openGauss数据库源码解析系列文章—安全管理源码解析(五)

最新推荐文章于 2025-07-30 16:12:42 发布
最新推荐文章于 2025-07-30 16:12:42 发布
阅读量170 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gallopingdb/article/details/132169060

openGauss数据库源码解析系列文章—安全管理源码解析(五)

openGauss 2023-08-04 18:01 发表于四川

五、审计与追踪

审计机制和审计追踪机制能够对用户的日常行为进行记录和分析,实现规避风险、提高安全性。

5.1 审计日志设计

审计内容的记录方式通常有两种:记录到数据库的表中、记录到OS文件中。openGauss采用记录到OS文件中(即审计日志)的方式来保存审计结果,审计日志文件夹受操作系统权限保护,默认只有初始化用户可以读写,从数据库安全角度出发,保证了审计结果的可靠性。日志文件的存储目录由audit_directory参数指定。

openGauss审计日志每条记录包括time、type、result、userid、username、database、client_conninfo、object_name、detail_info、node_name、thread_id、local_port、remote_port共13个字段。图23为审计日志的单条记录示例。

图片

图23 审计记录示例

对审计日志文件进行读写的函数的代码主要位于“pgaudit.cpp”文件中,其中主要包括两类函数:审计文件的读、写、更新函数;审计记录的增、删、查接口。

首先介绍审计文件的数据结构,如图24所示。

openGauss的审计日志采用文件的方式存储在指定目录中。通过查看目录,可以发现日志主要包括两类文件:形如0_adt的审计文件以及名为index_table索引文件。

图片

图24 审计文件结构

以adt结尾的审计文件中,每一条审计记录对应一个AuditData结构体。数据结构AuditData代码如下:

typedef struct AuditData {
    AuditMsgHdr header;    /*  记录文件头,存储记录的标识、大小等信息   */
    AuditType type;        /*  审计类型   */
    AuditResult result;      /*  执行结果   */
    char varstr[1];         /*  二进制格式存储的具体审计信息   */
} AuditData;

其中AuditMsgHdr记录着审计记录的标识信息,数据结构AuditMsgHdr的代码如下:

typedef struct AuditMsgHdr {
    char signature[2];   /*  审计记录标识,目前固定为AUDIT前两个字符’A’和’U’  */
    uint16 version;      /*  版本信息,目前固定为0   */
    uint16 fields;       /*  审计记录字段数,目前为13   */
    uint16 flags;        /*  记录有效性标识,如果被删除则标记为DEAD
最低0.47元/天 解锁文章

200万优质内容无限畅学
openGauss数据库源码解析系列文章—— 事务机制源码解析(二)_opengauss数据库源码解析——事务机制源码解析
2401_89824686的博客
01-18 991
numa_run_on_node函数在特定节点上运行当前任务及其子任务。在使用numa_run_on_node_mask函数重置节点关联之前,这些任务不会迁移到其他节点的CPU上。在此模式下,内存分配的首选节点为内存分配时任务正在执行的节点。/* 为了代码可读及操作,将u128设计成union的联合结构体,内存位置进行64位数值的赋值。/* 在debug版本时,导出所有的锁信息,便于定位问题。/* 线程持有的轻量级锁数组 *//* CLOG轻量级分区锁*//* CLOG分区*//* 线程ID */
openGauss数据库源码解析系列文章—— SQL引擎源解析(二)_opengauss源码阅读
2401_86951385的博客
09-11 1024
openGauss数据库的查询优化过程功能比较明晰,从源代码组织的角度来看,相关代码分布在不同的目录下,如表6-6所示。表6-6 查询优化模块说明SQL语言是丰富多样的,非常的灵活,不同的开发人员依据经验的不同,手写的SQL语句也是各式各样,另外还可以通过工具自动生成。SQL语言是一种描述性语言,数据库的使用者只是描述了想要的结果,而不关心数据的具体获取方式,输入数据库的SQL语言很难做到是以最优形式表示的,往往隐含了一些冗余信息,这些信息可以被挖掘用来生成更加高效的SQL语句。查询重写就是把用户输入的SQ
openGauss数据库源码解析系列文章—— 安全管理源码解析
Gauss松鼠会
10-08 8396
❤️‍大家好,我是Gauss松鼠会,欢迎进来学习啦~❤️‍ 在前面介绍过“8.7 DeepSQL、8.8 小结”,本篇我们介绍第9章 安全管理源码解析中“9.1 安全管理整体架构和代码概览、9.2 安全认证”的相关精彩内容介绍。 openGauss作为新一代自治安全数据库,提供了丰富的数据库基础安全能力,并逐步完善各类高阶安全能力。这些安全能力涵盖了访问登录认证、用户权限管理、审计与追溯及数据安全隐私保护等。本章节将围绕openGauss安全机制进行源码解读,以帮助数据库内核开发者在进行内核开发..
openGauss数据库源码解析系列文章—— DeepSQL⭐
热门推荐
Gauss松鼠会
09-28 1万+
❤️‍大家好,我是Gauss松鼠会,欢迎进来学习啦~❤️‍ 上一篇介绍了 8.6 AI查询时间预测的相关内容,本篇我们介绍“8.7 DeepSQL、8.8 小结”的相关精彩内容介绍。 8.7 DeepSQL 前面提到的功能均为AI4DB领域,AI与数据库结合还有另外一个大方向,即DB4AI。在本章中,我们将介绍openGauss的DB4AI能力,探索通过数据库来高效驱动AI任务的新途径。 使用场景 数据库DB4AI功能的实现,即在数据库内实现AI算法,以更好的支撑大数据的快速分析和计算。目前o..
openGauss数据库源码解析系列文章——存储引擎源码解析
2301_82243558的博客
04-08 945
8年进入阿里一直到现在。**
openGauss数据库源码解析系列文章安全管理源码解析(三)
openGauss的博客
08-04 313
审计与追踪 ...
openGauss数据库源码解析系列文章—— AI技术之“自调优”
Gauss松鼠会
08-27 5441
上一篇介绍了第七章执行器解析中“7.6 向量化引擎”及“7.7 小结”的相关内容,本篇我们开启第八章 AI技术中“8.1 概述”及“8.2 自调优”的相关精彩内容介绍。 AI技术最早可以追溯到20世纪50年代,甚至比数据库系统的发展历史还要悠久。但是,由于各种各样客观因素的制约,在很长的一段时间内,人工智能技术并没有得到大规模的应用,甚至还经历了几次明显的低谷期。随着信息技术的进一步发展,从前限制人工智能发展的因素已经逐渐减弱,所谓的ABC(artificial intelligence、big dat
openGauss数据库源码解析 |安全管理源码解析(18)
weixin_53596073的博客
04-08 796
在对一个访问数据库资源的查询树进行脱敏之前,需要准备一份待匹配的脱敏策略集合,其依据就是用户登录信息,check_masking_policy_filter函数的任务就是将用户信息与所有的脱敏策略进行匹配,筛选出可能被查询触发的脱敏策略。最终筛选如下脱敏策略。
openGauss数据库源码解析系列文章——安全管理源码解析(二)
openGauss的博客
07-29 267
在上篇 ...
openGauss数据库源码解析系列文章——存储引擎源码解析(四)
Gauss松鼠会
07-28 5606
上一篇我们详细讲述“3. astore元组多版本机制”、“4.astore访存管理”及“5.astore空间管理和回收”相关内容。本篇我们将继续为小伙伴们带来“4.2.4 ustore”的详细介绍。 4.2.4 ustore ustore属于In-place Update更新模式,中文意思为:原地更新,是openGauss内核新增的一种存储模式。openGauss内核当前使用的行引擎采用的是Append Update(追加更新)模式,该模式在INSERT、DELETE、HOT UPDATE(页面内更新)的场
openGauss数据库源码解析系列文章—— AI技术之“智能索引推荐”_pg_catalog
2401_85358044的博客
07-17 392
索引推荐技术按照任务级别划分,可分为基于单条查询语句的索引推荐和基于工作负载的索引推荐。对于基于单条查询语句的索引推荐,使用者每次向索引设计工具提供一个查询语句,工具会针对该语句生成最佳的索引。目前的主流算法是首先提取该查询语句的语义信息和数据库中的统计信息,然后基于相关的索引设计和优化理论,对各子句中的谓词进行分析和处理,启发式地推荐最优索引。此类任务主要是针对个别查询时间慢的SQL进行索引优化,应用场景较为有限。
openGauss数据库源码解析系列文章——openGauss开发快速入门(二)_opengauss数据库-2
2401_88972404的博客
01-12 579
(4) 退出数据库
openGauss数据库源码解析系列文章—— 执行器解析(三)_松鼠会opengauss源码
2501_90251165的博客
01-18 1213
图7-29 ExecVecResult函数执行流程ExecReScanVecResult函数用于重新执行扫描计划。ExecEndVecResult函数用于在执行结束时释放执行过程中申请的相关资源(包括存储空间等)。
Redis 键值对操作详解:Python 实现指南
AI浩
07-29 1021
场景推荐操作替代方案添加小数据SETHSET(对象)添加大数据HSET/MSET分批次添加添加临时数据SETEX删除小数据DELETEUNLINK删除大数据UNLINK无批量操作管道 + MSET/UNLINK单独命令添加操作使用set()添加单个键值对使用mset()批量添加多个键值对使用setex()添加带过期时间的键值对删除操作优先使用unlink()进行删除(尤其大型数据)仅在需要立即释放内存时使用delete()批量删除时结合管道提高效率。
数据驱动的自动驾驶虚拟测试方法
最新发布
NewCarRen的博客
07-30 756
在数据驱动虚拟测试的范围内,我们采用了符合 ISO 21448 规定的预期功能安全(SOTIF)概念的车辆系统 “风险” 概念,涉及整体系统按规定的相关安全贡献以及运行设计域内的动态环境,而非 ISO 26262 意义上的单个组件故障所产生的风险。对于不同的传感器模态,考虑不同的传感器特定特性。这种方法需要系统且协调的现实世界数据采集方法,以高度自动化的方式处理数据,提供标注、元数据,并融合来自不同来源的数据,如外部交通数据、车辆内部数据、传感器 / 感知数据以及与自动驾驶安全评估相关的环境条件。
初识 docker [上]
2401_89111612的博客
07-27 1160
容器内的目录与宿主机的目录关联起来,我们称为挂载,此时,我们操作宿主机的挂载目录就是在操作容器内的被挂载目录。可以发现,数据卷的目录结构较深,如果我们去操作数据卷目录会不太方便。容器是隔离环境,容器内程序的文件、配置、运行时产生的容器都在容器内部,我们要读写容器内的文件非常不方便。注意:容器与数据卷的挂载要在创建容器时配置,对于创建好的容器,是不能设置数据卷的。这个目录就是默认的存放所有容器数据卷的目录,其下再根据数据卷名称创建新目录,格式为 /数据卷名/_data。: 数据卷名:容器内目录。
Redis 服务挂掉排查与解决
qq_33665793的博客
07-28 1271
Redis服务挂掉的排查与解决方法 摘要: 当出现"RedisException in Redis.php line 63 Connection refused"错误时,表明Redis服务无法连接。本文总结了常见原因:服务未启动、网络问题、配置错误或内存不足等,并提供了系统的排查步骤:1)检查Redis进程状态;2)查看服务运行状态;3)启动/重启服务;4)检查配置文件;5)查看错误日志。同时介绍了内存调整、防火墙配置和自动重启等解决方案.
Sql server开挂的OPENJSON
清风弄影
07-27 1216
摘要:SQL Server 2019的OPENJSON功能大幅简化了JSON数据处理。相比SQL Server 2008需要自定义表类型来传递表参数的方式,新版本只需将JSON字符串作为参数传递,通过OPENJSON解析即可。该功能支持单层和嵌套JSON结构,可指定字段名称和类型,还能处理复杂层级数据。从SQL Server 2016开始引入的JSON支持,不仅提高了开发效率,还影响了表结构设计,许多原本需要主从表结构的场景现在用单表配合JSON字段就能实现,大大简化了数据库操作。
数据库审计安全管理的解决方案
Neozsvc的博客
07-28 643
支持 MySQL、MariaDB、Oracle、SQLServer、PostgreSQL、MongoDB、Redis 等多种数据库,无论您的技术栈多么复杂,Next-DBM都能完美适配。
opengauss数据库源码解析 临时表
01-05
### OpenGauss 数据库中临时表的源码解析 #### 临时表的概念与作用 临时表是在会话期间创建的一种特殊类型的表,仅对该会话可见。当会话结束时,临时表及其数据会被自动删除。这种特性使得临时表非常适合用于中间计算结果的存储。 #### 源码中的实现细节 在OpenGauss数据库中,临时表的管理主要由`ExecEndRecursiveUnion`函数处理的一部分逻辑来完成[^1]。该函数不仅负责清理递归查询过程中产生的资源,还涉及到了临时表的相关操作。具体来说: - **内存分配与释放**:对于临时表而言,在其生命周期内可能会涉及到大量的内存分配和释放工作。为了提高效率并减少碎片化问题,OpenGauss采用了特定的数据结构来进行管理和优化。 - **哈希表的应用**:特别是在去重场景下,系统利用了高效的哈希表机制来跟踪已经存在的记录,从而确保同一事务内的唯一性约束得到满足。 ```sql CREATE TEMPORARY TABLE temp_table ( id INT PRIMARY KEY, name VARCHAR(50) ); ``` 这段SQL语句展示了如何在一个具体的会话中创建一个名为`temp_table`的临时表,并定义了一个整数类型的主键字段`id`以及一个字符串类型的字段`name`。 #### 日志记录方式 值得注意的是,尽管临时表具有短暂的存在周期,但在某些情况下仍然会产生相应的日志条目。这些日志通常是以行级别的形式被记录下来,而不是像普通持久化对象那样依赖于更底层的物理页变更描述[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值