TiDB Database Auditing User Guide (new)
328.42 KB
23 页
0 评论
语言 | 格式 | 评分 |
---|---|---|
英语 | .pdf | 3 |
摘要 | ||
文档详细介绍了TiDB Enterprise Edition的数据库审计功能,包括如何启用和禁用审计、配置审计对象、设置日志格式和路径、管理审计日志的自动轮转和保留策略,以及使用动态权限管理审计配置。文档还提供了从旧的审计插件迁移到新数据库审计功能的指导。 | ||
AI总结 | ||
### TiDB 数据库审计用户指南总结
#### 1. 功能概述
- **数据库审计**是 TiDB 企业版的重要功能,提供强大的监控和审计工具。
- 审计功能可以记录查询语句、事务操作和用户登录事件,并将信息存储在审计日志中以供后续查询和分析。
- 数据库审计帮助企业管理者追踪数据库操作的来源和影响,确保数据安全和合规,同时满足监管要求。
#### 2. 与审计插件的区别
- **启用/禁用方式**:
- 数据库审计:`set global tidb_audit_enabled = 1;` 或 `0;`
- 审计插件:通过 `admin plugins enable audit;` 或 `disable audit;`
- **审计事件数量**:
- 数据库审计:一个 SQL 语句可能记录一个或多个事件。
- 审计插件:仅记录一个事件。
#### 3. 审计事件分类
- **主要事件类**:
- `QUERY_DML`:记录所有 DML 操作(如 SELECT、INSERT、UPDATE、DELETE)。
- `QUERY_DDL`:记录所有 DDL 操作(如 CREATE、ALTER、DROP)。
- `AUDIT_SET_SYS_VAR`:记录与审计相关的系统变量设置操作。
- `AUDIT_ENABLE` 和 `AUDIT_DISABLE`:分别记录启用和禁用审计的操作。
#### 4. 审计日志记录信息
- **通用信息**:
- `ID`:唯一标识符。
- `EVENT`:事件类型,多个事件类型用逗号分隔。
- `USER`:用户名。
- `ROLES`:操作时用户的角色。
- **审计操作信息**:
- `AUDIT_OP_TARGET`:与审计相关的对象(如系统变量、函数)。
- `AUDIT_OP_ARGS`:与审计相关的参数(如设置系统变量的值)。
#### 5. 审计过滤规则
- **过滤器**:
- 使用 `audit_log_create_filter` 创建过滤器,定义需要记录的事件类型和目标数据库。
- 示例:审计所有失败的 DDL 语句、失败的连接和对 `test` 数据库的查询。
- `filterSpec`:通过 JSON 格式定义过滤条件,支持通配符。
- **过滤器规则**:
- 使用 `audit_log_create_rule` 将过滤器绑定到用户。
- 用户名格式:`username@hostname`,支持通配符 `%` 和 `_`。
- 注意:`AUDIT` 类事件不能被过滤器排除。
#### 6. 审计日志管理
- **日志文件**:
- 支持文本和 JSON 格式的日志文件。
- 配置日志路径和格式:`tidb_audit_log` 和 `tidb_audit_log_format`。
- **日志旋转**:
- 支持手动旋转或基于文件大小(`tidb_audit_log_max_size`)和时间(`tidb_audit_log_max_lifetime`)自动旋转。
- 示例:`tidb_audit_log_max_size` 最大值为 102400 MB(100 GB),默认为 100 MB。
- **日志保留**:
- 手动清理:使用 `tiup cluster clean |
P1
P2
P3
P4
P5
P6
P7
P8
P9
P10
P11
P12
下载文档到本地,方便使用
- 可预览页数已用完,剩余
11 页请下载阅读 -
文档评分