审计清单概述

• 审计目标：对 PostgreSQL 数据库进行标准深度审计，重点评估访问控制、日志审计与数据完整性，识别高风险配置与潜在合规缺口，提出可执行的整改方向。
• 适用范围：适用于 PostgreSQL 10 及以上版本的单实例或主从集群环境，适配生产与准生产环境；不涉及变更执行，仅提供只读检查方法与评估标准。
• 角色与权限：建议审计账户具备最小必要只读权限，例如授予 pg_read_all_settings、pg_monitor 角色，并具备读取数据库系统视图与配置文件路径信息的能力。

检查维度分类

• 访问控制（Authentication/Authorization）
  • 身份认证方式、传输加密、网络访问控制（pg_hba.conf）
  • 角色与权限最小化、超管与继承链、默认权限与公共 schema
  • 安全敏感对象（SECURITY DEFINER 函数、RLS 策略）
• 日志审计（Logging/Auditing）
  • 基础日志配置、审计扩展（如 pgaudit）使用、日志完整性与可追溯性
  • 日志留存与集中化、时间同步与时间戳
• 数据完整性（Data Integrity）
  • 约束完备性（PK/FK/UNIQUE/CHECK/NOT NULL）、约束与触发器状态
  • 事务与持久性安全（fsync/full_page_writes、UNLOGGED 表、数据校验）
  • 索引有效性与序列一致性

详细检查项

一、访问控制

1. 身份认证方法与网络访问控制（pg_hba.conf）

• 优先级：关键
• 检查内容：远程连接认证方法、地址范围、是否使用明文或不安全方法、是否限制到最小需要范围。
• 检查方法：
  • SHOW hba_file;（定位配置文件路径，人工审阅 pg_hba.conf）
  • 重点关注是否存在 host all all 0.0.0.0/0 trust 或 password（明文）等条目；核对是否按最小网段授权。
• 评估标准：
  • 不允许 trust（除本机维护场景且有额外防护）、不允许 password（明文）。
  • 远程建议使用 scram-sha-256、GSS/Kerberos、LDAP/SSPI 等安全方法。
  • 地址范围按最小授权原则，不使用 0.0.0.0/0 或 ::/0（除非有前置零信任/网关强控制且有书面豁免）。

2. 传输加密（SSL/TLS）

• 优先级：关键
• 检查内容：是否启用 SSL，协议与证书配置是否符合基线。
• 检查方法：
  • SHOW ssl; SHOW ssl_cert_file; SHOW ssl_key_file; SHOW ssl_ca_file;
  • 如版本支持：SHOW ssl_min_protocol_version; SHOW ssl_ciphers;
• 评估标准：
  • 生产环境应启用 SSL（ssl=on），证书有效且受信链完整，密钥受控。
  • 协议与套件遵循组织加密基线（禁用过时协议与弱套件）。

3. 密码存储与复杂度

• 优先级：关键
• 检查内容：密码哈希算法与复杂度策略。
• 检查方法：
  • SHOW password_encryption;（确认是否支持并使用 SCRAM）
  • 是否采用 OS/目录服务（PAM/LDAP/Kerberos）强制复杂度策略；是否启用 passwordcheck 插件（如使用本地密码策略）。
• 评估标准：
  • 优先使用 SCRAM（版本支持且客户端兼容时），避免 MD5 的新建账户。
  • 有明确的复杂度与轮换策略（组织层面或外部认证系统实现）。

4. 超级用户与敏感权限审计

• 优先级：关键
• 检查内容：超管数量、可登录超管、继承链中隐性高权、REPLICATION/BYPASSRLS 等敏感标志。
• 检查方法（示例 SQL）：
  • SELECT rolname FROM pg_roles WHERE rolsuper;
  • SELECT rolname FROM pg_roles WHERE rolcanlogin AND rolsuper;
  • SELECT pg_get_userbyid(roleid) AS role, pg_get_userbyid(member) AS member, admin_option FROM pg_auth_members;
• 评估标准：
  • 超管最小化，避免应用账户拥有超管或复制权限；高权角色有专用用途与审批记录。

5. 可登录角色生命周期与有效期

• 优先级：一般
• 检查内容：可登录角色是否设置有效期与禁用闲置账号。
• 检查方法（示例 SQL）：
  • SELECT rolname, rolcanlogin, rolvaliduntil FROM pg_roles WHERE rolcanlogin;
• 评估标准：
  • 重要账户设置有效期或配合外部目录策略；停用不再使用的登录账户。

6. PUBLIC 与默认权限（默认开放面）

• 优先级：关键
• 检查内容：public schema 可写、对象默认授权、搜索路径风险。
• 检查方法（示例 SQL）：
  • SELECT nspname, nspacl FROM pg_namespace WHERE nspname='public';
  • SELECT * FROM pg_default_acl;
  • SELECT rolname, rolconfig FROM pg_roles WHERE rolconfig IS NOT NULL;（检查 search_path 配置）
• 评估标准：
  • 不允许 PUBLIC 在可写 schema（含 public）上保留 CREATE 权限。
  • 默认权限应按最小授权设计；search_path 不应将可写 schema 置于系统 schema（pg_catalog）之前。

7. 对象所有权与分离

• 优先级：一般
• 检查内容：业务对象是否由应用角色拥有，避免由超管或个人账户持有。
• 检查方法（示例 SQL）：
  • SELECT n.nspname, c.relname, pg_get_userbyid(c.relowner) AS owner FROM pg_class c JOIN pg_namespace n ON n.oid=c.relnamespace WHERE n.nspname NOT IN ('pg_catalog','information_schema') AND c.relkind IN ('r','p','v','m','S','f','i');
• 评估标准：
  • 对象所有权清晰且与应用角色绑定；避免个人账户或超管拥有生产对象。

8. SECURITY DEFINER 函数安全

• 优先级：关键
• 检查内容：以提权方式运行的函数与 search_path 固化。
• 检查方法（示例 SQL）：
  • SELECT n.nspname, p.proname, pg_get_userbyid(p.proowner) AS owner, p.prosecdef, p.proconfig FROM pg_proc p JOIN pg_namespace n ON n.oid=p.pronamespace WHERE p.prosecdef;
• 评估标准：
  • SECURITY DEFINER 函数应最小化使用，且固定安全的 search_path（通过函数自身或环境配置明确设定），并限制可调用主体。

9. 行级安全（RLS）

• 优先级：关键（多租户/跨部门共库强制）
• 检查内容：敏感或多租户数据表是否启用 RLS，并配置策略。
• 检查方法（示例 SQL）：
  • SELECT n.nspname, c.relname, c.relrowsecurity, c.relforcerowsecurity FROM pg_class c JOIN pg_namespace n ON n.oid=c.relnamespace WHERE c.relkind='r';
• 评估标准：
  • 对跨租户或高敏感表启用 RLS，并有明确策略与强制（relforcerowsecurity）配置。

二、日志审计

10. 日志采集基础配置

• 优先级：关键
• 检查内容：日志输出、收集器与格式。
• 检查方法：
  • SHOW log_destination; SHOW logging_collector; SHOW log_directory; SHOW log_filename;
  • SHOW log_line_prefix; SHOW log_timezone;
• 评估标准：
  • 启用 logging_collector；日志以便于解析与集中化（csvlog 或 syslog 等）。
  • log_line_prefix 应包含时间戳、用户、数据库、客户端地址、进程/会话标识、应用名等要素，确保可追溯。

11. 审计粒度与语句记录

• 优先级：关键
• 检查内容：DDL/安全相关操作是否被记录；业务语句审计策略。
• 检查方法：
  • SHOW log_statement;（建议至少记录 DDL）
  • SHOW log_min_duration_statement;（用于慢语句留痕）
• 评估标准：
  • 至少记录 DDL 与安全/权限变更；慢语句阈值根据基线设置以便分析。

12. 连接与异常事件日志

• 优先级：一般
• 检查内容：连接、断开、死锁、锁等待等事件记录。
• 检查方法：
  • SHOW log_connections; SHOW log_disconnections; SHOW log_lock_waits; SHOW deadlock_timeout;
  • SHOW log_error_verbosity;
• 评估标准：
  • 连接/断开与重要错误、锁等待、死锁事件应记录，便于排查可疑行为。

13. 审计扩展（如 pgaudit）使用情况

• 优先级：关键（有合规/审计要求时）
• 检查内容：是否启用并配置审计扩展，覆盖 DDL、DCL、SELECT/INSERT/UPDATE/DELETE 等必要范围。
• 检查方法：
  • SHOW shared_preload_libraries;（检查是否包含 pgaudit 等审计扩展）
  • 如已安装：SHOW pgaudit.log; SHOW pgaudit.log_catalog; SHOW pgaudit.role;
• 评估标准：
  • 满足组织/法规对审计范围、粒度与留存的要求；避免记录敏感明文字段值的过度日志化（遵循最小必要与脱敏策略）。

14. 日志轮转与留存

• 优先级：一般
• 检查内容：日志轮转策略与留存周期；集中化与防篡改。
• 检查方法：
  • SHOW log_rotation_age; SHOW log_rotation_size; SHOW log_truncate_on_rotation;
  • 确认是否转发至集中日志平台/SIEM（通过运维流程与系统设计文档核对）。
• 评估标准：
  • 轮转合理避免单文件过大；留存周期符合合规要求；集中化与访问控制完善，有篡改防护与审计追踪。

15. 时间与时区一致性

• 优先级：一般
• 检查内容：数据库时间戳与集中日志、操作系统时间同步一致。
• 检查方法：
  • SHOW TimeZone; SHOW log_timezone;（核对组织时间基线，通常建议统一为 UTC）
  • 确认宿主机/容器时间同步服务（NTP/Chrony）状态（通过运维文档与平台监控核对）。
• 评估标准：
  • 时区与时间同步统一，保证跨系统事件可对齐与溯源。

三、数据完整性

16. 事务持久性与 WAL 安全

• 优先级：关键
• 检查内容：关键持久化参数。
• 检查方法：
  • SHOW fsync; SHOW full_page_writes; SHOW synchronous_commit;
  • SHOW wal_level;（验证满足业务与审计/备份策略要求）
• 评估标准：
  • 生产环境应启用 fsync 与 full_page_writes。
  • synchronous_commit 根据业务一致性要求评估（强一致业务不建议关闭）。

17. 数据校验与页校验（Checksums）

• 优先级：关键
• 检查内容：数据页校验是否启用，是否有补充校验措施。
• 检查方法：
  • SHOW data_checksums;
• 评估标准：
  • 启用 data_checksums 可提升早期损坏发现能力；如未启用，需有替代性巡检和备份校验措施。

18. 约束完备性（主键/外键/唯一/检查/非空）

• 优先级：关键
• 检查内容：核心表是否具备必要约束；是否存在未验证约束。
• 检查方法（示例 SQL）：
  • SELECT conrelid::regclass AS table, contype, conname, convalidated FROM pg_constraint WHERE conrelid::regclass::text !~ '^(pg_|information_schema.)';
• 评估标准：
  • 关键业务表应具备合理的 PK、FK、UNIQUE、NOT NULL、CHECK；
  • 不应长期存在未验证（convalidated=false）的约束。

19. 触发器与 RI 依赖状态

• 优先级：关键
• 检查内容：是否存在被禁用触发器，导致完整性策略失效。
• 检查方法（示例 SQL）：
  • SELECT n.nspname, c.relname, t.tgname, t.tgenabled FROM pg_trigger t JOIN pg_class c ON c.oid=t.tgrelid JOIN pg_namespace n ON n.oid=c.relnamespace WHERE n.nspname NOT IN ('pg_catalog','information_schema') AND t.tgenabled <> 'O';
• 评估标准：
  • 生产不应存在被禁用的业务触发器；如有，应有临时性豁免与时限。

20. UNLOGGED 表使用

• 优先级：关键
• 检查内容：是否使用 UNLOGGED 表（崩溃后数据不持久）。
• 检查方法（示例 SQL）：
  • SELECT n.nspname, c.relname FROM pg_class c JOIN pg_namespace n ON n.oid=c.relnamespace WHERE c.relkind='r' AND c.relpersistence='u';
• 评估标准：
  • 谨慎使用，仅限可丢失或可重建数据，且有明确文档与所有者确认。

21. 索引有效性与一致性

• 优先级：一般
• 检查内容：无效/待重建索引、潜在损坏迹象。
• 检查方法（示例 SQL）：
  • SELECT n.nspname, c.relname FROM pg_index i JOIN pg_class c ON c.oid=i.indexrelid JOIN pg_namespace n ON n.oid=c.relnamespace WHERE NOT i.indisvalid;
  • 可选（业务低峰执行）：使用 amcheck 对 B-Tree 索引做只读一致性检查（需扩展已安装）。
• 评估标准：
  • 不应存在长期无效索引；周期性进行一致性巡检并记录。

22. 序列与主键对齐

• 优先级：一般
• 检查内容：自增序列是否与实际最大值对齐；是否存在无主表依赖的“孤儿”序列。
• 检查方法（示例思路）：
  • 抽样比对：SELECT max(id) 与 currval/last_value；检查 pg_depend 上序列与列的依赖关系（deptype='a'）。
• 评估标准：
  • 序列应被所属列拥有并保持增长方向正确，不影响新插入的唯一性。

23. 逻辑引用完整性抽样

• 优先级：一般
• 检查内容：在无 FK 的业务关系中抽样检测“孤儿记录”。
• 检查方法：
  • 与业务确认关键引用关系，抽样 LEFT JOIN 统计异常计数（只读、限流执行）。
• 评估标准：
  • 关键业务路径应尽可能通过 FK 强化；对历史原因未建 FK 的场景建立定期巡检机制。

优先级标识汇总

• 关键检查项（高优先级）：1, 2, 3, 4, 6, 8, 9, 10, 11, 16, 17, 18, 19, 20
• 一般检查项（常规优先级）：5, 7, 12, 13, 14, 15, 21, 22, 23
• 注：若行业/法规有更严格要求（如金融、政务），与合规基线冲突时应以更高标准执行。

实施建议

• 执行准备

  • 使用只读审计账号，授予 pg_read_all_settings、pg_monitor，避免使用超级用户。
  • 通过 psql 或等价工具，在业务低峰执行检查，采集 SHOW/SELECT 输出留档。
  • 获取运维文档与变更记录，交叉验证（认证架构、日志平台、备份/恢复与灾备策略等）。

• 检查与取证

  • 配置类检查：以 SHOW 定位文件与参数，再进行人工审阅（例如 pg_hba.conf、SSL 证书链），必要时与平台安全团队核对外部控制措施。
  • 数据一致性类检查：严格控制采样范围，避免全表扫描对生产造成影响；amcheck 等只读工具建议在低峰/从库执行。

• 结果评估与整改路径

  • 对“关键检查项”发现的问题，纳入优先整改清单，设定负责人与截止时间。
  • 整改方案需走变更流程与风险评估，在维护窗口执行并回归验证；涉及认证方式、加密或日志粒度调整的变更，提前开展兼容性验证与容量评估。
  • 对无法立即整改的项，建立临时性补偿控制（如网络层 ACL、额外日志取证、运行限制）并设定复审周期。

• 持续改进

  • 将本清单纳入季度/半年度审计例行项；重大版本升级或架构变更后进行专项复审。
  • 结合组织合规要求（如最小权限、日志留存周期、加密基线）定期更新基线与审计脚本。

审计清单概述

• 审计目标：对 MongoDB 进行全面审计，重点验证和改进性能优化、容量规划、高可用性、备份恢复和数据完整性，确保系统稳定、可扩展、可恢复，并满足业务连续性要求。
• 适用范围：适用于自建或托管的 MongoDB 副本集与分片集群（各版本均可，建议针对当前生产版本调整具体阈值与方法）。
• 方法原则：仅使用只读检查方法与配置审阅；变更建议须在测试环境验证并走变更流程；所有标准基于通用行业最佳实践。

检查维度分类

• 性能优化：查询与索引、资源利用、存储引擎、连接与并发、聚合与排序
• 容量规划：数据与索引增长、工作集与内存匹配、磁盘与IO、分片与分布、Oplog 窗口
• 高可用性：副本集与分片拓扑、选举与故障域、复制与延迟、监控与报警、变更与升级策略
• 备份恢复：策略与覆盖范围、备份一致性与加密、恢复演练与验证、RPO/RTO、备份监控
• 数据完整性：写入与读取一致性、事务与跨文档一致性、模式验证与约束、数据校验与逻辑一致性

详细检查项

一、性能优化

1. 索引适配度与查询形态 [关键]

• 检查内容：索引是否覆盖主要查询；是否存在频繁的集合扫描、排序回退或低选择性扫描。
• 方法：审阅慢查询日志/数据库 profiler（system.profile），对核心查询使用 explain("executionStats")，统计 nReturned/nExamined、索引命中率、是否出现 COLLSCAN、SORT、FETCH 过多。
• 标准：核心 OLTP 查询应避免 COLLSCAN；排序应尽量使用索引；nReturned/nExamined 比例长期低于合理阈值（例如 <0.1）需优化；同一集合不应存在大量冗余或冲突索引。

2. 工作集与内存匹配（WiredTiger 缓存压力）[关键]

• 检查内容：热数据/索引是否能被缓存有效命中；缓存脏数据与逐出（eviction）是否异常。
• 方法：审阅 serverStatus 中 wiredTiger.cache 指标（缓存使用率、dirty %、evictions）、页读取与命中率；结合 collStats/dbStats 评估工作集大小与索引大小。
• 标准：持续高缓存占用伴随高逐出与读取放大需关注；热路径数据与索引不应长期显著超出内存导致频繁 IO。

3. 写入路径与锁/队列健康度 [关键]

• 检查内容：写队列、票据（tickets）饱和、锁争用、提交延迟。
• 方法：审阅 serverStatus 中并发与队列指标（例如 concurrent transactions、tickets）、opCounters 写入速率、日志中慢写警示。
• 标准：不应出现持续写队列积压或票据耗尽；写提交延迟无持续异常峰值；锁争用应在可接受范围。

4. 聚合、排序与管线资源消耗 [一般]

• 检查内容：聚合是否频繁溢出到磁盘；排序是否可通过索引优化；窗口函数资源使用。
• 方法：使用 explain 关注 SORT、GROUP、LOOKUP 阶段的内存与磁盘使用；审阅 allowDiskUse 依赖频率。
• 标准：高频聚合/排序尽量使用索引或优化管线；长期依赖磁盘溢出提示需要索引或管线重构。

5. 连接池与并发设置审查 [一般]

• 检查内容：客户端连接池大小、超时、心跳与重试策略。
• 方法：审阅应用侧连接配置与服务器端连接指标（connections.current、available）。
• 标准：连接不应频繁耗尽或长时间闲置占用；重试可幂等并避免雪崩。

6. 文档与模式设计对性能的影响 [一般]

• 检查内容：嵌入 vs 引用策略、数组膨胀、热点字段更新模式。
• 方法：抽样评估核心集合文档结构、字段增长、更新热点；观察更新修改比例。
• 标准：文档增长不应导致频繁移动或过度碎片；嵌入/引用应与访问路径匹配。

二、容量规划

1. 数据与索引增长模型 [关键]

• 检查内容：过去与预期 6–12 个月的数据与索引增长率与峰值。
• 方法：基于 dbStats/collStats 历史数据或监控平台趋势；分业务域建模（每日写入量、保留策略）。
• 标准：至少预留 30–50% 容量冗余；索引增长与数据增长匹配，不出现单集合/索引异常膨胀。

2. 工作集大小与内存规划 [关键]

• 检查内容：热数据、索引与可用内存匹配度。
• 方法：统计最常访问集合大小与索引大小；对热点集合进行访问分布分析。
• 标准：关键工作集应在可用内存内获得良好命中；必要时规划扩容或冷热分层。

3. 磁盘吞吐与延迟余量 [一般]

• 检查内容：读写吞吐、IO 延迟与峰值余量。
• 方法：审阅系统与 MongoDB IO 指标（队列长度、读写延迟）、检查压缩与存储格式。
• 标准：高峰期 IO 延迟稳定在目标范围内；具备足够突发吞吐冗余。

4. 分片与数据分布（如使用分片集群）[关键]

• 检查内容：分片键选择、分布均衡、热点与迁移负载。
• 方法：审阅 chunk 分布、迁移日志、zone/tag 策略与热点集合访问模式。
• 标准：chunk 分布均衡且无单片热点；分片键具有良好基数与时间/空间分散性。

5. Oplog 大小与窗口 [关键]

• 检查内容：副本集 Oplog 能覆盖预期停机或网络故障窗口。
• 方法：审阅 Oplog 最早与最新时间戳计算窗口；结合写入峰值评估最小窗口。
• 标准：窗口应显著大于最大预期复制中断与备份/维护时长（通常建议≥24小时或满足业务 RPO）。

三、高可用性

1. 副本集拓扑与故障域隔离 [关键]

• 检查内容：成员数量（奇数）、跨机架/可用区/数据中心分布、是否存在仲裁节点的风险。
• 方法：审阅 rs.status() 与配置，核查成员角色（primary/secondary/hidden/delayed）、标签与优先级。
• 标准：多数节点分布于不同故障域；生产环境尽量避免仲裁节点作为多数决策；不存在多数节点集中于同一域的单点风险。

2. 选举稳定性与切换影响 [关键]

• 检查内容：选举频率、主从切换对业务影响、客户端重试与读写策略。
• 方法：审阅历史事件与日志；评估客户端对断连/重试的健壮性。
• 标准：选举事件稀少且有明确原因；切换期间业务影响在可接受范围并与 SLA 一致。

3. 复制延迟与一致性 [关键]

• 检查内容：复制延迟、链式复制影响、读写策略与一致性设置。
• 方法：监控每个 secondary 的延迟；审阅 readPreference 与 writeConcern 配置。
• 标准：延迟应维持在业务可接受阈值；关键写入使用合适的 writeConcern（例如多数）以保证持久性。

4. 分片元数据与组件可用性（如使用分片）[关键]

• 检查内容：配置服务（CSRS）为副本集、mongos 冗余、balancer 状态。
• 方法：审阅集群组件健康状况与元数据操作日志。
• 标准：CSRS 高可用；多个 mongos 实例负载均衡；balancer 行为可控且不会影响峰值业务。

5. 维护与升级策略 [一般]

• 检查内容：滚动升级与功能兼容级别（FCV）管理、维护窗口与回退计划。
• 方法：审阅变更流程与历史升级记录。
• 标准：具备滚动升级方案与充分回退路径；FCV 与二进制版本一致并经过验证。

四、备份恢复

1. 备份范围与类型 [关键]

• 检查内容：备份覆盖所有关键数据（包括配置服务器与各分片/副本集）、类型（物理快照/逻辑备份）、保留策略。
• 方法：审阅备份清单、计划与作业成功率；核查加密与传输安全。
• 标准：满足合规与业务需要；具有异地/跨域副本；保留与合规周期清晰。

2. 备份一致性与应用静默保障 [关键]

• 检查内容：快照备份的一致性保障策略（如使用存储快照与数据库配合的静默机制）、逻辑备份的时点一致性。
• 方法：核查工具支持与流程文档（确保快照与数据库一致性策略已验证）；避免对生产造成写阻塞的方式在高峰期执行。
• 标准：备份在不影响业务的前提下可获得一致视图；已在测试环境验证一致性与恢复结果。

3. 恢复演练与 RPO/RTO [关键]

• 检查内容：周期性恢复演练、耗时测算、数据完整性校验。
• 方法：在隔离测试环境执行恢复；对比校验数据量与关键集合哈希/计数；记录耗时与步骤。
• 标准：实际恢复时间满足 RTO；数据缺口不超过 RPO；演练至少按季度或变更后进行。

4. 备份安全与合规 [一般]

• 检查内容：备份加密、访问控制、跨团队职责分离、审计日志。
• 方法：审阅密钥管理与访问控制列表、备份审计记录。
• 标准：备份与密钥分离管理；访问最小权限；可追溯。

5. 备份监控与告警 [一般]

• 检查内容：失败告警、延迟告警、容量告警。
• 方法：检查监控平台规则与历史告警处置。
• 标准：备份任务失败与异常可及时告警并闭环。

五、数据完整性

1. 写入持久性与读取一致性 [关键]

• 检查内容：关键业务写入的持久性保障（例如多数确认）、读取的时点一致性需求。
• 方法：审阅 writeConcern、readConcern 与业务对一致性的要求；评估副本集部署以支撑这些设置。
• 标准：关键写入具备充足持久性；读取一致性与延迟权衡明确且满足业务。

2. 事务与跨文档一致性 [关键]

• 检查内容：涉及多集合/多文档的原子性保障（事务或等效策略）。
• 方法：审阅应用对事务的使用与边界情况处理；评估回滚与重试机制的幂等性。
• 标准：跨文档操作在失败/重试场景下保持一致；不存在部分提交导致的逻辑不一致。

3. 模式验证与约束 [关键]

• 检查内容：集合级 JSON Schema 校验、必填字段、类型约束、唯一索引与 TTL 约束。
• 方法：审阅集合验证规则、索引定义与生效情况；抽样校验数据是否符合规则。
• 标准：关键集合具备必要的验证与唯一性约束；TTL 应用于临时数据且与业务保留一致。

4. 数据校验与修复流程 [一般]

• 检查内容：周期性数据校验（如 validate）、逻辑一致性检查（引用完整性、计数对账）。
• 方法：在维护窗口或测试环境执行只读校验；构建业务级对账规则与抽样验证。
• 标准：校验无严重错误；发现问题具备明确修复流程与变更管控。

5. 变更审计与数据生命周期 [一般]

• 检查内容：数据变更可追溯（审计日志/变更记录）、归档与清理策略。
• 方法：审阅数据生命周期策略与实际执行情况；检查审计日志保留与可查询性。
• 标准：变更可追溯；归档与清理按策略执行且不影响主工作集。

优先级标识

• 关键：对稳定性、可用性、数据安全与业务连续性影响显著的检查项，需优先完成与持续跟踪。
• 一般：重要但可在关键项完成后优化的检查项，建议纳入周期性审查与改进计划。

实施建议

• 审计准备
  • 明确目标与范围：梳理集群类型（副本集/分片）、版本与业务优先级。
  • 收集资料：拓扑与配置文件、监控历史（至少 3–6 个月）、备份清单与演练报告、变更记录。
• 执行方式
  • 优先处理关键项：索引与查询、工作集与内存、拓扑与复制、备份与恢复演练、模式与约束。
  • 只读检查：使用 explain、serverStatus、dbStats/collStats、rs.status()、日志与监控报表；避免在生产直接执行可能影响写入或可用性的操作。
  • 验证与复核：在测试环境复现与验证优化方案；通过基准测试或回放代表性查询评估收益与风险。
• 变更管理
  • 方案评审：跨团队（应用、DBA、运维、安全）评审优化与变更方案，明确回退路径。
  • 分阶段实施：优先低风险改进（新增合适索引、只读参数优化等），高影响变更安排维护窗口并演练。
  • 持续监控：为复制延迟、缓存压力、索引命中率、备份失败与恢复时间设置告警阈值；建立月度/季度审计复盘机制。
• 文档与合规
  • 形成审计报告与整改计划：记录发现、影响、建议与计划时间表。
  • 保留证据：保存执行截图/报表、演练结果与对账记录，满足合规审计要求。

本审计清单围绕 MongoDB 的通用最佳实践设计，具体阈值与细节建议应结合实际版本、工作负载与SLA在测试环境验证后再实施。