华为云用户手册

topsql_retention_time 参数说明：设置历史TopSQL中gs_wlm_session_query_info_all和gs_wlm_operator_info表中数据 的保存时间。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：整型，0 ~ 3650，单位为天。 值为0时，表示数据永久保存。 值大于0时，表示数据能够保存的对应天数。 默认值：0

bbox_blanklist_items 参数说明：黑匣子core文件的脱敏数据选项。此参数只有当enable_bbox_dump为on时才生效。 该参数属于POSTMASTER类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：字符型，以逗号分隔的敏感数据选项的字符串。 默认值：空。表示bbox生成的core文件脱敏所有支持的敏感数据项。 目前支持脱敏的数据项： SHARED_BUFFER：buffer数据缓冲区 X LOG _BUFFER：redo日志缓冲区 DW_BUFFER：双写数据缓冲区 XLOG_MESSAGE_SEND：主备日复制日志发送缓冲区 WALRECIVER_CTL_BLOCK：主备复制日志接收缓冲区 DATA_MESSAGE_SEND：主备复制数据发送缓冲区 DATA_WRITER_QUEUE：主备复制数据接收缓冲区

bypass_workload_manager 参数说明：IO管控独立开关，此参数需在CN和DN同时应用。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 在不开启use_workload_manager的情况下，通过此参数单独的控制IO管控功能的开启。打开之后可通过设置io_limits或io_priority进行IO管控。 取值范围：布尔型 on表示打开IO管控的独立开关。 off表示关闭IO管控的独立开关。

transaction_pending_time 参数说明：当enable_transaction_parctl为on时，事务块语句和存储过程语句排队的最大时间。 该参数属于USERSET类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：整型，-1 ～ 1073741823，单位为秒。 值为-1或0：事务块语句和存储过程语句无超时判断，排队至资源满足可执行条件。 值大于0：事务块语句和存储过程语句排队超过所设数值的时间后，无视当前资源情况强制执行。 默认值：0 此参数仅对存储过程及事务块的内部语句有效，即PG_SESSION_WLMSTAT中enqueue字段显示为Transaction或StoredProc的语句才会生效。

enable_logical_io_statistics 参数说明：设置是否开启资源监控逻辑IO统计功能。开启时，对于PG_TOTAL_USER_RESOURCE_INFO视图中的read_kbytes、write_kbytes、read_counts、write_counts、read_speed和write_speed字段，会统计对应用户的逻辑读写字节数、次数以及速率；对于GS_WLM_USER_RESOURCE_HISTORY与GS_WLM_INSTANCE_HISTORY系统表中的逻辑读写相关字段，会统计相关用户、实例的逻辑读写对应值。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：布尔型 on表示开启资源监控逻辑IO统计功能。 off表示关闭资源监控逻辑IO统计功能。 默认值：on

resource_track_level 参数说明：设置当前会话的资源监控的等级。该参数只有当参数enable_resource_track为on时才有效。 该参数属于USERSET类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：枚举型 none，不开启资源监控功能。 query，开启query级别资源监控功能。 operator，开启query级别和算子级别资源监控功能。 默认值：query

disable_memory_protect 参数说明：禁止内存保护功能。当系统内存不足时如果需要查询系统视图，可以先将此参数置为on，禁止内存保护功能，保证视图可以正常查询。该参数只适用于在系统内存不足时进行系统诊断和调试，正常运行时请保持该参数配置为off。 该参数属于USERSET类型参数，且只对当前会话有效。请参考重设参数中方式三的方法进行设置。 取值范围：布尔型 on表示禁止内存保护功能。 off表示启动内存保护功能。 默认值：off

resource_track_cost 参数说明：设置对当前会话的语句进行资源监控的最小执行代价。该参数只有当参数enable_resource_track为on时才有效。 该参数属于USERSET类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：整型，-1 ～ 2147483647‬ 值为-1时，不进行资源监控。 值大于或等于0时： 值大于或等于0且小于等于9时，对执行代价大于等于10的语句进行资源监控。 值大于或等于10时，对执行代价超过该参数值的语句进行资源监控。 默认值：100000

enable_dynamic_workload 参数说明：是否开启动态负载管理功能。 该参数属于POSTMASTER类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：布尔型 on表示打开动态负载管理功能。 off表示关闭动态负载管理功能。 开启内存自适应后，不再需要使用work_mem进行算子内存使用调优，由系统根据当前负载情况，为每个语句生成计划，并估算每个算子的内存使用量和整个语句的内存使用量。系统根据负载情况和整个语句内存使用量进行队列调度，所以多并发场景会出现语句排队的情况。 由于优化器行数估算不准现象的存在，会出现语句内存使用量低估或高估的情况。低估时，执行时内存会自动扩展。高估时，会导致系统内存利用不足，排队语句增多，可能导致性能非最优。此时需要识别语句估算内存远大于实际DN峰值内存的语句，通过设置query_mem进行调优，详见SQL调优关键参数调整。 列存分区表导入会消耗较多内存资源，为性能敏感场景，故不推荐启用动态负载管理。

user_metric_retention_time 参数说明：设置用户历史资源监控数据的保存天数。该参数仅在 enable_user_metric_persistent为on时有效。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：整型，0 ～ 3650，单位为天。 ● 值等于0时，用户历史资源监控数据将永久保存。 ● 值大于0时，用户历史资源监控数据将保存对应天数。 默认值：7

enable_ffic_log 参数说明：是否开启FFIC(First Failure Info Capture)功能。此功能只对CN或DN有效，CMA、CMS、GTM、fenced UDF等仍需配置系统core机制才能捕获core文件。 该参数属于POSTMASTER类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：布尔型 on表示打开FFIC功能。 off表示关闭FFIC功能。 默认值：on

enable_user_metric_persistent 参数说明：设置是否开启用户历史资源监控转存功能。开启时，对于PG_TOTAL_USER_RESOURCE_INFO视图中数据，会定期采样保存到GS_WLM_USER_RESOURCE_HISTORY系统表中。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：布尔型 ● on表示开启用户历史资源监控转存功能。 ● off表示关闭用户历史资源监控转存功能。 默认值：on

instance_metric_retention_time 参数说明：设置实例历史资源监控数据的保存天数。该参数仅在enable_instance_metric_persistent为on时有效。 该参数属于USERSET类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：整型，0 ～3650，单位为天。 值等于0时，实例历史资源监控数据将永久保存。 值大于0时，实例历史资源监控数据将保存对应设置天数。 默认值：7

resource_track_duration 参数说明：设置资源监控实时视图中记录的语句执行结束后进行历史信息转存的最小执行时间。当执行完成的作业，其执行时间不小于此参数值时，作业信息会从实时视图（以statistics为后缀的视图）转存到相应的历史视图（以history为后缀的视图）中。该参数只有当enable_resource_track为on时才有效。 该参数属于USERSET类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：整型，0 ～ 2147483647‬，单位为秒。 值为0时，资源监控实时视图中记录的所有语句都进行历史信息归档。 值大于0时，资源监控实时视图中记录的语句的执行时间超过这个值就会进行历史信息归档。 默认值：1min

cgroup_name 参数说明：设置当前使用的Cgroups的名称或者调整当前group下排队的优先级。 即如果先设置cgroup_name，再设置session_respool，那么session_respool关联的控制组起作用，如果再切换cgroup_name，那么新切换的cgroup_name起作用。 切换cgroup_name的过程中如果指定到Workload控制组级别，数据库不对级别进行验证。级别的范围只要在1-10范围内都可以。 该参数属于USERSET类型参数，请参考重设参数中方式三的方法进行设置。 建议尽量不要混合使用cgroup_name和session_respool。 取值范围：字符串 默认值：DefaultClass:Medium DefaultClass:Medium表示DefaultClass下Timeshare控制组中的Medium控制组。

enable_vacuum_control 参数说明：是否控制数据库常驻线程autoVacuumWorker到Vacuum控制组。此参数需在CN和DN同时应用。 该参数属于POSTMASTER类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：布尔型 on表示控制数据库常驻线程autoVacuumWorker到Vacuum控制组。 off表示不控制数据库常驻线程autoVacuumWorker到Vacuum控制组。 默认值：on

max_active_statements 参数说明：设置全局的最大并发数量。此参数只应用到CN，且针对一个CN上的执行作业。 数据库管理员需根据系统资源（如CPU资源、IO资源和内存资源）情况，调整此数值大小，使得系统支持最大限度的并发作业，且防止并发执行作业过多，引起系统崩溃。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：整型，-1 ～ 2147483647‬。设置为-1和0表示对最大并发数不做限制。

memory_detail_tracking 参数说明：设置需要的线程内分配内存上下文的顺序号以及当前线程所在query的plannodeid，仅用在DEBUG版本。 该参数属于USERSET类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：字符型 默认值：Memory Context Sequent Count: -1, Plan Nodeid: -1（即空字符串，无sequent count和plan nodeid信息） 该参数不允许用户进行设置，建议保持默认值。

enable_control_group 参数说明：是否开启Cgroups功能。此参数需在CN和DN同时应用。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：布尔型 on表示打开Cgroups管理。 off表示关闭Cgroups管理。 默认值：on 当使用重设参数中的方式二来修改参数值时，新参数值只能对更改操作执行后启动的线程生效。此外，对于后台线程以及线程复用执行的新作业，该值的改动不会生效。如果希望这类线程即时识别参数变化，可以使用kill session或重启节点的方式来实现。

parctl_min_cost 参数说明：设置语句受到资源池并发控制的最小执行代价。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：整型，-1 ～ 2147483647‬ 值为-1时或者执行语句的代价小于10时，不受资源池并发控制。 值大于等于0时，当enable_dynamic_workload为off时，如果执行语句的代价大于或等于10并且超过这个参数值就会受到资源池并发控制。 默认值：100000

cpu_collect_timer 参数说明：设置语句执行时在DN上收集CPU时间的周期。 数据库管理员需根据系统资源（如CPU资源、IO资源和内存资源）情况，调整此数值大小，使得系统支持较合适的收集周期，太小会影响执行效率，太大会影响异常处理的精确度。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：整型，1 ～ 2147483647‬， 单位为秒。 默认值：30

enable_resource_record 参数说明：是否开启资源监控记录归档功能。开启时，对于history视图（GS_WLM_SESSION_HISTORY和GS_WLM_OPERATOR_HISTORY）中的记录，每隔3分钟会分别被归档到相应的info视图（GS_WLM_SESSION_INFO和GS_WLM_OPERATOR_INFO），归档后history视图中的记录会被清除。此参数需在CN和DN同时应用。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：布尔型 on表示开启资源监控记录归档功能。 off表示关闭资源监控记录归档功能。 默认值：off

use_workload_manager 参数说明：是否开启资源管理功能。此参数需在CN和DN同时应用。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：布尔型 on表示打开资源管理。 off表示关闭资源管理。 当使用重设参数中的方式二来修改参数值时，新参数值只能对更改操作执行后启动的线程生效。此外，对于后台线程以及线程复用执行的新作业，该参数值的改动不会生效。如果希望这类线程即时识别参数变化，可以使用kill session或重启节点的方式来实现。 use_workload_manager参数由off变为on状态后，不会统计off时的存储资源。如果需要统计off时用户使用的存储资源，请在数据库中执行以下命令： 1 select gs_wlm_readjust_user_space(0); 默认值：on

memory_tracking_mode 参数说明：设置记录内存信息的模式。 该参数属于USERSET类型参数，请参考重设参数中对应设置方法进行设置。 取值范围： none，不启动内存统计功能。 normal，仅做内存实时统计，不生成文件。 executor，生成统计文件，包含执行层使用过的所有已分配内存的上下文信息。 fullexec，生成文件包含执行层申请过的所有内存上下文信息。 默认值：none

cidr和inet函数 函数abbrev，host，text主要是为了提供可选的显示格式。 abbrev(inet) 描述：缩写显示格式文本。 返回类型：text 示例： 1 2 3 4 5 postgres=# SELECT abbrev(inet '10.1.0.0/16') AS RESULT; result ------------- 10.1.0.0/16 (1 row) abbrev(cidr) 描述：缩写显示格式文本。 返回类型：text 示例： 1 2 3 4 5 postgres=# SELECT abbrev(cidr '10.1.0.0/16') AS RESULT; result --------- 10.1/16 (1 row) broadcast(inet) 描述：网络广播地址。 返回类型：inet 示例： 1 2 3 4 5 postgres=# SELECT broadcast('192.168.1.5/24') AS RESULT; result ------------------ 192.168.1.255/24 (1 row) family(inet) 描述：抽取地址族，4为IPv4，6为IPv6。 返回类型：int 示例： 1 2 3 4 5 postgres=# SELECT family('::1') AS RESULT; result -------- 6 (1 row) host(inet) 描述：将主机地址类型抽出为文本。 返回类型：text 示例： 1 2 3 4 5 postgres=# SELECT host('192.168.1.5/24') AS RESULT; result ------------- 192.168.1.5 (1 row) hostmask(inet) 描述：为网络构造主机掩码。 返回类型：inet 示例： 1 2 3 4 5 postgres=# SELECT hostmask('192.168.23.20/30') AS RESULT; result --------- 0.0.0.3 (1 row) masklen(inet) 描述：抽取子网掩码长度。 返回类型：int 示例： 1 2 3 4 5 postgres=# SELECT masklen('192.168.1.5/24') AS RESULT; result -------- 24 (1 row) netmask(inet) 描述：为网络构造子网掩码。 返回类型：inet 示例： 1 2 3 4 5 postgres=# SELECT netmask('192.168.1.5/24') AS RESULT; result --------------- 255.255.255.0 (1 row) network(inet) 描述：抽取地址的网络部分。 返回类型：cidr 示例： 1 2 3 4 5 postgres=# SELECT network('192.168.1.5/24') AS RESULT; result ---------------- 192.168.1.0/24 (1 row) set_masklen(inet, int) 描述：为inet数值设置子网掩码长度。 返回类型：inet 示例： 1 2 3 4 5 postgres=# SELECT set_masklen('192.168.1.5/24', 16) AS RESULT; result ---------------- 192.168.1.5/16 (1 row) set_masklen(cidr, int) 描述：为cidr数值设置子网掩码长度。 返回类型：cidr 示例： 1 2 3 4 5 postgres=# SELECT set_masklen('192.168.1.0/24'::cidr, 16) AS RESULT; result ---------------- 192.168.0.0/16 (1 row) text(inet) 描述：把IP地址和掩码长度抽取为文本。 返回类型：text 示例： 1 2 3 4 5 postgres=# SELECT text(inet '192.168.1.5') AS RESULT; result ---------------- 192.168.1.5/32 (1 row)

参数 表1 SQLAllocHandle参数 关键字 参数说明 HandleType 由SQLAllocHandle分配的句柄类型。必须为下列值之一： SQL_HANDLE_ENV（环境句柄） SQL_HANDLE_DBC（连接句柄） SQL_HANDLE_STMT（语句句柄） SQL_HANDLE_DESC（描述句柄） 申请句柄顺序为，先申请环境句柄，再申请连接句柄，最后申请语句句柄，后申请的句柄都要依赖它前面申请的句柄。 InputHandle 将要分配的新句柄的类型。 如果HandleType为SQL_HANDLE_ENV，则这个值为SQL_NULL_HANDLE。 如果HandleType为SQL_HANDLE_DBC，则这一定是一个环境句柄。 如果HandleType为SQL_HANDLE_STMT或SQL_HANDLE_DESC，则它一定是一个连接句柄。 OutputHandlePtr 输出参数：一个缓冲区的指针，此缓冲区以新分配的数据结构存放返回的句柄。

注意事项 当分配的句柄并非环境句柄时，如果SQLAllocHandle返回的值为SQL_ERROR，则它会将OutputHandlePtr的值设置为SQL_NULL_HDBC、SQL_NULL_HSTMT或SQL_NULL_HDESC。之后，通过调用带有适当参数的SQLGetDiagRec，其中HandleType和Handle被设置为IntputHandle的值，可得到相关的SQLSTATE值，通过SQLSTATE值可以查出调用此函数的具体信息。

参数说明 name 要创建的词典的名称（可指定模式名，否则在当前模式下创建）。 取值范围：符合标识符命名规范的字符串，且最大长度不超过63个字符。 template 模板名。 取值范围：系统表PG_TS_TEMPLATE中定义的模板：Simple/Synonym/Thesaurus/Ispell/Snowball。 option 参数名。与template值对应，不同的词典模板具有不同的参数列表，且与指定顺序无关。 Simple词典对应的option STOPWORDS 停用词表文件名，默认后缀名为stop。停用词文件格式为一组word列表，每行定义一个停用词。词典处理时，文件中的空行和空格会被忽略，并将stopword词组转换为小写形式。 ACCEPT 是否将非停用词设置为已识别。默认值为true。 当Simple词典设置参数ACCEPT=true时，将不会传递任何token给后继词典，此时建议将其放置在词典列表的最后。反之，当ACCEPT=false时，建议将该Simple词典放置在列表中的至少一个词典之前。 FILEPATH 词典文件所在目录。目录可以指定为本地目录和OBS目录（只能在安全模式下指定OBS目录，通过启动时添加securitymode选项进入安全模式）。其中，本地目录格式为"file://absolute_path"，OBS目录格式为"obs://bucket_name/path accesskey=ak secretkey=sk region=rg"。默认值为预定义词典文件所在目录。FILEPATH参数必须和STOPWORDS参数同时指定，不允许单独指定。 Synonym词典对应的option SYNONYM 同义词词典的定义文件名，默认后缀名为syn。 文件格式为一组同义词列表，每行格式为"token synonym"，即token和其对应的synonym，中间以空格相连。 CASESENSITIVE 设置是否大小写敏感，默认值为false，此时词典文件中的token和synonym均会转为小写形式处理。如果设置为true，则不会进行小写转换。 FILEPATH 同义词词典文件所在目录。目录可以指定为本地目录和OBS目录两种形式（只能在安全模式下指定OBS目录，通过启动时添加securitymode选项进入安全模式）。其中，本地目录格式为"file://absolute_path"，OBS目录格式为"obs://bucket_name/path accesskey=ak secretkey=sk region=rg"。默认值为预定义词典文件所在目录。 Thesaurus词典对应的option DICTFILE 词典定义文件名，默认后缀名为ths。 文件格式为一组同义词列表，每行格式为"sample words : indexed words"，中间冒号（:）作为短语和其替换词间的分隔符。TZ词典处理时，如果有多个匹配的sample words，将选择最长匹配输出。 DICTIONARY 用于词规范化的子词典名，必须且仅能定义一个。该词典必须是已经存在的，在检查短语匹配之前使用，用于识别和规范输入文本。 如果子词典无法识别输入词，将会报错。此时，需要移除该词或者更新子词典使其识别。此外，可在indexed words的开头放上一个星号（*）来跳过在其上应用子词典，但是所有sample words必须可以被子词典识别。 如果词典文件定义的sample words中，含有子词典中定义的停用词，需要用问号（？）替代停用词。假设a和the是子词典中所定义的停用词，如下： ? one ? two : swsw 上述同义词组定义会匹配"a one the two"以及"the one a two"，这两个短语均会被swsw替代输出。 FILEPATH 词典定义文件所在目录。目录可以指定为本地目录和OBS目录两种形式（只能在安全模式下指定OBS目录，通过启动时添加securitymode选项进入安全模式）。其中，本地目录格式为"file://absolute_path"，OBS目录格式为"obs://bucket_name/path accesskey=ak secretkey=sk region=rg"。默认值为预定义词典文件所在目录。 Ispell词典 DICTFILE 词典定义文件名，默认后缀名为dict。 AFFFILE 词缀文件名，默认后缀名为affix。 STOPWORDS 停用词文件名，默认后缀名为stop，文件格式要求与Simple类型词典的停用词文件相同。 FILEPATH 词典文件所在目录。可以指定为本地目录和OBS目录两种形式（只能在安全模式下指定OBS目录，通过启动时添加securitymode选项进入安全模式）。其中，本地目录格式为"file://absolute_path"，OBS目录格式为"obs://bucket_name/path accesskey=ak secretkey=sk region=rg"。默认值为预定义词典文件所在目录。 Snowball词典 LANGUAGE 语言名，标识使用哪种语言的词干分析算法。算法按照对应语言中的拼写规则，缩减输入词的常见变体形式为一个基础词或词干。 STOPWORDS 停用词表文件名，默认后缀名为stop，文件格式要求与Simple类型词典的停用词文件相同。 FILEPATH 词典定义文件所在目录。可以指定为本地目录或者OBS目录（只能在安全模式下指定OBS目录，通过启动时添加securitymode选项进入安全模式）。其中，本地目录格式为"file://absolute_path"，OBS目录格式为"obs://bucket_name/path accesskey=ak secretkey=sk region=rg"。默认值为预定义词典文件所在目录。FILEPATH参数必须和STOPWORDS参数同时指定，不允许单独指定。 词典定义文件的文件名仅支持小写字母、数据、下划线混合。 value 参数值。如果不是简单的标识符或数字，则参数值必须加单引号（标示符和数字同样可以加上单引号）。

操作步骤 连接数据库。 检查审计总开关状态。 用show命令显示审计总开关audit_enabled的值。 1 postgres=# SHOW audit_enabled; on表示开启审计，off表示关闭审计。 配置具体的审计项。 只有开启审计功能，用户的操作才会被记录到审计文件中。 各审计项的默认参数都符合安全标准，用户可以根据需要开启其他审计功能，但会对性能有一定影响。 可以参考用户指南修改audit_system_object的参数值，其中audit_system_object代表审计项开关，12295为该审计开关的值。不当修改该参数会导致丢失DDL审计日志，请在客服人员指导下进行修改。

背景信息 数据库安全对数据库系统来说至关重要。 GaussDB 将用户对数据库的所有操作写入审计日志。数据库安全管理员可以利用这些日志信息，重现导致数据库现状的一系列事件，找出非法操作的用户、时间和内容等。 关于审计功能，用户需要了解以下几点内容： 审计总开关audit_enabled支持动态加载。在数据库运行期间修改该配置项的值会立即生效，无需重启数据库。默认值为on，表示开启审计功能。 除了审计总开关，各个审计项也有对应的开关。只有开关开启，对应的审计功能才能生效。 各审计项的开关支持动态加载。在数据库运行期间修改审计开关的值，不需要重启数据库便可生效。 目前，GaussDB支持以下审计项如表1所示，详细说明请参见链接中GUC参数说明章节的具体参数。 表1 配置审计 项 配置项 描述 用户登录、注销审计 参数：audit_login_logout 默认值为7，表示开启用户登录、退出的审计功能。设置为0表示关闭用户登录、退出的审计功能。不推荐设置除0和7之外的值。 数据库启动、停止、恢复和切换审计 参数：audit_database_process 默认值为1，表示开启数据库启动、停止、恢复和切换的审计功能。 用户锁定和解锁审计 参数：audit_user_locked 默认值为1，表示开启审计用户锁定和解锁功能。 用户访问越权审计 参数：audit_user_violation 默认值为0，表示关闭用户越权操作审计功能。 授权和回收权限审计 参数：audit_grant_revoke 默认值为1，表示开启审计用户权限授予和回收功能。 数据库对象的CREATE，ALTER，DROP操作审计 参数：audit_system_object 默认值为12295，表示只对DATABASE、SCHEMA、USER、DATA SOURCE、NODE GROUP这五类数据库对象的CREATE、ALTER、DROP操作进行审计。 具体表的INSERT、UPDATE和DELETE操作审计 参数：audit_dml_state 默认值为0，表示关闭具体表的DML操作（SELECT除外）审计功能。 SELECT操作审计 参数：audit_dml_state_select 默认值为0，表示关闭SELECT操作审计功能。 COPY审计 参数：audit_copy_exec 默认值为1，表示打开copy操作审计功能。 存储过程和自定义函数的执行审计 参数：audit_function_exec 默认值为0，表示不记录存储过程和自定义函数的执行审计日志。 SET审计 参数：audit_set_parameter 默认值为1，表示记录set操作审计日志 安全相关参数及默认值请参见表2。 表2 安全相关参数及默认值 参数名 默认值 说明 ssl on 指定是否启用SSL连接。 require_ssl off 指定服务器端是否强制要求SSL连接。 ssl_ciphers ALL 指定SSL支持的加密算法列表。 ssl_cert_file server.crt 指定包含SSL服务器证书的文件的名称。 ssl_key_file server.key 指定包含SSL私钥的文件名称。 ssl_ca_file cacert.pem 指定包含CA信息的文件的名称。 ssl_crl_file NULL 指定包含CRL信息的文件的名称。 ssl_cert_notify_time 90 SSL服务器证书到期前提醒的天数。 password_policy 1 指定是否进行密码复杂度检查。 password_reuse_time 0 指定是否对新密码进行可重用天数检查。 password_reuse_max 0 指定是否对新密码进行可重用次数检查。 password_lock_time 1 指定帐户被锁定后自动解锁的时间。 failed_login_attempts 10 如果输入密码错误的次数达到此参数值时，当前帐户被锁定。 password_encryption_type 2 指定采用何种加密方式对用户密码进行加密存储。 password_min_uppercase 0 密码中至少需要包含大写字母的个数。 password_min_lowercase 0 密码中至少需要包含小写字母的个数。 password_min_digital 0 密码中至少需要包含数字的个数。 password_min_special 0 密码中至少需要包含特殊字符的个数。 password_min_length 8 密码的最小长度。 说明： 在设置此参数时，请将其设置成不大于password_max_length，否则进行涉及密码的操作会一直出现密码长度错误的提示 password_max_length 32 密码的最大长度。 说明： 在设置此参数时，请将其设置成不小于password_min_length，否则进行涉及密码的操作会一直出现密码长度错误的提示。 password_effect_time 90 密码的有效期限。 password_notify_time 7 密码到期提醒的天数。 audit_enabled on 控制审计进程的开启和关闭。 audit_directory pg_audit 审计文件的存储目录。 audit_data_format binary 审计日志文件的格式，当前仅支持二进制格式（binary）。 audit_rotation_interval 1d 指定创建一个新审计日志文件的时间间隔。当现在的时间减去上次创建一个审计日志的时间超过了此参数值时，服务器将生成一个新的审计日志文件。 audit_rotation_size 10MB 指定审计日志文件的最大容量。当审计日志消息的总量超过此参数值时，服务器将生成一个新的审计日志文件。 audit_resource_policy on 控制审计日志的保存策略，以空间还是时间限制为优先策略，on表示以空间为优先策略。 audit_file_remain_time 90 表示需记录审计日志的最短时间要求，该参数在audit_resource_policy为off时生效。 audit_space_limit 1GB 审计文件占用磁盘空间的最大值。 audit_file_remain_threshold 1048576 审计目录下审计文件的最大数量。 audit_login_logout 7 指定是否审计数据库用户的登录（包括登录成功和登录失败）、注销。 audit_database_process 1 指定是否审计数据库启动、停止、切换和恢复的操作。 audit_user_locked 1 指定是否审计数据库用户的锁定和解锁。 audit_user_violation 0 指定是否审计数据库用户的越权访问操作。 audit_grant_revoke 1 指定是否审计数据库用户权限授予和回收的操作。 audit_system_object 12295 指定是否审计数据库对象的CREATE、DROP、ALTER操作。 audit_dml_state 0 指定是否审计具体表的INSERT、UPDATE、DELETE操作。 audit_dml_state_select 0 指定是否审计SELECT操作。 audit_copy_exec 1 指定是否审计COPY操作。 audit_function_exec 0 指定在执行存储过程、匿名块或自定义函数（不包括系统自带函数）时是否记录审计信息。 audit_set_parameter 1 指定是否审计SET操作。 enableSeparationOfDuty off 指定是否开启三权分立。 session_timeout 10min 建立连接会话后，如果超过此参数的设置时间，则会自动断开连接。 auth_iteration_count 10000 认证加密信息生成过程中使用的迭代次数。