51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术25年5月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

PostgreSQL 审计功能实现:跟踪数据库变更的最佳实践

作者:AZRNG
数据库 PostgreSQL
PostgreSQL 提供了强大的触发器机制,我们可以利用它来实现全面的审计功能。下面介绍一个通用的审计触发器函数,它可以为任意表创建审计功能。

数据库审计是企业数据管理中不可或缺的一环,尤其在需要合规性和数据安全的场景下。本文将介绍如何在 PostgreSQL 中实现一个灵活且强大的审计功能,帮助你跟踪数据库中的所有变更操作。

为什么需要数据库审计?

在企业应用中,数据库审计具有以下几个关键作用:

• 合规要求:满足对数据操作记录留痕的安全要求

• 安全追踪:发现可疑操作,追溯数据泄露源头

• 变更历史:记录数据的完整变更历史,支持数据恢复

• 问题排查:帮助开发团队排查数据异常问题

PostgreSQL 审计功能实现

PostgreSQL 提供了强大的触发器机制,我们可以利用它来实现全面的审计功能。下面介绍一个通用的审计触发器函数,它可以为任意表创建审计功能。

审计功能设计

我们的审计系统将记录以下信息:

• 操作类型(INSERT/UPDATE/DELETE)

• 操作时间

• 操作用户

• 更新前的数据(仅UPDATE操作时有值)

• 原表的所有字段数据

实现步骤

1. 创建专用的审计 schema

2. 创建通用审计触发器函数

3. 为需要审计的表应用该函数

核心SQL实现

首先,我们需要创建一个通用的审计触发器创建函数:

-- 创建审计schema(如果已存在可以跳过)
CREATE SCHEMA IF NOT EXISTS audit;

-- 创建通用审计触发器函数
CREATE OR REPLACE FUNCTION audit.create_audit_trigger(
    origin_schema TEXT,     -- 原始表所在schema
    origin_table TEXT,      -- 原始表名
    audit_schema TEXT DEFAULT 'audit'  -- 审计表所在schema,默认为audit
)
RETURNS void AS $$
DECLARE
    backup_table TEXT;
    trigger_name TEXT;
    trigger_func_name TEXT;
BEGIN
    -- 构造备份表名
    backup_table := origin_table || '_bak';
    -- 构造触发器名
    trigger_name := origin_table || '_audit';
    -- 构造触发器函数名
    trigger_func_name := origin_table || '_audit_func';
    
    -- 创建备份表
    EXECUTE format('
        DROP TABLE IF EXISTS %I.%I;
        CREATE TABLE %I.%I AS 
        SELECT 
            ''''::text as operation,
            now()::timestamp operation_time,
            ''''::text user_name,
            ''''::text old_content,
            * 
        FROM %I.%I
        WHERE 1=0;
    ', audit_schema, backup_table, audit_schema, backup_table, origin_schema, origin_table);

    -- 创建触发器函数
    EXECUTE format('
        CREATE OR REPLACE FUNCTION %I.%I() RETURNS TRIGGER AS $func$
        BEGIN
            IF (TG_OP = ''DELETE'') THEN
                INSERT INTO %I.%I 
                SELECT TG_OP, now(), current_user, '''', OLD.*;
                RETURN OLD;
            ELSIF (TG_OP = ''UPDATE'') THEN
                INSERT INTO %I.%I 
                SELECT TG_OP, now(), current_user, row_to_json(OLD.*), NEW.*;
                RETURN NEW;
            ELSIF (TG_OP = ''INSERT'') THEN
                INSERT INTO %I.%I 
                SELECT TG_OP, now(), current_user, '''', NEW.*;
                RETURN NEW;
            END IF;
            RETURN NULL;
        END;
        $func$ LANGUAGE plpgsql;
    ', audit_schema, trigger_func_name, audit_schema, backup_table, audit_schema, backup_table, audit_schema, backup_table);

    -- 创建触发器
    EXECUTE format('
        DROP TRIGGER IF EXISTS %I ON %I.%I;
        CREATE TRIGGER %I
            AFTER INSERT OR UPDATE OR DELETE ON %I.%I
            FOR EACH ROW EXECUTE PROCEDURE %I.%I();
    ', trigger_name, origin_schema, origin_table, trigger_name, origin_schema, origin_table, audit_schema, trigger_func_name);
    
END;
$$ LANGUAGE plpgsql;
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.
  • 47.
  • 48.
  • 49.
  • 50.
  • 51.
  • 52.
  • 53.
  • 54.
  • 55.
  • 56.
  • 57.
  • 58.
  • 59.
  • 60.
  • 61.
  • 62.
  • 63.
  • 64.
  • 65.
  • 66.
  • 67.
  • 68.

代码解析

这个函数实现了以下功能:

1. 动态创建备份表:为每个需要审计的表创建对应的备份表,表名为原表名加上"_bak"后缀

2. 创建触发器函数:针对每个表创建专用的触发器函数,处理不同类型的操作

3. 创建触发器:将触发器关联到原表,监听 INSERT、UPDATE 和 DELETE 操作

触发器函数的核心逻辑是:

• 对于 DELETE 操作:记录被删除的数据

• 对于 UPDATE 操作:记录更新前的数据(以 JSON 格式)和更新后的数据

• 对于 INSERT 操作:记录新插入的数据

使用示例

使用这个函数非常简单,只需要调用它并传入相应的参数:

-- 为 example.test_info 表创建审计
SELECT audit.create_audit_trigger('example', 'test_info');

-- 为 other_schema.employee 表创建审计,并指定审计表存放在 custom_audit schema中
SELECT audit.create_audit_trigger('other_schema', 'employee', 'custom_audit');
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.

审计数据的查询与分析

一旦设置了审计触发器,所有对原表的操作都会被记录到对应的审计表中。你可以通过查询审计表来获取各种有用的信息:

-- 查询最近的操作记录
SELECT operation, operation_time, user_name, id, name 
FROM audit.test_info_bak 
ORDERBY operation_time DESC
LIMIT 100;

-- 查询特定用户的操作
SELECT*FROM audit.test_info_bak 
WHERE user_name ='postgres'
ORDERBY operation_time DESC;

-- 查询特定记录的变更历史
SELECT operation, operation_time, user_name, old_content, name, status
FROM audit.test_info_bak 
WHERE id =123
ORDERBY operation_time;
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.

性能考虑

审计功能虽然强大,但也会带来一定的性能开销。以下是一些优化建议:

1. 选择性审计:只为关键表启用审计功能,比如配置表

2. 定期归档:定期将旧的审计数据归档到单独的表或数据库

3. 索引优化:为审计表中的常用查询字段创建索引

4. 分区表:对于大量审计数据,考虑使用分区表按时间范围分区

总结

PostgreSQL 的触发器机制为我们提供了实现强大审计功能的基础。通过本文介绍的通用审计触发器函数,你可以轻松地为任何表添加审计功能,满足企业对数据变更跟踪的需求。

这种审计方案的优势在于:

• 完全透明,应用程序无需修改

• 高度灵活,可以根据需要定制

• 实现简单,易于维护

• 审计数据与业务数据分离,互不影响

责任编辑:武晓燕 来源: 鹏祥
PostgreSQL触发器机制
相关推荐
数据库安全最佳实践数据库审计工具调优
数据库管理员受命于创建审计记录以符合安全审计和合规审计的要求,但如果他们仅仅去阅读那些叙述如何进行数据库审计的标准操作手册的话,恐怕会很失望。数据库审计工具都有一些特殊的使用技巧,如果不花费时间合理地规划审计流程,使用这些工具可能会使得数据库运行性能遭受惨重打击。

2010-11-30 11:26:49

SQL Server 2008数据库变更跟踪详解
本文我们主要介绍了SQLServer2008数据库变更跟踪的相关知识,希望本次的介绍能够对您有所帮助。

2011-08-25 13:41:50

SQL Server 变更跟踪
网络监听是数据库安全审计最佳手段
网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具,它可以将网络界面设定成监听模式,并且可以截获网络上所传输的信息。数据库安全审计越来越重要,而网络监听能更好的保证数据库安全审计,建议大家优选网络监听方式。

2011-03-02 11:01:39

企业数据库合规最佳实践
数据库是存放数据、经常是那些高敏感度数据的宝库,因此它也毫无疑问的是合规检查程序的重点区域。几乎所有的企业合规都会对哪些人、能在什么时间、访问什么数据库作出规定,并且需要一个专职人员来管理这些权限。

2011-10-28 09:53:50

数据库安全数据安全
MySQL和PostgreSQL,谁是SQL数据库最佳选择
MySQL具有简单性、速度和可扩展性,因此备受青睐,特别适用于Web应用程序。PostgreSQL提供了先进的功能和数据完整性,非常适合处理复杂的需求。选择合适的数据库需要根据项目的具体需求而定。

2024-02-19 00:00:00

PostgreSQLMySQL应用程序
简单实现MySQL数据库日志审计
由于MySQL社区版没有自带的审计功能或插件,对于等级保护当中对数据库管理的要求的就存在一定的不满足情况的,抛开条条框框不说数据库的日志是值得研究的,通过收集数据库的日志到企业SOC平台便于安全事件的溯源与故障分析,配合目前的UEBA技术能够轻松发现很多恶意事件。

2019-01-02 09:30:59

MySQL数据库日志审计
云端应用程序跟踪最佳实践
首先,对于云计算应用程序来说,应用程序库跟踪的概念似乎有些过时了。毕竟,云计算应用程序通常都是基于订阅模式的。这意味着,确保使用许可合规性的概念已成为过时的概念。但是,这并不是说不需要进行库跟踪了。云计算简单地改变了编制和管理库的方法,以及编制云计算软件库的原因。

2013-04-22 09:21:43

网络监听成数据库安全审计最佳手段
数据库系统作为三大基础软件之一并不是在计算机诞生的时候就同时产生的,随着信息技术的发展,传统文件系统已经不能满足人们的需要,1961年,美国通用电气公司成功开发了世界上第一个数据库系统IDS(IntegratedDataStore),奠定了数据库的基础。经过几十年的发展和实际应用,技术越来越成熟和完善,代表产品有甲骨文公司的Oracle、IBM公司的DB2、微软公司的MSSQLServer等等。

2010-04-17 13:44:46

SQL Azure数据库部署最佳实践(下)
如果你运行一个长事务,或者如果连接空闲时间过长,SQLAzure也会切断现有连接。在这两种情况下,阈值是五分钟。那么,你将如何处理呢你可以在最短时间内保持连接打开避免闲置事务。一旦你执行完一条命令、关闭连接并把连接返回到池中。

2010-11-16 11:27:53

SQL Azure数据
SQL Azure数据库部署最佳实践(上)
虽然SQLAzure是基于SQLServer技术的,并且SQLServer的大多数最佳实践都适用于SQLAzure,但在构建新类型的应用系统时,面对一些体系结构和特征的差异还需要进一步的考虑和深究。

2010-11-16 11:26:20

SQL Azure数据
20个数据库设计最佳实践
能够最佳的使用好数据库需要扎实的基础,下面文章详细的说明了20个数据库设计的最佳实践,很适合是实习的程序员学习。

2012-02-07 09:17:13

PostgreSQL作为矢量数据库入门和扩展实践
开发人员需要了解如何使用PostgreSQL作为矢量数据库来构建和扩展Airbnb推荐服务。

2024-01-18 08:00:00

PostgreSQLPgvector
数据库安全需要遵循8项最佳实践
如今,每年企业需要处理的数据一般在PB量级,这也使得企业在趋于劳动密集型的同时,对数据的保护也更加困难复杂,即使是处于结构化环境中的企业数据库也如此。

2016-09-23 20:20:10

Oracle数据库备份与恢复:保障数据安全最佳实践
Oracle数据库备份与恢复是一种重要的安全实践,可以保护数据库免受数据丢失、硬件故障、人为错误或灾难事件的影响。本文将介绍Oracle数据库备份与恢复的最佳实践,以帮助您确保数据的安全性。

2023-11-15 09:38:49

Oracle数据库
寻找 DB2 数据库索引设计最佳实践
在实际的生产运行环境中,笔者在国内很多客户现场都被DB2数据库系统管理员(以及一些数据库程序开发人员)问起这个问题。索引设计其实是一个比较系统的方法学。笔者基于自身DB2数据库的性能调优经验,结合DB2数据库性能优化原理给出设计索引的最佳实践,希望能为数据库系统管理员以及数据库程序开发人员解开其中的奥秘。

2011-06-20 06:22:18

ibmdwDB2
产品看点|数据库审计之双向审计
数据库审计中的双向解析功能需要长期的技术积累,对数据库通信协议进行精确的解析才能实现,但是在实际的应用中对提高审计效果,缩小疑点范围起的作用非常显著,给用户带来了更多的便捷,所以备受客户青睐。

2017-11-29 17:51:16

数据
PostgreSQL数据库入门
本文带你了解如何安装、设置、创建和开始使用PostgreSQL数据库。

2019-11-20 09:08:46

PostgreSQL数据库
解析数据库安全审计
信息技术是一把双刃剑,为社会的进步和发展带来遍历的同时,也带来了许多的安全隐患。对数据库而言,其存在的安全隐患存在更加难以估计的风险值,数据库安全事件曾出不穷。

2010-05-13 14:14:45

Oracle最佳替代者PostgreSQL数据库整体安全性
在传统的UNIX中,PostgreSQL被进行了重新设计来补充它所依附的操作系统。要最大限度地发掘PostgreSQL的价值,所需要的知识超过了一般数据库管理员(DBA)所要求具备的技能。

2009-12-29 17:40:33

数据库审计了吗?
随着信息泄漏和信息篡改事件的愈发频繁,用户急需针对存储核心数据的数据库系统进行全面的网络行为审计,阻止非法入侵和违规操作,保障核心数据资产的安全。

2010-03-22 19:41:00

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服