后浪云OceanBase里那个AUDIT功能怎么用啊，讲讲它到底是干啥的吧

它到底是干啥的？简单说，AUDIT就是个数据库里的“监控摄像头”和“记事本”。

想象一下，你管理着一个很重要的数据库，里面放着公司所有的核心数据，比如用户信息、订单记录、财务账目等等,你肯定会关心这些问题：

• 谁在什么时候登录了数据库？
• 谁查看了或者修改了那些最敏感的数据？有没有人偷偷去查CEO的工资？
• 谁执行了那些危险的操作？不小心或者故意删除了某张重要的数据表？
• 某个SQL语句为什么跑得那么慢，到底是谁在什么时候执行的？

靠人天天盯着是不可能的，这时候，AUDIT功能就派上用场了，它的核心工作就是记录下所有你关心的数据库操作事件，一旦出了问题，比如数据被篡改了，或者发现有信息泄露的嫌疑，你就可以回过头来查这个“记事本”，看看当时到底发生了什么，是谁操作的，从而追查责任、分析原因。

这个“摄像头”都能拍些啥？（审计内容）

根据OceanBase的官方文档（来源：OceanBase官方文档 - 安全指南-审计相关），这个AUDIT功能能记录非常多的细节,主要包括几大类：

1. 用户登录和注销：记录用户什么时候从哪个电脑（IP地址）登录数据库，什么时候退出,这是最基础的审计。
2. 数据库操作（DCL/DDL/DML）：
   • 权限操作（DCL）：哪个管理员给哪个用户授予了高级权限,或者回收了权限。
   • 数据库对象操作（DDL）：创建、删除、修改表（CREATE TABLE, DROP TABLE, ALTER TABLE）这些结构变更操作，记录下谁删了表，这可是“命案”现场的关键证据。
   • 数据操作（DML）：这是最常用的，记录对表里数据的增（INSERT）、删（DELETE）、改（UPDATE）、查（SELECT）操作,你可以设定只审计某些关键表的查询或修改。
3. 其他操作：还可以审计比如设置系统参数等行为。

这个功能具体怎么用呢？（基本使用方法）

使用AUDIT功能，基本上就是三个步骤：开启审计开关 -> 告诉数据库你要审计什么 -> 查看审计记录。

第一步：开启全局审计功能

审计功能默认可能是关闭的，需要最高权限的管理员（比如root用户）先把这个总开关打开，这通常是通过修改一个系统参数来实现的,就像启动一个设备的总电源一样。

第二步：创建审计规则（核心步骤）

只打开开关还不够，你得告诉数据库具体要监控哪些行为，这就需要创建“审计规则”，规则就像是给摄像头设定监控区域和触发条件，OceanBase主要使用SQL语句 AUDIT 和 NOAUDIT 来增加和取消审计规则。

规则可以非常灵活,举个例子：

• 场景1：审计所有用户对核心表 user_account 的查询操作。

  • 你的审计语句可能类似这样：AUDIT SELECT ON db1.user_account;
  • 这意味着，任何人执行 SELECT * FROM db1.user_account; 这样的语句,都会被记录下来。

• 场景2：审计用户 zhangsan 执行的所有DROP TABLE（删表）操作。

  • 你的审计语句可能类似这样：AUDIT DROP TABLE BY zhangsan;
  • 这样，只要张三执行删表操作，无论删哪张表,都会被审计日志盯上。

• 场景3：审计所有失败的登录尝试。

  这非常有用，可以帮助你发现是否有人在进行密码爆破攻击,规则会监控那些输入错误密码的登录请求。

  

你可以根据你的安全需求,组合各种条件来创建精细化的审计规则。

第三步：查看和分析审计记录

审计日志记录下来了，最终目的是查看，这些日志通常会存储在数据库内部的一些特殊的系统表或视图中（__all_audit_record 之类的，具体名称请查阅对应版本文档），拥有权限的管理员可以像查询普通数据表一样,用SQL语句来查询这些审计记录。

查询结果会包含非常详细的信息，

• 操作用户：是谁干的？
• 操作时间：什么时候干的？
• 操作类型：是SELECT还是DELETE？
• 操作对象：是对哪张表、哪个库干的？
• 执行的SQL语句：具体执行的命令原文是什么？
• 客户端信息：是从哪个IP地址的电脑发起的操作？

你可以根据这些信息，像侦探一样筛选和分析,快速定位问题。

总结一下

OceanBase的AUDIT功能就是一个强大的内置安全工具，它通过配置灵活的规则，自动记录数据库的所有关键活动，为数据库的安全运行、事故追溯、合规性检查提供了至关重要的事实依据，对于任何一个管理着重要数据的DBA或运维人员来说，学会配置和使用审计功能，就像是给数据库宝库安装了一套完善的安防系统,是非常有必要的。