计项的详细信息如表1所示。
查询参数修改审计记录 功能介绍 该接口用于查询参数修改审计记录。 调用方法 请参见如何调用API。
审计 审计开关 操作审计 父主题: GaussDB(DWS)数据库GUC参数
审计开关 audit_enabled 参数说明:控制审计进程的开启和关闭。审计进程开启后,将从管道读取后台进程写入的审计信息,并写入审计文件。 参数类型:SIGHUP 取值范围:布尔型 on表示启动审计功能。 off表示关闭审计功能。
父主题: 审计
关于开启和查看数据库审计日志,请参考查看GaussDB(DWS)数据库审计日志。
GaussDB(DWS)的审计日志默认存储于数据库中,用户可以将审计日志转储到OBS中,便于负责监控数据库中活动的用户查看这些日志信息,目前支持开启审计日志转储和内核审计日志转储,两者功能隔离,可以分别开启或关闭。内核审计日志转储可直接将数据库老化的本地审计日志转储到OBS。
您也可以自行创建数据事件追踪器,详细内容请参见《云审计服务用户指南》中的创建追踪器。 关闭审计日志 如果用户想关闭审计日志,需要在云审计服务中停用追踪器。 登录管理控制台,选择“服务列表 > 管理与监管> 云审计服务”,进入云审计服务信息页面。 通过停用追踪器,关闭审计日志。
notify 表示对通知操作进行审计。 load 表示对加载操作进行审计。 表3 audit_type审计类型项 审计类型 描述 audit_open/audit_close 表示审计类型为打开和关闭审计日志操作。
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。
表3 audit_type审计类型项 审计类型 描述 audit_open/audit_close 表示审计类型为打开和关闭审计日志操作。 user_login/user_logout 表示审计类型为用户登录/退出成功的操作和用户。
账号被锁的原因可以通过查看审计日志进行定位,详见重置密码后再次登录仍提示用户被锁。 管理员用户(默认为dbadmin)解锁方法 您可以登录GaussDB(DWS) 管理控制台重置管理员密码,重置密码后账号即可自动解锁。
在实际业务管理中,为了避免系统管理员拥有过度集中的权利带来高风险,可以设置三权分立,将系统管理员的权限分立给安全管理员和审计管理员。 三权分立后,系统管理员将不再具有CREATEROLE属性(安全管理员)和AUDITADMIN属性(审计管理员)能力。
当前支持的日志类型为:CN节点日志、DN节点日志、操作系统messages日志、审计日志、cms日志、gtm日志、roach客户端日志、roach服务端日志、升级日志和扩容日志。 集群日志管理仅8.1.1.300及以上版本支持。
在实际业务管理中,为了避免系统管理员拥有过度集中的权利带来高风险,可以设置三权分立,将系统管理员的权限分立给安全管理员和审计管理员。 三权分立后,系统管理员将不再具有CREATEROLE属性(安全管理员)和AUDITADMIN属性(审计管理员)能力。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
