PostgreSQL審計(jì)如何實(shí)現(xiàn)

小編給大家分享一下PostgreSQL審計(jì)如何實(shí)現(xiàn)，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

PostgreSQL 的審計(jì)還是要借助PostgreSQL的擴(kuò)展pgaudit 來(lái)進(jìn)行。有些熟悉PG的同學(xué)可能說(shuō)，不是可以log_statement = all 來(lái)記錄所有的語(yǔ)句嗎，干嘛那么麻煩，自己去查日志不就好了。實(shí)際上如果公司有審計(jì)部門的情況下，這樣是過(guò)不了關(guān)的，需要一個(gè)與商業(yè)數(shù)據(jù)功能相差無(wú)幾的方式來(lái)面對(duì)審計(jì)部門的“親和力”。

安裝很簡(jiǎn)單，如果熟悉extension的話，當(dāng)然pgaudit需要加載鏈接庫(kù)中

與大部分的audit 的方式不同pg_audit記錄在標(biāo)準(zhǔn)的PostgreSQL日志中。Pgaudit通過(guò)在模塊加載時(shí)注冊(cè)自身并為executorStart、executorCheckPerms、processUtility和object_access提供掛鉤來(lái)工作。因此，pgaudit與另一種audit-trigger不同支持讀取(SELECT、COPY)。一般來(lái)說(shuō)，使用pgaudit，我們可以有兩種操作模式，或者將它們結(jié)合使用:

session 模式或object 模式。

其中可以進(jìn)行監(jiān)控的方式

• READ (select, copy from)

• WRITE (insert, update, delete, truncate, copy to)

• FUNCTION (function calls and DO blocks)

• ROLE (grant, revoke, create/alter/drop role)

• DDL (all DDL except those in ROLE)

• MISC (discard, fetch, checkpoint, vacuum)

從上面可以審計(jì)監(jiān)控的東西來(lái)說(shuō)，還是很全面的。

下面我們可以來(lái)做一個(gè)測(cè)試

我們創(chuàng)建一個(gè)表，而這個(gè)表應(yīng)該被audit 日志來(lái)記錄，我們看看audit 日志是否記錄了。從下圖可以看到

在日志中已經(jīng)添加了audit 的記錄。

說(shuō)明這個(gè)東西還是蠻好用的。日志的格式

• AUDIT_TYPE - 告知你目前的audit 的方式是 session 還是 object

• STATEMENT_ID - 主語(yǔ)句的會(huì)話ID

• SUBSTATEMENT_ID - 主語(yǔ)句中每個(gè)子語(yǔ)句的順序ID。

• Operation type 操作的方式是DDL DCL DML 

• COMMAND -  操作的命令

• OBJECT_TYPE - 操作的OBJECT 類型

• OBJECT_NAME - 操作的OBJECT 類型的名字，例如表名，存儲(chǔ)過(guò)程名等等

• STATEMENT - 執(zhí)行的語(yǔ)句

• PARAMETER - 相關(guān)的參數(shù)

此時(shí)有人可能提出，這個(gè)設(shè)計(jì)的不好，為什么不能設(shè)計(jì)到插入到表中，個(gè)人覺得有兩點(diǎn)，既然叫審計(jì)日志，1 他是提供審計(jì)的  2  他是日志 

如果日志在某些情況下爆發(fā)增長(zhǎng)，怎么辦，塞滿整個(gè)表的存儲(chǔ)空間，從多方面考慮，讓日志存儲(chǔ)在適當(dāng)?shù)牡胤?，其?shí)是一個(gè)比較規(guī)范的做法。

下面我們來(lái)做幾個(gè)嘗試來(lái)看看審計(jì)日志是否能幫助我們，記錄相關(guān)的操作，下圖是PG相關(guān)的audit 選項(xiàng)。

相關(guān)的一些設(shè)置設(shè)什么意思

pgaudit.log

指定會(huì)話審計(jì)日志記錄哪些語(yǔ)句類。

可以設(shè)置的類別 read , write ,function,role ,ddl,misc , All 等

pgaudit.log_catalog

指定當(dāng)一條語(yǔ)句中的所有關(guān)系都位于pg_catalog中時(shí)，應(yīng)該啟用會(huì)話日志記錄。禁用此設(shè)置將減少來(lái)自psql和PgAdmin等工具的日志噪音，這些工具會(huì)大量查詢目錄。

pgaudit.log_relation

指定會(huì)話審計(jì)日志記錄是否應(yīng)該為SELECT或DML語(yǔ)句中引用的每個(gè)關(guān)系(表、視圖等)創(chuàng)建單獨(dú)的日志條目。對(duì)于不使用對(duì)象審計(jì)日志記錄的窮舉日志記錄，這是一個(gè)非常有用的快捷方式。

例如我們要記錄 ddl ，role , functiton,以及更改系統(tǒng)配置 方面的操作記錄

當(dāng)然，這樣的操作記錄也不是沒有缺點(diǎn)的，例如我想知道是那個(gè)賬戶做的某件事，這點(diǎn)還是沒有做到，僅僅是知道在什么時(shí)間做了什么。

以上是“PostgreSQL審計(jì)如何實(shí)現(xiàn)”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！