weixin_33958366
weixin_33958366

pg-数据库审计

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

  • 审计的意义
  • 审计的范围
  • 审计操作的要求
  • 审计的工具
    • log中记录操作
      • 设置 log_statement=‘all’
      • 注意事项
      • 限制
    • 表上触发器&&hstore
      • 测试
      • 限制
    • event trigger
      • 介绍
      • 测试:审计数据库的drop命令
      • 限制
    • pg_audit
      • pg_audit测试
      • 限制
    • 总结
  • 学习链接

审计的意义

审计的一个目的就是记录用户在数据库中都做了什么?在出现误操作或者业务数据非常规修改的时候可以有迹可查。

审计的范围

  • 用户的登录情况
  • DDL操作
  • DML操作

审计操作的要求

  • 能够通过参数配置或者权限回收来关闭
  • 对核心表不能产生压力
  • 能够方便的检索审计记录
  • 能够自定义审计粒度和范围

审计的工具

log中记录操作

通过在不同的级别设置 log_statement=‘all’,来将所有的操作都记录在log中,达到审计的目的。

设置 log_statement=‘all’

alter database testdb set log_statement='all';

在数据库执行语句,查看log内容:

user01@testdb:5432 > select now();
              now              
-------------------------------
 2016-08-22 15:59:32.006481+08
(1 row)
2016-08-22 15:59:32.006 CST,"user01","testdb",17245,"[local]",57bab0d8.435d,1,"idle",2016-08-22 15:59:20 CST,2/722,0,LOG,00000,"statement: select now();",,,,,,,,,"psql"
user01@testdb:5432 > insert into test_vac values (1);
INSERT 0 1
2016-08-22 16:00:31.049 CST,"user01","testdb",17245,"[local]",57bab0d8.435d,13,"idle",2016-08-22 15:59:20 CST,2/734,0,LOG,00000,"statement: insert into test_vac values (1);",,,,,,,,,"psql"
user01@testdb:5432 > delete from test_vac where id=1;
DELETE 2
2016-08-22 16:01:07.550 CST,"user01","testdb",17245,"[local]",57bab0d8.435d,14,"idle",2016-08-22 15:59:20 CST,2/735,0,LOG,00000,"statement: delete from test_vac where id=1;",,,,,,,,,"psql"
user01@testdb:5432 > grant select on test to public;
GRANT
2016-08-22 16:01:40.582 CST,"user01","testdb",17245,"[local]",57bab0d8.435d,15,"idle",2016-08-22 15:59:20 CST,2/736,0,LOG,00000,"statement: grant select on test to public;",,,,,,,,,"psql"
user01@testdb:5432 > drop table test_audit;
DROP TABLE
2016-08-22 16:02:23.232 CST,"user01","testdb",17245,"[local]",57bab0d8.435d,18,"idle",2016-08-22 15:59:20 CST,2/741,0,LOG,00000,"statement: drop table test_audit;",,,,,,,,,"psql"

同样,可以在role级别和role on database级别设置log_statement参数:

alter role user01 in database testdb set log_statement='all';
alter role user01 set log_statement='all';

清除配置:

alter database testdb reset log_statement;
alter role user01 set log_statement to default;
alter role user01 in database testdb reset log_statement;

注意事项

  • superuser可以修改log_statement配置项,所以一般审计普通用户。
  • 在审计语句打开之后,log的日志量会比较大,建议log_directory参数最好不要跟数据文件的目录放在一起,且放在一个比较大的目录中,目录的权限需要给启动postgres的写权限。

限制

  • log_statement的审计颗粒比较大,只到了用户和数据库的层面。
  • session连接的是哪个数据库,相关的信息会写在对应数据库的log中,在单节点PG中可行。对于分布式架构来说,日志内容会分散在各个节点上,无法判断某个操作是在哪个节点上执行的。所以,该方法并不适用于PG的分布式架构。

表上触发器&&hstore

测试

利用触发器可以对表中的记录进行跟踪,跟踪信息包括新老记录,记录变更时间,session的连接信息等,
使用hstore类型来存放新老记录的row信息。
创建触发器测试表:

CREATE TABLE test_trigger (id int primary key, info text, crt_time timestamp(0));

创建hstore扩展:

CREATE EXTENSION hstore;

创建记录跟踪信息的记录表:

CREATE TABLE table_change_rec (
id serial8 primary key,
relid oid,
table_schema text,
table_name text,
when_tg text,
level text,
op text,
old_rec hstore,
new_rec hstore,
crt_time timestamp without time zone DEFAULT now(),
username text,
client_addr inet,
client_port int
);

创建触发器函数:

CREATE OR REPLACE FUNCTION dml_trace()
RETURNS trigger
LANGUAGE plpgsql
AS $BODY$
DECLARE
v_new_rec hstore;
v_old_rec hstore;
v_username text := session_user;
v_client_addr inet := inet_client_addr();
v_client_port int := inet_client_port();
BEGIN
case TG_OP
when 'DELETE' then 
  v_old_rec := hstore(OLD.*);
  insert into table_change_rec (relid, table_schema, table_name, when_tg, level, op, old_rec, username, client_addr, client_port)
    values (tg_relid, tg_table_schema, tg_table_name, tg_when, tg_level, tg_op, v_old_rec, v_username, v_client_addr, v_client_port);
when 'INSERT' then 
  v_new_rec := hstore(NEW.*);
  insert into table_change_rec (relid, table_schema, table_name, when_tg, level, op, new_rec, username, client_addr, client_port)
    values (tg_relid, tg_table_schema, tg_table_name, tg_when, tg_level, tg_op, v_new_rec, v_username, v_client_addr, v_client_port);
when 'UPDATE' then 
  v_old_rec := hstore(OLD.*);
  v_new_rec := hstore(NEW.*);
  insert into table_change_rec (relid, table_schema, table_name, when_tg, level, op, old_rec, new_rec, username, client_addr, client_port)
    values (tg_relid, tg_table_schema, tg_table_name, tg_when, tg_level, tg_op, v_old_rec, v_new_rec, v_username, v_client_addr, v_client_port);
else
  return null;
end case;
  RETURN null;
END;
$BODY$ strict;

在表上创建增删改的触发器:

CREATE TRIGGER trigger_test AFTER DELETE or INSERT or UPDATE ON test_trigger FOR EACH ROW EXECUTE PROCEDURE dml_trace();

在表上执行增删改操作:

user01@testdb:5432 > insert into test_trigger values (1,'test',now());
INSERT 0 1
user01@testdb:5432 > update test_trigger set info='test trigger' where id=1;
UPDATE 1
user01@testdb:5432 > delete from test_trigger where id =1;
DELETE 1

查询跟踪记录表的信息:

user01@testdb:5432 > select id,table_schema,table_name,op,(each(old_rec)).* from table_change_rec;
 id | table_schema |  table_name  |   op   |   key    |        value        
----+--------------+--------------+--------+----------+---------------------
  9 | user01       | test_trigger | UPDATE | id       | 1
  9 | user01       | test_trigger | UPDATE | info     | test
  9 | user01       | test_trigger | UPDATE | crt_time | 2016-08-22 17:03:20
 10 | user01       | test_trigger | DELETE | id       | 1
 10 | user01       | test_trigger | DELETE | info     | test trigger
 10 | user01       | test_trigger | DELETE | crt_time | 2016-08-22 17:03:20
(6 rows)

限制

  • 触发器虽然审计粒度比较小,但是性能消耗很大,对于频繁DML的系统并不是很合适。

event trigger

介绍

PG9.3版本引入了事件触发器,根据文档的描述,事件触发器是全局的来捕获DDL操作。

event triggers are global to a particular database and are capable of capturing DDL events.

event trigger函数可以使用C、plpgsql等语言编写,但不能使用SQL语言函数。
创建event trigger 的帮助:

Command:     CREATE EVENT TRIGGER
Description: define a new event trigger
Syntax:
CREATE EVENT TRIGGER name
  ON event
  [ WHEN filter_variable IN (filter_value [, ... ]) [ AND ... ] ]
  EXECUTE PROCEDURE function_name()

触发事件中不包括对共享系统对象的操作,同时对事件自身的DDL不会触发事件触发器。
目前支持三种event:
ddl_command_start:在create,alter,drop,security label,comment,grant,revoke,select into 命令执行前被触发。注意没有truncate命令,truncate可以使用普通触发器来触发。
ddl_command_end:在上述命令执行后,事务提交之前触发
sql_drop:在drop的ddl_command_end触发之前触发。
table_rewrite(9.5新增):在alter table,alter type命令执行前触发。
如果event trigger函数执行失败,DDL事务将回滚。

测试:审计数据库的drop命令

要审计drop命令,需要创建sql_drop事件触发器,记录数据库中drop命令的历史记录。
创建drop命令记录表:

postgres@testdb:5432 # create table tbl_ddl_drop_log (
testdb(#  login_role      text,
testdb(#  db_name         character varying(64),
testdb(#  client_ip       inet,
testdb(#  ddl_type    character varying(32),
testdb(#  schema_name     text,
testdb(#  object_type     text,
testdb(#  object_name     text,
testdb(#  object_identity text,
testdb(#  drop_time       timestamp with time zone
testdb(# );
CREATE TABLE

将tbl_ddl_drop_log的insert权限赋给应用用户user01:

postgres@testdb:5432 # grant insert on tbl_ddl_drop_log to user01;
GRANT

创建sql_drop触发器函数:

postgres@testdb:5432 # CREATE OR REPLACE FUNCTION fun_log_drop_command() 
testdb-# RETURNS event_trigger LANGUAGE plpgsql  AS $$
testdb$# DECLARE
testdb$#     obj record;
testdb$# BEGIN
testdb$#     FOR obj IN (SELECT * FROM pg_event_trigger_dropped_objects() t where t.object_type 
testdb$#         in ('table','sequence','index','function','view'))
testdb$#     LOOP
testdb$#         insert into tbl_ddl_drop_log (
testdb$#            login_role,
testdb$#            db_name,      
testdb$#            client_ip,
testdb$#            ddl_type,
testdb$#            schema_name,    
testdb$#            object_type,   
testdb$#            object_name,   
testdb$#            object_identity,
testdb$#            drop_time)
testdb$#          values (
testdb$#            current_user,
testdb$#            current_database(),
testdb$#            inet_client_addr(),
testdb$#            tg_tag,
testdb$#            obj.schema_name,
testdb$#            obj.object_type,
testdb$#            obj.object_name,
testdb$#            obj.object_identity,
testdb$#            now());                                 
testdb$#     END LOOP;
testdb$# END;         
testdb$# $$;
CREATE FUNCTION

事件触发器函数的返回类型必须为event_trigger,用于事件触发器调用。
函数pg_event_trigger_dropped_objects()返回被删除的数据库对象,只能在sql_drop的事件触发器函数中调用:

postgres@testdb:5432 # select * from pg_event_trigger_dropped_objects();
ERROR:  pg_event_trigger_dropped_objects() can only be called in a sql_drop event trigger function

创建触发器:

postgres@testdb:5432 # CREATE EVENT TRIGGER trg_log_drop_command ON sql_drop  EXECUTE PROCEDURE fun_log_drop_command();
CREATE EVENT TRIGGER

在应用用户下创建测试对象并删除:

postgres@postgres:5432 # \c testdb user01
You are now connected to database "testdb" as user "user01".
user01@testdb:5432 > 
user01@testdb:5432 > 
user01@testdb:5432 > create table test_drop ( id serial primary key);
CREATE TABLE
user01@testdb:5432 > drop table test_drop;
DROP TABLE
user01@testdb:5432 > select * from public.tbl_ddl_drop_log;
ERROR:  permission denied for relation tbl_ddl_drop_log
user01@testdb:5432 > \c testdb postgres
You are now connected to database "testdb" as user "postgres".
postgres@testdb:5432 # select * from public.tbl_ddl_drop_log;
 login_role | db_name | client_ip |  ddl_type  | schema_name | object_type |   object_name    |     object_identity     |           drop_time           
------------+---------+-----------+------------+-------------+-------------+------------------+-------------------------+-------------------------------
 user01     | testdb  |           | DROP TABLE | user01      | table       | test_drop        | user01.test_drop        | 2016-08-23 10:26:04.35931+08
 user01     | testdb  |           | DROP TABLE | user01      | index       | test_drop_pkey   | user01.test_drop_pkey   | 2016-08-23 10:26:04.35931+08
 user01     | testdb  |           | DROP TABLE | user01      | sequence    | test_drop_id_seq | user01.test_drop_id_seq | 2016-08-23 10:26:04.35931+08
(3 rows)

id列上的index 和sequence 都被drop table命令级联删除。
应用用户只有insert 记录drop命令记录表的权限,保证了记录不被应用用户修改。
事件触发器函数执行失败,DDL事务将回滚:

postgres@testdb:5432 # \c testdb user02
You are now connected to database "testdb" as user "user02".
user02@testdb:5432 > create sequence test_drop;
CREATE SEQUENCE
user02@testdb:5432 > drop sequence test_drop;
ERROR:  permission denied for relation tbl_ddl_drop_log
CONTEXT:  SQL statement "insert into tbl_ddl_drop_log (
           login_role,
           db_name,      
           client_ip,
           ddl_type,
           schema_name,    
           object_type,   
           object_name,   
           object_identity,
           drop_time)
         values (
           current_user,
           current_database(),
           inet_client_addr(),
           tg_tag,
           obj.schema_name,
           obj.object_type,
           obj.object_name,
           obj.object_identity,
           now())"
PL/pgSQL function fun_log_drop_command() line 8 at SQL statement
user02@testdb:5432 > 
user02@testdb:5432 > \ds
           List of relations
 Schema |   Name    |   Type   | Owner  
--------+-----------+----------+--------
 user02 | test_drop | sequence | user02
(1 row)

限制

  • 仅能记录DDL操作,且不包括truncate操作。

pg_audit

项目主页:
https://github.com/pgaudit/pgaudit
基于PG9.5版本开发,9.5以下版本使用下面的项目:
https://github.com/2ndQuadrant/pgaudit
通过配置参数来审计不同类别的操作:

Specifies which classes of statements will be logged by session audit logging. Possible values are:
READ: SELECT and COPY when the source is a relation or a query.
WRITE: INSERT, UPDATE, DELETE, TRUNCATE, and COPY when the destination is a relation.
FUNCTION: Function calls and DO blocks.
ROLE: Statements related to roles and privileges: GRANT, REVOKE, CREATE/ALTER/DROP ROLE.
DDL: All DDL that is not included in the ROLE class.
MISC: Miscellaneous commands, e.g. DISCARD, FETCH, CHECKPOINT, VACUUM.

pg_audit测试

优势1:审计嵌套sql
目前参数如下:

shared_preload_libraries = 'pg_audit'
pg_audit.log = 'function, ddl, write'
pg_audit.log_parameter = on
pg_audit.log_relation = on

DDL:

postgres@testdb:5532 # create table test_1(id int);
CREATE TABLE
2016-08-23 16:04:26.690 CST,"postgres","testdb",19468,"[local]",57bbfe24.4c0c,3,"CREATE TABLE",2016-08-23 15:41:24 CST,3/48,2382,LOG,00000,"AUDIT: SESSION,3,1,DDL,CREATE TABLE,,,create table test_1(id int);,",,,,,,,,,"psql"

postgres@testdb:5532 # drop table test_1;
DROP TABLE
2016-08-23 16:06:18.442 CST,"postgres","testdb",19468,"[local]",57bbfe24.4c0c,5,"DROP TABLE",2016-08-23 15:41:24 CST,3/50,2383,LOG,00000,"AUDIT: SESSION,4,1,DDL,DROP TABLE,,,drop table test_1;,",,,,,,,,,"psql"

记录函数以及内部的DDL:

postgres@testdb:5532 # do language plpgsql $$
testdb$# declare
testdb$# begin
testdb$#   for i in 1..100 loop
testdb$#     execute 'create table test_'||i||' (id int)'; 
testdb$#   end loop;
testdb$# end;
testdb$# $$;
DO

2016-08-23 16:05:37.478 CST,"postgres","testdb",19468,"[local]",57bbfe24.4c0c,4,"DO",2016-08-23 15:41:24 CST,3/49,0,ERROR,42P07,"relation ""test_1"" already exists",,,,,"SQL statement ""create table test_1 (id int)""
PL/pgSQL function inline_code_block line 5 at EXECUTE","do language plpgsql $$
declare
begin
  for i in 1..100 loop
    execute 'create table test_'||i||' (id int)'; 
  end loop;
end;
$$;",,,"psql"
2016-08-23 16:07:15.155 CST,"postgres","testdb",19468,"[local]",57bbfe24.4c0c,6,"DO",2016-08-23 15:41:24 CST,3/51,2384,LOG,00000,"AUDIT: SESSION,5,1,DDL,CREATE TABLE,,,create table test_1 (id int),",,,,,,,,,"psql"
2016-08-23 16:07:15.156 CST,"postgres","testdb",19468,"[local]",57bbfe24.4c0c,7,"DO",2016-08-23 15:41:24 CST,3/51,2384,LOG,00000,"AUDIT: SESSION,5,2,DDL,CREATE TABLE,,,create table test_2 (id int),",,,,,,,,,"psql"
2016-08-23 16:07:15.156 CST,"postgres","testdb",19468,"[local]",57bbfe24.4c0c,8,"DO",2016-08-23 15:41:24 CST,3/51,2384,LOG,00000,"AUDIT: SESSION,5,3,DDL,CREATE TABLE,,,create table test_3 (id int),",,,,,,,,,"psql"
.......
2016-08-23 16:07:15.190 CST,"postgres","testdb",19468,"[local]",57bbfe24.4c0c,105,"DO",2016-08-23 15:41:24 CST,3/51,2384,LOG,00000,"AUDIT: SESSION,5,100,DDL,CREATE TABLE,,,create table test_100 (id int),",,,,,,,,,"psql"

优势2:对象审计
可以只在log中记录对某个对象的特定操作。需要一个额外的role,把需要审计的对象权限赋给这个role即可,甚至可以审计relation中字段上的操作。
测试过程:

postgres@testdb:5532 # create role audit nologin;
CREATE ROLE

postgres@testdb:5532 # grant select (password)
testdb-#    on public.account
testdb-#    to audit;
GRANT
postgres@testdb:5532 # select id, name
testdb-#   from account;
 id | name  
----+-------
  1 | user1
(1 row)

postgres@testdb:5532 # select password
testdb-#   from account;
 password 
----------
 HASH1
(1 row)

2016-08-23 16:25:40.714 CST,"postgres","testdb",13622,"[local]",57bc085d.3536,2,"SELECT",2016-08-23 16:25:01 CST,3/68,0,LOG,00000,"AUDIT: OBJECT,1,1,READ,SELECT,TABLE,public.account,""select password
  from account;"",",,,,,,,,,"psql"

可以看到在决定审计password字段上select操作后,select id和name的时候,没有记录log,select password的操作在log中出现。

限制

  • 跟log_statement有同样的输出位置,所以在分布式系统中不适用。

总结

  • 对于分布式架构,审计的内容最好记录在表中,方便检索。
  • 对于单节点PG,审计内容存放在logfile和表中均可以。
  • 需要根据不同的审计要求来选择不同的工具,并且在审计的粒度和数据库的性能之间权衡。

学习链接

  • PostgreSQL 9.5 new feature - pg_audit module
  • PostgreSQL Audit by Database or Role wide parameter
  • Database audit@Wikipedia
  • Quick guide to Auditing a (postgreSQL) Database
  • Auditing Data Modifications in Postgres
  • Audit trigger 91plus
  • Total security in a PostgreSQL database
  • pgaudit@github
  • Event_Triggers
  • AuditLoggingforPostgreSQL

转载于:https://my.oschina.net/yafeishi/blog/742313

你可能感兴趣的:(pg-数据库审计)

  • 达梦数据库系列—4.用户权限管理 奥德彪的蕉 达梦数据库oracle
    目录1用户管理系统口令策略创建用户修改用户密码用户锁定和解锁删除用户密码带有特殊字符的登录处理SYSDBA的密码忘记用户资源限制2权限管理创建角色角色的禁用权限/角色的分配权限/角色的回收权限转授查看权限3模式管理用户与模式的关系创建模式1用户管理DM默认的预定义用户:SYS:系统内置用户,不允许登录。常用的数据字典表信息在该用户下。SYSDBA:系统管理员,拥有几乎所有权限(除数据库审计和强制访
  • 医院数据防泄露保护系统解决方案 努力工作的网安人 等级保护经验分享安全网络其他系统安全
    医院数据防泄露保护系统解决方案目录1.医院需求分析2.解决方案综述2.1.产品部署示意图3.产品优势功能3.1.数据库审计与风险控制系统3.1.1.事前安全风险评估3.1.2.实时统方行为监控3.1.3.双向审计让统方更准确3.1.4.旁路部署对数据库服务器无任何影响3.2.运维审计与风险控制系统3.2.1.运维会话全面审计3.2.2.运维风险控制3.2.3.加密协议实时监控3.2.4.单点登录简
  • 医院数据防泄露保护系统解决方案(参考) 努力工作的网安人 网络安全安全网络安全经验分享
    医院数据防泄露保护系统解决方案目录1.医院需求分析2.解决方案综述3.产品优势功能3.1数据库审计与风险控制系统3.1.1事前安全风险评估3.1.2实时统方行为监控3.1.3双向审计让统方更准确3.1.4旁路部署对数据库服务器无任何影响3.2运维审计与风险控制系统3.2.2运维风险控制3.2.3加密协议实时监控3.2.4单点登录简化管理员工作3.3入网规范管理系统3.3.1部署迅速的ArpAcce
  • linux系统centos7服务器开启mysql数据库审计 芒果芒果丶 数据库mysqlmariadb
    开启审计vim/etc/my.cnf在/etc/my.cnf中添加下述配置[mysqld]general_log=on//on为开启;off为关闭general_log_file=/var/log/generalLog.log//审计信息存储位置log_timestamps=SYSTEM//设置日志文件的输出时间为地方时mysql5.7以下版本不支持log_timestamps=SYSTEM配置修
  • 等保 2.0 三级 拓扑图+设备套餐+详解 ༺ཉི།星陈大海།ཉྀ༻CISSP 安全网络
    一、等保2.0三级信息系统70-80分套餐:11、等保2.0三级信息系统70-80分拓扑图:2、设备清单:含下一代防火墙(含IPS、AV)++综合日志审计系统++堡垒机++数据库审计系统++杀毒软件。其他参考方案:•【接入边界NGFW】【必配】:融合防火墙安全策略、访问控制功能。解决安全区域边界要求,并开启AV模块功能;配置网络接入控制功能(802.1X);配置SSLVPN功能;•【分区边界NGF
  • 数据库审计系统基本原理与部署方式 Zh&&Li 网络安全运维数据库安全运维网络
    数据库审计系统基本原理什么是数据库数据库是一个组织和存储相关数据的集合。它是一个可访问的、结构化的、持久的数据存储解决方案。数据库可用于存储和管理不同类型的数据,例如文本、数字、图像、音频和视频等。数据库提供了一种结构化的方法来组织和存储数据,以便轻松地访问、管理和维护数据。它是一个可用于多个应用程序和用户的共享数据存储库,允许多个用户同时访问和操作数据。数据库使用特定的数据模型来定义数据结构和关
  • 游侠原创:安全审计技术功能概述(2011年版) Mathilda91 数据库操作系统运维
    随着企业规模的越来越庞大,我们的信息系统也越来越繁杂,逐渐从开始的路由、交换、Windows服务器设备,增加了:防火墙、***防御、Linux等,以及各种应用,甚至有些跨地域的集团公司还部署了多台×××、桌面管理等系统,那么,如此繁多的设备如何进行统一的安全审计?更何况还有的企业面临着合规(等保、分保、SOX等)的压力!游侠将安全审计技术分为如下几种:1、主机审计2、网络审计3、数据库审计4、应用
  • 【转】数据库审计 xian_wwq 数据库安全审计
    一、概述数据库审计是指对数据库的操作进行跟踪、记录、分析和报告的过程。通过数据库审计,可以监控数据库的访问和操作,及时发现并应对安全事件。数据库审计可以记录用户登录、查询、修改、删除等操作,以及操作的时间、地点、来源等信息,以便进行安全审计和监控。二、数据库审计的目的是什么1.发现安全问题通过对数据库的操作进行审计和监控,可以及时发现安全问题,包括未经授权的访问、数据泄露、数据篡改等问题。及时发现
  • oracle数据库审计(audit) hanruiding oracleoracle
    oracle数据库审计(audit)audit是否开启audit参数1、audit_file_dest2、audit_sys_operations3、audit_syslog_level4、audit_trail审计级别1、Statement2、Privilege3、Object4、其他选项审计相关视图dba_audit_traildba_stmt_audit_optsall_def_audit_
  • MySQL Binlog Digger 4.19 bournetai mysql8.0审计binlog日志挖掘mysqlsql运维
    MySQLBinlogDigger是一款免费的,且基于图形界面的binlog挖掘分析工具与sql审计工具。当发生误删、误增、误改时,它可以帮助我们从binlog中快速定位到误操作的重做语句(redosql),同时推理出回滚语句(undosql)。此外,它还可以结合[mysqld]的init-connect参数做mysql8.0的数据库审计。一.对dml的挖掘分析(同时支持离线binlog)二.对d
  • 让数据库运维审计安全无死角 尚思卓越 数据库运维
    是谁修改了我的数据,动了我那些数据?什么时候操作的?都有那些资产被修改了?登录和修改得到批准了吗?如何获取到这个权限账号的?针对以上问题,光有日志审计是完全不够的,无法及时定位故障点和追溯。而使用专业的数据库审计产品又缺乏对运维人员的审计,于是数据库运维审计产品成为最佳选择。行为监管与记录数据库运维审计是针对管理员、操作员访问数据库的行为进行监管与记录,包括操作行为所对应的操作对象、操作账户、操作
  • 数据库审计是什么,为什么需要数据库审计 德迅--文琪 数据库
    在当今高度信息化的时代,数据已经成为企业的重要资产,而数据库则是这一资产的核心存储设施。然而,随着网络攻击的日益猖獗,数据库安全问题也变得日益突出。为了确保数据库的安全,数据库审计应运而生,成为了一种重要的安全防护手段。数据库审计是对进出核心数据库的访问流量进行数据报文字段级的解析操作,还原操作细节,并提供实时的记录告警、审计取证追溯以及异常行为分析功能,解决数据库权限划分混乱、账号复用、事故追查
  • 日志审计、数据库审计以及代码审计三者的区别与重要性 德迅--文琪 数据库网络
    在当今的数字化时代,企业的信息安全和数据保护至关重要。为了确保这些安全,企业需要采取一系列的安全措施,其中包括日志审计、数据库审计和代码审计。尽管这三者都是为了增强企业的安全性,但它们各自的目标和重点却有所不同。一、日志审计日志审计是企业信息安全的重要组成部分,它主要关注企业IT系统中产生的各种日志。这些日志包括来自各种设备和系统的信息,如安全设备、网络设备、数据库、服务器、应用系统等。对网络日志
  • 今日实施|解读新国标对数据库审计的能力要求 数据库安全 数据库php开发语言
    数据库审计是数据安全建设不可或缺的技术工具之一,无论是国家级的法律或标准,还是等保以及行业级的安全标准均对使用数据库审计有明确要求。据相关数据统计显示,数据库审计产品的市场需求已占据中国数据库安全市场容量的6成以上。12月1日,GB/T20945-2023《信息安全技术网络安全审计产品技术规范》正式实施。该标准全面替代GB/T20945-2013《信息安全技术信息系统安全审计产品技术要求和测试评价
  • PostgreSQL trigger introduction - 1 Postgresql中国用户会 转载数据库应用开发postgresql数据库
    Postgres2015全国用户大会将于11月20至21日在北京丽亭华苑酒店召开。本次大会嘉宾阵容强大,国内顶级PostgreSQL数据库专家将悉数到场,并特邀欧洲、俄罗斯、日本、美国等国家和地区的数据库方面专家助阵:Postgres-XC项目的发起人铃木市一(SUZUKIKoichi)Postgres-XL的项目发起人MasonSharppgpool的作者石井达夫(TatsuoIshii)PG-
  • 详解开源数据库审计平台Yearning LuckyTHP 开源数据库
    基本概念数据库审计(简称DBAudit)能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。数据库审计是数据库安全技术之一,数据库安全技术主要包括:数据库漏扫数据库加密数据库防火墙数据
  • 开启数据库审计(db,extended级别或os级别),并将审计文件存放到/home/oracle/audit下 the_coco 数据库oracle
    文章目录开启数据库审计(db,extended级别或os级别),并将审计文件存放到/home/oracle/audit下一.简介二.配置2.1.审计是否安装2.2.审计表空间迁移2.3.审计参数2.4.审计级别2.5.其他审计选项2.6.审计相关视图三.使用3.1.开启/关闭审计3.2.表操作审计四.更改审计文件目录4.1.查看审计文件的配置路径4.2.更改配置路径4.3.重启数据库后查看路径已变
  • 网工内推 | Base北京,国企网工运维,最高30k*14薪,IE认证优先 HCIE考证研究所 运维网络工程师网络服务器华为认证linux
    01万方数据股份有限公司招聘岗位:网络工程师职责描述:1.负责完成基础网络组网工作;2.负责网络对象的访问控制及安全策略,配置VLan,黑白名单、地址转换、故障排查及网络安全监控工作;3.负责对操作系统、中间件、安全设备、网络设备进行漏洞修复与修复验证工作;4.负责分析系统日志,能够通过日志审计和数据库审计工作发现系统中存在的安全问题;5.配合各部门安全人员完成攻防演练与系统完全防护;6.根据领导
  • oracle 数据库审计详解(一) Rhys-Oracle ORACLE用户管理与审计
    oracle数据库审计详解(一)今天是2013-08-15,直到今天,所有的生活秩序才得以慢慢恢复我之前的状态。今天在工作中看到一个数据库审计变更和监听配置。顺便学习一下,记录一下笔记。audit_trail:参数设置启动或是关闭数据库的审计功能:有none,osdbdb,extendedxmlxml,extendednote:当参数为db,extended或是xml,extended的时候会在a
  • oracle 数据库审计 Rhys-Oracle ORACLE用户管理与审计
    今天是2013-12-15,上周一直处理was问题,今天继续研究oracle,记录一下学习笔记。对于oracle审计有如下参数:SQL>showparameterauditNAMETYPEVALUE-----------------------------------------------------------------------------audit_file_deststring/op
  • 审计日志太多导致Oracle系统表空间占满 ORA-09925: Unable to create audit trail file sunny05296 数据库常见问题oracle数据库dba
    审计日志太多导致Oracle系统表空间占满ORA-09925:Unabletocreateaudittrailfile_数据库审计日志满了,怎么处理_sunny05296的博客-CSDN博客Oracle磁盘写满导致的Oraclesqlplus连接报错ORA-09925:Unabletocreateaudittrailfile_ora09925_sunny05296的博客-CSDN博客--查看表空间
  • Oracle FGA细粒度审计——基于内容的数据库审计(一) ciqu9915 数据库
    Oracle推出的标准Standard审计机制,提供了对于数据库对象DDL、特定User特定安全行为的审计Audit。标准审计可以帮助DBA和信息审计人员掌握生产系统各种重要变化信息,并且跟踪其行为。但是很多时候,我们常常会遇到下列情况的需求:ü记录向用户user表插入记录detpno=10的操作日志信息;ü记录更改用户姓名字段取值的操作日志信息;ü记录删除日志记录的操作信息;ü记录每天下班之后,
  • 开启数据库审计 db,extended级别或os级别)并将审计文件存放到/opt/oracle/audit/下 不会编程的猫星人 数据库运维oracle数据库linux运维
    文章目录1、登录到数据库2、查看审计状态3、创建审计目录4、启用审计5、设置审计文件路径6、再次查看结果1、登录到数据库使用SQL*Plus或者其他Oracle数据库客户端登录到数据库。sqlplus/assysdba;2、查看审计状态showparameteraudit;目前是DB状态,并且我们的审计目录也不符合要求audit_trail的value值:NONE:表示不开启审计功能。这种情况下,
  • 创建oracle用户,配置权限,配置新监听文件,开启数据库审计 阿托360 数据库oracle
    一:创建一个用户test且使用testtab表空间及testtemp临时表空间并授予其权限,密码随意1.使用系统管理员用户登录oracle:sqlplus/assysdba查看当前用户:showuser2.为新用户test创建表空间tesstab和临时表空间tesstempcreatetablespacetesttabdatafile'/home/oracle/oradata/orcl/testt
  • Oracle 监控的指标有哪些和oracle巡检的内容 SoporAeternus2022 oracle数据库
    日常监控指标:性能指标:查询响应时间CPU利用率内存利用率磁盘I/O活动网络吞吐量空间管理:表空间使用率数据文件增长情况Undo表空间使用率临时表空间使用率会话和连接:活跃会话数等待事件监控连接数和连接池效率数据库对象:表和索引的碎片情况对象的统计信息更新情况检查是否有无效对象备份和恢复:数据库备份状态和计划恢复测试的执行日志文件备份情况安全性和审计:用户权限和角色分配审计日志的监控数据库审计配置
  • openGauss学习笔记-118 openGauss 数据库管理-设置数据库审计-维护审计日志 superman超哥 openGauss学习笔记openGauss国产数据库开源数据库数据库RDBMS
    文章目录openGauss学习笔记-118openGauss数据库管理-设置数据库审计-维护审计日志118.1前提条件118.2背景信息118.3操作步骤openGauss学习笔记-118openGauss数据库管理-设置数据库审计-维护审计日志118.1前提条件用户必须拥有审计权限。118.2背景信息与审计日志相关的配置参数及其含义请参见表1。表1审计日志相关配置参数配置项含义默认值audit_
  • openGauss学习笔记-119 openGauss 数据库管理-设置数据库审计-设置文件权限安全策略 superman超哥 openGauss学习笔记openGauss国产数据库开源数据库数据库开源软件
    文章目录openGauss学习笔记-119openGauss数据库管理-设置数据库审计-设置文件权限安全策略119.1背景信息119.2数据库程序目录及文件权限119.3建议openGauss学习笔记-119openGauss数据库管理-设置数据库审计-设置文件权限安全策略119.1背景信息数据库在安装过程中,会自动对其文件权限(包括运行过程中生成的文件,如日志文件等)进行设置。其权限规则如下:数
  • openGauss学习笔记-117 openGauss 数据库管理-设置数据库审计-查看审计结果 superman超哥 openGauss学习笔记openGauss国产数据库开源数据库数据库RDBMS
    文章目录openGauss学习笔记-117openGauss数据库管理-设置数据库审计-查看审计结果117.1前提条件117.2背景信息117.3操作步骤openGauss学习笔记-117openGauss数据库管理-设置数据库审计-查看审计结果117.1前提条件审计功能总开关已开启。需要审计的审计项开关已开启。数据库正常运行,并且对数据库执行了一系列增、删、改、查操作,保证在查询时段内有审计结果
  • openGauss学习笔记-116 openGauss 数据库管理-设置数据库审计-审计概述 superman超哥 openGauss学习笔记openGauss国产数据库开源数据库数据库RDBMS
    文章目录openGauss学习笔记-116openGauss数据库管理-设置数据库审计-审计概述116.1背景信息116.2操作步骤openGauss学习笔记-116openGauss数据库管理-设置数据库审计-审计概述116.1背景信息数据库安全对数据库系统来说至关重要。openGauss将用户对数据库的所有操作写入审计日志。数据库安全管理员可以利用这些日志信息,重现导致数据库现状的一系列事件,
  • [实验四 Oracle 数据库安全管理]创建一个名为 Tom 的用户,采用口令认证方式,口令为 Tom,默认表空间为 USERS表空间,临时表空间为 TEMP,在 USERS 表空间上配额为 10M, 小熊吖吖 oracle数据库
    实验四Oracle数据库安全管理一、实验目的(1)掌握Oracle数据库安全控制的实现。(2)掌握Oracle数据库用户管理。(3)掌握Oracle数据库权限管理。(4)掌握Oracle数据库角色管理。(5)了解Oracle数据库概要文件的管理。(6)了解Oracle数据库审计。二、实验要求(1)为ORCL数据库创建用户。(2)为ORCL数据库用户进行权限授予与回收(3)为ORCL数据库创建角色,
  • 关于旗正规则引擎规则中的上传和下载问题 何必如此 文件下载压缩jsp文件上传
    文件的上传下载都是数据流的输入输出,大致流程都是一样的。 一、文件打包下载 1.文件写入压缩包 string mainPath="D:\upload\";     下载路径 string tmpfileName=jar.zip;        &n
  • 【Spark九十九】Spark Streaming的batch interval时间内的数据流转源码分析 bit1129 Stream
      以如下代码为例(SocketInputDStream): Spark Streaming从Socket读取数据的代码是在SocketReceiver的receive方法中,撇开异常情况不谈(Receiver有重连机制,restart方法,默认情况下在Receiver挂了之后,间隔两秒钟重新建立Socket连接),读取到的数据通过调用store(textRead)方法进行存储。数据
  • spark master web ui 端口8080被占用解决方法 daizj 8080端口占用sparkmaster web ui
    spark master web ui 默认端口为8080,当系统有其它程序也在使用该接口时,启动master时也不会报错,spark自己会改用其它端口,自动端口号加1,但为了可以控制到指定的端口,我们可以自行设置,修改方法:   1、cd SPARK_HOME/sbin   2、vi start-master.sh     3、定位到下面部分
  • oracle_执行计划_谓词信息和数据获取 周凡杨 oracle执行计划
      oracle_执行计划_谓词信息和数据获取(上) 一:简要说明 在查看执行计划的信息中,经常会看到两个谓词filter和access,它们的区别是什么,理解了这两个词对我们解读Oracle的执行计划信息会有所帮助。 简单说,执行计划如果显示是access,就表示这个谓词条件的值将会影响数据的访问路径(表还是索引),而filter表示谓词条件的值并不会影响数据访问路径,只起到
  • spring中datasource配置 g21121 dataSource
    datasource配置有很多种,我介绍的一种是采用c3p0的,它的百科地址是: http://baike.baidu.com/view/920062.htm   <!-- spring加载资源文件 --> <bean name="propertiesConfig" class="org.springframework.b
  • web报表工具FineReport使用中遇到的常见报错及解决办法(三) 老A不折腾 finereportFAQ报表软件
    这里写点抛砖引玉,希望大家能把自己整理的问题及解决方法晾出来,Mark一下,利人利己。   出现问题先搜一下文档上有没有,再看看度娘有没有,再看看论坛有没有。有报错要看日志。下面简单罗列下常见的问题,大多文档上都有提到的。 1、repeated column width is largerthan paper width: 这个看这段话应该是很好理解的。比如做的模板页面宽度只能放
  • mysql 用户管理 墙头上一根草 linuxmysqluser
    1.新建用户 //登录MYSQL@>mysql -u root -p@>密码//创建用户mysql> insert into mysql.user(Host,User,Password) values(‘localhost’,'jeecn’,password(‘jeecn’));//刷新系统权限表mysql>flush privileges;这样就创建了一个名为:
  • 关于使用Spring导致c3p0数据库死锁问题 aijuans springSpring 入门Spring 实例Spring3Spring 教程
    这个问题我实在是为整个 springsource 的员工蒙羞 如果大家使用 spring 控制事务,使用 Open Session In View 模式, com.mchange.v2.resourcepool.TimeoutException: A client timed out while waiting to acquire a resource from com.mchange.
  • 百度词库联想 annan211 百度
    <!DOCTYPE html> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>RunJS</title&g
  • int数据与byte之间的相互转换实现代码 百合不是茶 位移int转bytebyte转int基本数据类型的实现
    在BMP文件和文件压缩时需要用到的int与byte转换,现将理解的贴出来;   主要是要理解;位移等概念 http://baihe747.iteye.com/blog/2078029   int转byte;   byte转int;   /** * 字节转成int,int转成字节 * @author Administrator *
  • 简单模拟实现数据库连接池 bijian1013 javathreadjava多线程简单模拟实现数据库连接池
    简单模拟实现数据库连接池 实例1: package com.bijian.thread; public class DB { //private static final int MAX_COUNT = 10; private static final DB instance = new DB(); private int count = 0; private i
  • 一种基于Weblogic容器的鉴权设计 bijian1013 javaweblogic
            服务器对请求的鉴权可以在请求头中加Authorization之类的key,将用户名、密码保存到此key对应的value中,当然对于用户名、密码这种高机密的信息,应该对其进行加砂加密等,最简单的方法如下: String vuser_id = "weblogic"; String vuse
  • 【RPC框架Hessian二】Hessian 对象序列化和反序列化 bit1129 hessian
     任何一个对象从一个JVM传输到另一个JVM,都要经过序列化为二进制数据(或者字符串等其他格式,比如JSON),然后在反序列化为Java对象,这最后都是通过二进制的数据在不同的JVM之间传输(一般是通过Socket和二进制的数据传输),本文定义一个比较符合工作中。   1. 定义三个POJO    Person类 package com.tom.hes
  • 【Hadoop十四】Hadoop提供的脚本的功能 bit1129 hadoop
    1. hadoop-daemon.sh 1.1 启动HDFS ./hadoop-daemon.sh start namenode ./hadoop-daemon.sh start datanode  通过这种逐步启动的方式,比start-all.sh方式少了一个SecondaryNameNode进程,这不影响Hadoop的使用,其实在 Hadoop2.0中,SecondaryNa
  • 中国互联网走在“灰度”上 ronin47 管理 灰度
    中国互联网走在“灰度”上(转) 文/孕峰   第一次听说灰度这个词,是任正非说新型管理者所需要的素质。第二次听说是来自马化腾。似乎其他人包括马云也用不同的语言说过类似的意思。   灰度这个词所包含的意义和视野是广远的。要理解这个词,可能同样要用“灰度”的心态。灰度的反面,是规规矩矩,清清楚楚,泾渭分明,严谨条理,是决不妥协,不转弯,认死理。黑白分明不是灰度,像彩虹那样
  • java-51-输入一个矩阵,按照从外向里以顺时针的顺序依次打印出每一个数字。 bylijinnan java
    public class PrintMatrixClockwisely { /** * Q51.输入一个矩阵,按照从外向里以顺时针的顺序依次打印出每一个数字。 例如:如果输入如下矩阵: 1 2 3 4 5 6 7 8 9
  • mongoDB 用户管理 开窍的石头 mongoDB用户管理
      1:添加用户    第一次设置用户需要进入admin数据库下设置超级用户(use admin)      db.addUsr({user:'useName',pwd:'111111',roles:[readWrite,dbAdmin]});    第一个参数用户的名字    第二个参数
  • [游戏与生活]玩暗黑破坏神3的一些问题 comsci 生活
        暗黑破坏神3是有史以来最让人激动的游戏。。。。但是有几个问题需要我们注意      玩这个游戏的时间,每天不要超过一个小时,且每次玩游戏最好在白天      结束游戏之后,最好在太阳下面来晒一下身上的暗黑气息,让自己恢复人的生气   &nb
  • java 二维数组如何存入数据库 cuiyadll java
    using System; using System.Linq; using System.Text; using System.Windows.Forms; using System.Xml; using System.Xml.Serialization; using System.IO; namespace WindowsFormsApplication1 {
  • 本地事务和全局事务Local Transaction and Global Transaction(JTA) darrenzhu javaspringlocalglobaltransaction
    Configuring Spring and JTA without full Java EE http://spring.io/blog/2011/08/15/configuring-spring-and-jta-without-full-java-ee/ Spring doc -Transaction Management http://docs.spring.io/spri
  • Linux命令之alias - 设置命令的别名,让 Linux 命令更简练 dcj3sjt126com linuxalias
    用途说明 设置命令的别名。在linux系统中如果命令太长又不符合用户的习惯,那么我们可以为它指定一个别名。虽然可以为命令建立“链接”解决长文件名的问 题,但对于带命令行参数的命令,链接就无能为力了。而指定别名则可以解决此类所有问题【1】。常用别名来简化ssh登录【见示例三】,使长命令变短,使常 用的长命令行变短,强制执行命令时询问等。   常用参数 格式:alias 格式:ali
  • yii2 restful web服务[格式响应] dcj3sjt126com PHPyii2
    响应格式 当处理一个 RESTful API 请求时, 一个应用程序通常需要如下步骤 来处理响应格式: 确定可能影响响应格式的各种因素, 例如媒介类型, 语言, 版本, 等等。 这个过程也被称为 content negotiation。 资源对象转换为数组, 如在 Resources 部分中所描述的。 通过 [[yii\rest\Serializer]]
  • MongoDB索引调优(2)——[十] eksliang mongodbMongoDB索引优化
    转载请出自出处:http://eksliang.iteye.com/blog/2178555 一、概述       上一篇文档中也说明了,MongoDB的索引几乎与关系型数据库的索引一模一样,优化关系型数据库的技巧通用适合MongoDB,所有这里只讲MongoDB需要注意的地方 二、索引内嵌文档     可以在嵌套文档的键上建立索引,方式与正常
  • 当滑动到顶部和底部时,实现Item的分离效果的ListView gundumw100 android
    拉动ListView,Item之间的间距会变大,释放后恢复原样; package cn.tangdada.tangbang.widget; import android.annotation.TargetApi; import android.content.Context; import android.content.res.TypedArray; import andr
  • 程序员用HTML5制作的爱心树表白动画 ini JavaScriptjqueryWebhtml5css
    体验效果:http://keleyi.com/keleyi/phtml/html5/31.htmHTML代码如下: <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml"><head><meta charset="UTF-8" > <ti
  • 预装windows 8 系统GPT模式的ThinkPad T440改装64位 windows 7旗舰版 kakajw ThinkPad预装改装windows 7windows 8
      该教程具有普遍参考性,特别适用于联想的机器,其他品牌机器的处理过程也大同小异。 该教程是个人多次尝试和总结的结果,实用性强,推荐给需要的人!   缘由 小弟最近入手笔记本ThinkPad T440,但是特别不能习惯笔记本出厂预装的Windows 8系统,而且厂商自作聪明地预装了一堆没用的应用软件,消耗不少的系统资源(本本的内存为4G,系统启动完成时,物理内存占用比
  • Nginx学习笔记 mcj8089 nginx
    一、安装nginx             1、在nginx官方网站下载一个包,下载地址是:  http://nginx.org/download/nginx-1.4.2.tar.gz      2、WinSCP(ftp上传工
  • mongodb 聚合查询每天论坛链接点击次数 qiaolevip 每天进步一点点学习永无止境mongodb纵观千象
    /* 18 */ { "_id" : ObjectId("5596414cbe4d73a327e50274"), "msgType" : "text", "sendTime" : ISODate("2015-07-03T08:01:16.000Z"
  • java术语(PO/POJO/VO/BO/DAO/DTO) Luob. DAOPOJODTOpoVO BO
    PO(persistant object) 持久对象 在o/r 映射的时候出现的概念,如果没有o/r映射,就没有这个概念存在了.通常对应数据模型(数据库),本身还有部分业务逻辑的处理.可以看成是与数据库中的表相映射的java对象.最简单的PO就是对应数据库中某个表中的一条记录,多个记录可以用PO的集合.PO中应该不包含任何对数据库的操作. VO(value object) 值对象 通
  • 算法复杂度 Wuaner Algorithm
    Time Complexity & Big-O: http://stackoverflow.com/questions/487258/plain-english-explanation-of-big-o http://bigocheatsheet.com/ http://www.sitepoint.com/time-complexity-algorithms/
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他