Audit ログ
Dorisはデータベース操作の監査機能を提供し、ユーザーログイン、クエリ、およびデータベースに対する変更操作の記録を可能にします。Dorisでは、監査ログは組み込みのシステムTableから直接クエリするか、Dorisの監査ログファイルを表示することで確認できます。
監査ログの有効化
監査ログプラグインは、グローバル変数enable_audit_pluginを使用していつでも有効化または無効化できます(デフォルトでは無効)。例:
set global enable_audit_plugin = true;
有効化されると、Dorisは監査ログをaudit_logTableに書き込みます。
監査ログプラグインはいつでも無効化できます:
set global enable_audit_plugin = false;
無効化後、Dorisはaudit_logTableへの書き込みを停止します。既に書き込まれた監査ログは変更されません。
監査ログTableの確認
バージョン2.1.8より前では、システムバージョンのアップグレードに伴い、監査ログTableのフィールドが増加している可能性があります。アップグレード後は、監査ログTableのフィールドに基づいてALTER TABLEコマンドを使用してaudit_logTableにフィールドを追加する必要があります。
Dorisバージョン2.1以降、監査ログ機能を有効化することで、Dorisはユーザー行動操作を__internal_schemaデータベースのaudit_logTableに書き込むことができます。
監査ログTableは動的パーティションTableで、デフォルトで日次でパーティション分割され、最新の30日間のデータを保持します。ALTER TABLE文を使用してdynamic_partition.startプロパティを変更することで、動的パーティションの保持期間を調整できます。
監査ログファイル
fe.confでは、LOG_DIRがFEログの保存パスを定義します。このFEノードで実行されたすべてのデータベース操作は${LOG_DIR}/fe.audit.logに記録されます。クラスター内のすべての操作を表示するには、各FEノードの監査ログをトラバースする必要があります。
監査ログフォーマット
バージョン3.0.7より前では、ステートメント内の記号\n、\t、\rは\\n、\\t、\\rに置き換えられていました。これらの変更されたステートメントはfe.audit.logファイルとaudit_logTableに保存されていました。
バージョン3.0.7以降、fe.audit.logファイルについては、ステートメント内の\nのみが\\nに置き換えられます。audit_logTableは、ステートメントの元のフォーマットを保存します。
監査ログ設定
グローバル変数:
監査ログ変数はset [global] <var_name> = <var_value>を使用して変更できます。
| 変数 | デフォルト値 | 説明 |
|---|---|---|
audit_plugin_max_batch_interval_sec | 60秒 | 監査ログTableの最大書き込み間隔。 |
audit_plugin_max_batch_bytes | 50MB | 監査ログTableのバッチあたりの最大データ量。 |
audit_plugin_max_sql_length | 4096 | 監査ログTableに記録されるSQL文の最大長。 |
audit_plugin_load_timeout | 600秒 | 監査ログインポートジョブのデフォルトタイムアウト。 |
audit_plugin_max_insert_stmt_length | Int.MAX | INSERT文の最大長制限。audit_plugin_max_sql_lengthより大きい場合、audit_plugin_max_sql_lengthの値が使用される。このパラメータは3.0.6以降でサポート。 |
一部のINSERT INTO VALUES文は非常に長く、頻繁に送信される可能性があり、監査ログが過度に大きくなる原因となるためです。そのため、Dorisはバージョン3.0.6でaudit_plugin_max_insert_stmt_lengthを追加し、INSERT文の監査長を個別に制限できるようになりました。これにより監査ログの拡張を回避し、SQL文の完全な監査を確保します。
FE設定項目:
FE設定項目はfe.confディレクトリを編集することで変更できます。
| 設定項目 | 説明 |
|---|---|
skip_audit_user_list | 特定のユーザーの操作を監査ログに記録したくない場合、この設定を変更できます(バージョン3.0.01以降でサポート)。例えば、user1とuser2を監査ログ記録から除外する場合:skip_audit_user_list=user1,user2 |