存档和清除在线审计数据 (数据表)
为了存档在线审计数据,审计子系统的数据表实现提供了 ArchiveAuditHistory 服务。此服务可手动运行,且应定期运行。可借助 CRON 表达式配置要运行的 AuditArchiveScheduler 事物。CRON 表达式可灵活设置间隔。
ArchiveAuditHistory 服务可将在线审计数据复制到 AuditArchiveFileRepository 内的离线存档 zip 文件。对于数据表实现,审计数据存储在信息库的 AuditArchive 目录中。
数据表实现的存档操作考虑了审计子系统的两个参数,从而确定需要存档的时间:
• “在线审计数据的保留天数”可控制审计数据保持在线状态的时间。此参数指定在线数据应在在线存储中保留的天数。默认天数为 60 天。如果保留此默认值,则所有早于 60 天的数据都将根据计划程序自动存档到离线存储并从在线存储中删除。
• maxEntriesOnlineAuditData 可控制在线数据被存档到离线存储前审计表所能容纳的最大行数。此参数的默认值为 500000 行。
将审计条目复制到离线存储后,它于在线存储内保留的天数由审计子系统“在线审计数据的保留天数”属性的配置决定。如果您为存档操作配置了计划程序,则它会根据计划自动运行。如果手动运行,则存档服务将采用一个名为 olderThanDate 的日期参数,用于指定将在线存储中的审计条目存档到已配置审计文件信息库中的文件的最早日期。
如果将 AuditArchiveScheduler 配置为于每日的特定时间触发存档进程,则无论上一次运行的结果如何,审计存档进程每天都会启动。无需重新启动 Tomcat 即可确保进程在失败后于第二天正常运行。如果当天的存档进程未在下次计划开始时间之前完成,则系统不会停止仍在运行的任何执行。相反,系统会等待先前的执行完成,然后再启动另一个执行。
存档操作不会从在线数据存储中删除任何审计消息。它只是将其复制到离线数据存储。要删除在线审计消息,需使用清除操作。
清除操作
要从在线存储中删除审计消息,请使用 PurgeAuditData 服务。启用后,AuditPurgeScheduler 可控制此服务删除审计数据的时间。此服务可删除早于为审计子系统 Number of days of online audit data to maintain 参数所指定天数的条目。当审计表格大小超出为子系统 maxEntriesOnlineAuditData 参数指定的最大行数时,清除操作还会删除该审计表格中的条目。
清除操作将仅删除已存档的数据。如果该操作发现要删除的某些审计消息之前并未存档,则它会首先将其存档,然后在将它们删除。
 |
切勿禁用清除计划程序。这样做可防止系统定期将在线审计数据复制到离线信息库,然后将其删除。任由在线数据大量累积而不定期执行清除操作最终可能会导致平台瘫痪。
|