Exclusion d'utilisateurs ou de bases de données de la journalisation d'audit

Comme indiqué dans la sectionFichiers journaux de base de SQL données Aurora Postgre SQL RDS, les SQL journaux Postgre consomment de l'espace de stockage. L'utilisation de l' pgAudit extension augmente le volume de données collectées dans vos journaux à des degrés divers, en fonction des modifications que vous suivez. Il se peut que vous n'ayez pas besoin d'auditer chaque utilisateur ou base de données de votre cluster de base de données Aurora Postgre SQL.

Pour minimiser les impacts sur votre stockage et éviter de capturer inutilement des enregistrements d'audit, vous pouvez exclure les utilisateurs et les bases de données de l'audit. Vous pouvez également modifier la journalisation au cours d'une session donnée. Les exemples suivants montrent comment procéder.

Note

Les paramètres au niveau de la session ont priorité sur les paramètres du groupe de paramètres du cluster de base de données personnalisé pour le groupe de paramètres de base de SQL données personnalisé de l'instance de rédaction du cluster de base de données Aurora Postgre pour l'instance . Si vous ne souhaitez pas que les utilisateurs de base de données contournent vos paramètres de configuration de journalisation des audits, veillez à modifier leurs autorisations.

Supposons que votre de données. Vous pouvez ensuite décider de ne pas auditer l'utilisateur myuser. Vous pouvez désactiver l'audit pour à l'myuseraide de la SQL commande suivante.


ALTER USER myuser SET pgaudit.log TO 'NONE';

Vous pouvez ensuite utiliser la requête suivante pour vérifier la colonne user_specific_settings pour pgaudit.log afin de confirmer que le paramètre est défini sur NONE.


SELECT
    usename AS user_name,
    useconfig AS user_specific_settings
FROM
    pg_user
WHERE
    usename = 'myuser';

Vous devez voir la sortie suivante.


 user_name | user_specific_settings
-----------+------------------------
 myuser    | {pgaudit.log=NONE}
(1 row)

Vous pouvez désactiver la journalisation pour un utilisateur donné au cours de sa session avec la base de données à l'aide de la commande suivante.


ALTER USER myuser IN DATABASE mydatabase SET pgaudit.log TO 'none';

Utilisez la requête suivante pour vérifier la colonne des paramètres du fichier pgaudit.log pour une combinaison utilisateur et base de données spécifique.


SELECT
    usename AS "user_name",
    datname AS "database_name",
    pg_catalog.array_to_string(setconfig, E'\n') AS "settings"
FROM
    pg_catalog.pg_db_role_setting s
    LEFT JOIN pg_catalog.pg_database d ON d.oid = setdatabase
    LEFT JOIN pg_catalog.pg_user r ON r.usesysid = setrole
WHERE
    usename = 'myuser'
    AND datname = 'mydatabase'
ORDER BY
    1,
    2;

Vous voyez des résultats similaires à ce qui suit.


  user_name | database_name |     settings
-----------+---------------+------------------
 myuser    | mydatabase    | pgaudit.log=none
(1 row)

Après avoir désactivé l'audit pour myuser, vous décidez de ne pas suivre les modifications apportées à mydatabase. Vous pouvez désactiver l'audit pour cette base de données spécifique à l'aide de la commande suivante.


ALTER DATABASE mydatabase SET pgaudit.log to 'NONE';

Utilisez ensuite la requête suivante pour vérifier la colonne database_specific_settings afin de confirmer que pgaudit.log est défini sur. NONE


SELECT
a.datname AS database_name,
b.setconfig AS database_specific_settings
FROM
pg_database a
FULL JOIN pg_db_role_setting b ON a.oid = b.setdatabase
WHERE
a.datname = 'mydatabase';

Vous devez voir la sortie suivante.


 database_name | database_specific_settings
---------------+----------------------------
 mydatabase    | {pgaudit.log=NONE}
(1 row)

Pour rétablir les paramètres par défaut pour myuser, utilisez la commande suivante :


ALTER USER myuser RESET pgaudit.log;

Pour rétablir les paramètres par défaut pour une base de données, utilisez la commande suivante.


ALTER DATABASE mydatabase RESET pgaudit.log;

Pour rétablir les paramètres par défaut pour l'utilisateur et la base de données, utilisez la commande suivante.


ALTER USER myuser IN DATABASE mydatabase RESET pgaudit.log;

Vous pouvez également capturer des événements spécifiques dans le journal en définissant pgaudit.log pour l'une des autres valeurs autorisées pour le paramètre pgaudit.log. Pour de plus amples informations, veuillez consulter Liste des paramètres autorisés pour le paramètre pgaudit.log.


ALTER USER myuser SET pgaudit.log TO 'read';
ALTER DATABASE mydatabase SET pgaudit.log TO 'function';
ALTER USER myuser IN DATABASE mydatabase SET pgaudit.log TO 'read,function'

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Audit d'objets de base de données

Référence pour les paramètres d' pgAudit extension