TiDB Database Auditing User Guide (new)

### TiDB 数据库审计用户指南总结 #### 1. 功能概述 - **数据库审计**是 TiDB 企业版的重要功能，提供强大的监控和审计工具。 - 审计功能可以记录查询语句、事务操作和用户登录事件，并将信息存储在审计日志中以供后续查询和分析。 - 数据库审计帮助企业管理者追踪数据库操作的来源和影响，确保数据安全和合规，同时满足监管要求。 #### 2. 与审计插件的区别 - **启用/禁用方式**： - 数据库审计：`set global tidb_audit_enabled = 1;` 或 `0;` - 审计插件：通过 `admin plugins enable audit;` 或 `disable audit;` - **审计事件数量**： - 数据库审计：一个 SQL 语句可能记录一个或多个事件。 - 审计插件：仅记录一个事件。 #### 3. 审计事件分类 - **主要事件类**： - `QUERY_DML`：记录所有 DML 操作（如 SELECT、INSERT、UPDATE、DELETE）。 - `QUERY_DDL`：记录所有 DDL 操作（如 CREATE、ALTER、DROP）。 - `AUDIT_SET_SYS_VAR`：记录与审计相关的系统变量设置操作。 - `AUDIT_ENABLE` 和 `AUDIT_DISABLE`：分别记录启用和禁用审计的操作。 #### 4. 审计日志记录信息 - **通用信息**： - `ID`：唯一标识符。 - `EVENT`：事件类型，多个事件类型用逗号分隔。 - `USER`：用户名。 - `ROLES`：操作时用户的角色。 - **审计操作信息**： - `AUDIT_OP_TARGET`：与审计相关的对象（如系统变量、函数）。 - `AUDIT_OP_ARGS`：与审计相关的参数（如设置系统变量的值）。 #### 5. 审计过滤规则 - **过滤器**： - 使用 `audit_log_create_filter` 创建过滤器，定义需要记录的事件类型和目标数据库。 - 示例：审计所有失败的 DDL 语句、失败的连接和对 `test` 数据库的查询。 - `filterSpec`：通过 JSON 格式定义过滤条件，支持通配符。 - **过滤器规则**： - 使用 `audit_log_create_rule` 将过滤器绑定到用户。 - 用户名格式：`username@hostname`，支持通配符 `%` 和 `_`。 - 注意：`AUDIT` 类事件不能被过滤器排除。 #### 6. 审计日志管理 - **日志文件**： - 支持文本和 JSON 格式的日志文件。 - 配置日志路径和格式：`tidb_audit_log` 和 `tidb_audit_log_format`。 - **日志旋转**： - 支持手动旋转或基于文件大小（`tidb_audit_log_max_size`）和时间（`tidb_audit_log_max_lifetime`）自动旋转。 - 示例：`tidb_audit_log_max_size` 最大值为 102400 MB（100 GB），默认为 100 MB。 - **日志保留**： - 手动清理：使用 `tiup cluster clean --audit-log`。 - 自动清理：通过 `tidb_audit_log_reserved_backups` 和 `tidb_audit_log_reserved_days` 设置保留策略。 #### 7. 权限控制 - **动态权限**： - `AUDIT_ADMIN`：在 SEM 模式关闭时，允许用户进行审计相关设置。 - `RESTRICTED_AUDIT_ADMIN`：在 SEM 模式开启时，允许用户进行审计相关设置。 #### 8. 从审计插件迁移 - TiDB v7.1.0 及以上版本推荐使用新的数据库审计功能。 - 迁移步骤：重新配置规则并验证，最后禁用旧的审计插件：`admin plugins disable audit;`。 #### 9. 总结 - TiDB 数据库审计功能提供了灵活的配置、详细的日志记录和强大的过滤能力，帮助企业实现数据安全和合规管理。