案例说明:

对于KingbaseES V8R3数据库,默认用户无权限删除审计记录,只有对审计记录做了转储以后会自动清理审计记录。

适用版本:

KingbaseES V8R3

本案例数据库版本:

SECURITY=> select version();

                                                         VERSION

-------------------------------------------------------------------------------------------------------------------------

 Kingbase V008R003C002B0290 on x86_64-unknown-linux-gnu, compiled by gcc (GCC) 4.1.2 20080704 (Red Hat 4.1.2-46), 64-bit

(1 row)

1、数据库配置审计参数

[kingbase@node101 data]$ cat kingbase.conf |grep audit

shared_preload_libraries = 'passwordcheck,sysaudit'             # (change requires restart)

sysaudit.enable = on

2、配置和启用审计

# 查看审计参数

[kingbase@node101 bin]$ ./ksql -U SYSSAO -W 12345678ab TEST

ksql (V008R003C002B0290)

Type "help" for help.

TEST=> \c SECURITY

You are now connected to database "SECURITY" as user "SYSSAO".

SECURITY=> show sysaudit.enable;

 sysaudit.enable

-----------------

 on

(1 row)

# 配置审计规则:

SECURITY=> SELECT sysaudit.set_audit_stmt('select table', 'system', null, null);

 SET_AUDIT_STMT

----------------

(1 row)

# 查看审计规则

SECURITY=> select * from sysaudit.all_audit_rules;

 AUDIT_ID | AUDIT_TARGET |  AUDIT_TYPE  | AUDIT_USERS | AUDIT_SCHEMA | AUDIT_OBJNAME | AUDIT_OBJOID | CREATOR_NAME

----------+--------------+--------------+-------------+--------------+---------------+--------------+--------------

    16530 | SQL          | select table | SYSTEM      |              |               |              | SYSSAO

(1 row)

3、查看审计记录(SYSSSO用户)

[kingbase@node101 bin]$ ./ksql -U SYSSSO -W 12345678ab TEST

ksql (V008R003C002B0290)

Type "help" for help.

TEST=> \c SECURITY

You are now connected to database "SECURITY" as user "SYSSSO".

SECURITY=> select * from sysaudit_record_sso;

  SESSION_ID   | PROC_ID | VXID  | XID | USER_ID | USERNAME | REMOTE_ADDR | DB_ID | DB_NAME  | RULE_ID | RULE_TYPE | OPR_TYPE | OBJ_TYPE | SCHM_ID | SCHM_NAME | OBJ_ID | OBJ_NAME |                SQLTEXT                 | PARAMS | ERRCODE |                  ERRMSG                   |           AUDIT_TS            | RESULT  | RECORD_TYPE | AUD_CLIENT | SERVER_TYPE

---------------+---------+-------+-----+---------+----------+-------------+-------+----------+---------+-----------+----------+-----

 62b585a3.29c9 |   10697 | 5/457 |   0 |    9202 | SYSSAO   | [local]     |     0 | TEST     |         | EVENT     | LOGIN    |     |         |           |        |          |                                        |        |         | connection authorized                   | 2022-06-24 17:36:35.256000+08 | success |         600 | ksql       | M

 62b585ab.29e4 |   10724 | 4/146 |   0 |    9202 | SYSSAO   | [local]     |     0 | SECURITY |         | EVENT     | LOGIN    |     |         |           |        |          |                                        |        |         | connection authorized                   | 2022-06-24 17:36:43.439000+08 | success |         600 | ksql       | M

 62b585a3.29c9 |   10697 | 5/0   |   0 |    9202 | SYSSAO   | [local]     | 14928 | TEST     |         | EVENT     | LOGOFF   |     |         |           |        |          |                                        |        |         |                   | 2022-06-24 17:36:43.440000+08 | success |         600 | ksql       | M

 62b585ab.29e4 |   10724 | 4/151 |   0 |    9202 | SYSSAO   | [local]     | 15371 | SECURITY |         | EVENT     | SEMANTIC |     |         |           |        |          | delete from  sysaudit.all_audit_rules; |        | 55000   | cannot delete from view "ALL_AUDIT_RULES" | 2022-06-24 17:40:01.111000+08 | failure |         600 | ksql       | M

 62b585ab.29e4 |   10724 | 4/0   |   0 |    9202 | SYSSAO   | [local]     | 15371 | SECURITY |         | EVENT     | LOGOFF   |     |         |           |        |          |                                        |        |         |                   | 2022-06-24 17:43:53.438000+08 | success |         600 | ksql       | M

(5 rows)

4、删除审计记录(无权限包括syssao用户)

SECURITY=> delete from sysaudit_record_sso;

ERROR:  permission denied for relation SYSAUDIT_RECORD

5、配置审计转储auditlog_dump_dir(目录需手工创建)

参考:https://help.kingbase.com.cn/stage-api/profile/document/kes/v8r3/html/safety/safety-guide/safety-audit.html#id12 《kingbaseES 官方文档》

[kingbase@node101 bin]$ cat ../data/kingbase.conf|grep audit

shared_preload_libraries = 'passwordcheck,sysaudit'

sysaudit.enable = on

sysaudit.auditlog_dump_dir='/home/kingbase/audit_dump'

6、手工执行审计转储

[kingbase@node101 bin]$ ./ksql -U SYSSAO -W 123456ab TEST

ksql (V008R003C002B0290)

Type "help" for help.

TEST=> show sysaudit.auditlog_dump_dir ;

 sysaudit.auditlog_dump_dir

----------------------------

 /home/kingbase/audit_dump

(1 row)

TEST=> \c SECURITY;

You are now connected to database "SECURITY" as user "SYSSAO".

SECURITY=> SELECT sysaudit.dump_auditlog(0);

 DUMP_AUDITLOG

---------------

(1 row)

SECURITY=> SELECT sysaudit.show_audlog_dump_file();

               SHOW_AUDLOG_DUMP_FILE

----------------------------------------------------

 (AUDIT_DUMP_FILE-2022-06-24_175144,"665564 bytes")

(1 row)

# 查看转储文件:

[kingbase@node101 bin]$ cd ~/audit_dump/

[kingbase@node101 audit_dump]$ ls -lh

total 652K

-rw-r--r-- 1 kingbase kingbase 650K Jun 24 17:51 AUDIT_DUMP_FILE-2022-06-24_175144

7、查看审计记录(原审计记录已被清理)

SECURITY=> select * from sysaudit_record_sso;

  SESSION_ID   | PROC_ID | VXID | XID | USER_ID | USERNAME | REMOTE_ADDR | DB_ID | DB_NAME  | RULE_ID | RULE_TYPE | OPR_TYPE | OBJ_TYPE | SCHM_ID | SCHM_NAME | OBJ_ID | OBJ_NAME | SQLTEXT | PARAMS | ERRCODE | ERRMSG |           AUDIT_TS            | RESULT  | RECORD_TYPE | AUD_CLIENT | SERVER_TYPE

---------------+---------+------+-----+---------+----------+-------------+-------+----------+---------+-----------+----------+------

 62b58921.5255 |   21077 | 6/0  |   0 |    9202 | SYSSAO   | [local]     | 15371 | SECURITY |         | EVENT     | LOGOFF   |    |         |           |        |          |         |        |         |        | 2022-06-24 17:52:44.144000+08 | success |    600 | ksql       | M

(1 row)

SECURITY=> select now();

              NOW

-------------------------------

 2022-06-24 17:53:33.509074+08

(1 row)

kingbaseES V8R3数据安全案例之---审计记录清除案例的更多相关文章

  1. KingbaseES V8R3集群管理和维护案例之---failover切换wal日志变化分析

    ​ 案例说明: 本案例通过对KingbaseES V8R3集群failover切换过程进行观察,分析了主备库切换后wal日志的变化,对应用者了解KingbaseES V8R3(R6) failover ...

  2. KingbaseES V8R3集群运维案例之---主库系统down failover切换过程分析

    ​ 案例说明: KingbaseES V8R3集群failover时两个cluster都会触发,但只有一个cluster会调用脚本去执行真正的切换流程,另一个有对应的打印,但不会调用脚本,只是走相关的 ...

  3. KingbaseES V8R3集群运维案例之---用户自定义表空间管理

    ​案例说明: KingbaseES 数据库支持用户自定义表空间的创建,并建议表空间的文件存储路径配置到数据库的data目录之外.本案例复现了,当用户自定义表空间存储路径配置到data下时,出现的故障问 ...

  4. KingbaseES V8R3集群管理维护案例之---集群迁移单实例架构

    案例说明: 在生产中,需要将KingbaseES V8R3集群转换为单实例架构,可以采用以下方式快速完成集群架构的迁移. 适用版本: KingbaseES V8R3 当前数据库版本: TEST=# s ...

  5. KingbaseES V8R3集群维护案例之---在线添加备库管理节点

    案例说明: 在KingbaseES V8R3主备流复制的集群中 ,一般有两个节点是集群的管理节点,分为master和standby:如对于一主二备的架构,其中有两个节点是管理节点,三个数据节点:管理节 ...

  6. KingbaseES V8R3 备份恢复案例之--单实例环境sys_rman脚本备份案例

    案例说明: sys_rman是KingbaseES数据库的物理备份工具,支持数据库的全备和增量备份,由于sys_rman工具使用需要配置多个参数,对于一般用户使用不是很方便.为方便用户在Kingbas ...

  7. KingbaseES V8R3 由于修改系统时间导致sys_rman备份故障案例

    ​ 案例说明: 此案例,为复现"current time may be rewound"错误.对于数据库环境,在使用前必须保证系统时间的正确性.如果数据库创建后,再将系统时间修改为 ...

  8. KingbaseES R3 读写分离集群在线扩容案例

    案例说明: 1. 通过sys_basebackup创建新备库. 2. 将备库加入到Cluster nodes管理,可以用kingbase_monitor.sh一键启停. 3. 主备复制切换测试. 此次 ...

  9. KingbaseES R3 集群主库归档失败案例

    案例说明: 本案例用于KingbaseES R3集群归档进程归档日志失败的处理,对于一线的生产环境具有 一定的参考意义. 数据库版本: TEST=# select version(); VERSION ...

随机推荐

  1. kali渗透测试阅读目录

    一.渗透测试介绍 渗透测试介绍及渗透环境配置 二.信息收集 kali 信息收集 三.漏洞扫描 kali 漏洞扫描 四.漏洞利用 kali msf漏洞利用

  2. BluePrism手把手教程2.0 创建流程

    2.0.1 创建流程 2.0.2 设置流程名称 2.0.3 添加流程说明 2.0.4 添加流程成功 2.0.4 打开新建的流程 RPA行业微信交流群,欢迎大家扫码加入一起交流,此群用于RPA行业技术. ...

  3. UiPath鼠标操作元素的介绍和使用

    一.鼠标(mouse)操作的介绍 模拟用户使用鼠标操作的一种行为,例如单击,双击,悬浮.根据作用对象的不同我们可以分为对元素的操作.对文本的操作和对图像的操作 二.鼠标对元素的操作在UiPath中的使 ...

  4. ConcurrentHashMap深入剖析(基于JDK1.7)

    最近有点时间,翻了翻ConcurrentHashMap的源码学习了一下,对我自己认为比较重要的一些方法进行了学习,添加了一些必要的注释,拿出来与园子的小伙伴分享一下,有说的不对的地方,还请各位批评指正 ...

  5. Markdown第一次学习

    # # Markdown学习 一级标题: #空格+标题名称+回车得到一级标题 ## 二级标题 一级标题方法中变成两个##号 ### 三级标题 变成三个###号,以此类推,最多到六级标题 ## 字体 h ...

  6. Linux,Centos系统下配置java Jdk(附下载地址)

    一.下载jdk 官网下载地址:https://www.oracle.com/java/technologies/javase/javase-jdk8-downloads.html 需要登录Oracle ...

  7. CF1042E Vasya and Magic Matrix 题解

    题目链接 思路分析 看到题目中 \(n,m \leq 1000\) ,故直接考虑 \(O(n^2)\) 级别做法. 我们先把所有的点按照 \(val\) 值从小到大排序,这样的话二维问题变成序列问题. ...

  8. 深度学习基础-基于Numpy的多层前馈神经网络(FFN)的构建和反向传播训练

    本文是深度学习入门: 基于Python的实现.神经网络与深度学习(NNDL)以及花书的读书笔记.本文将以多分类任务为例,介绍多层的前馈神经网络(Feed Forward Networks,FFN)加上 ...

  9. MySQL查询为什么没走索引?这篇文章带你全面解析

    工作中,经常遇到这样的问题,我明明在MySQL表上面加了索引,为什么执行SQL查询的时候却没有用到索引? 同一条SQL有时候查询用到了索引,有时候却没用到索引,这是咋回事? 原因可能是索引失效了,失效 ...

  10. Effective Java 3 读后感

    Effective Java 3 读后感 最近学习了一下Effectvie Java,这是一本非常适合有一定经验的Java后端人员阅读的书.书中总结许多编码经验对开发很有帮助,比如其中总结的对于流和L ...