Configurazione dell' pgAudit estensione - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell' pgAudit estensione

Per configurare l' pgAudit estensione sul , devi prima aggiungerla pgAudit alle librerie condivise nel gruppo di parametri DB personalizzato per l'istanza DB for Postgre. RDS SQL Per informazioni sulla creazione di un gruppo di parametri database personalizzato, consulta Gruppi di parametri per RDS. Successivamente, si installa l'estensione. pgAudit Infine, specifica i database e gli oggetti di cui eseguire l'audit. Le procedure in questa sezione mostrano come fare. Puoi utilizzare il plugin AWS Management Console o il AWS CLI.

Per eseguire tutte queste attività, sono richieste autorizzazioni come il ruolo rds_superuser.

Per configurare l'estensione pgAudit

  1. Accedi a AWS Management Console e apri la RDS console Amazon all'indirizzo https://console.aws.amazon.com/rds/.

  2. Nel pannello di navigazione, scegli l' DB Postgre. SQL

  3. Apri la scheda Configurazione per l'istanza del RDSper l'istanza DB di SQL Postgre. Tra i dettagli dell'istanza, individua il collegamento Gruppo di parametri.

  4. Scegli il link per aprire i parametri personalizzati associati al tuo cluster DB. RDSper un'istanza DB di SQL Postgre.

  5. Nel campo di ricerca Parametri, digita shared_pre per trovare il parametro shared_preload_libraries.

  6. Scegli Edit parameters (Modifica parametri) per accedere ai valori delle proprietà.

  7. Aggiungi pgaudit all'elenco nel campo Values (Valori). Utilizza una virgola per separare gli elementi nell'elenco di valori.

    Immagine del shared_preload_libaries parametro con pgAudit aggiunta.

  8. Riavviare l' in modo che la modifica al parametro abbia effetto. shared_preload_libraries

  9. Quando l'istanza è disponibile, verifica che sia stata inizializzata. pgAudit Usalo psql per connetterti all' quindi esegui il comando seguente.

    SHOW shared_preload_libraries;
shared_preload_libraries 
--------------------------
rdsutils,pgaudit
(1 row)

  10. Con pgAudit initialized, ora puoi creare l'estensione. È necessario creare l'estensione dopo aver inizializzato la libreria perché l'pgauditestensione installa i trigger di eventi per il controllo delle istruzioni del linguaggio di definizione dei dati (). DDL 

    CREATE EXTENSION pgaudit;

  11. Chiudi la sessione psql.

    labdb=> \q

  12. Accedi al AWS Management Console e apri la RDS console Amazon all'indirizzo https://console.aws.amazon.com/rds/.

  13. Trova il parametro pgaudit.log nell'elenco e impostalo sul valore appropriato per il caso d'uso. Ad esempio, se si imposta il parametro pgaudit.log su write come mostrato nell'immagine seguente, gli inserimenti, gli aggiornamenti, le eliminazioni e alcuni altri tipi di modifiche vengono acquisiti nel registro.

    Immagine del parametro pgaudit.log con l'impostazione.

    Puoi anche scegliere uno dei seguenti valori per il parametro pgaudit.log.

    • none: valore predefinito. Non viene registrata alcuna modifica al database.

    • all: registra tutto (read, write, function, role, ddl, misc).

    • ddl — Registra tutte le istruzioni del linguaggio di definizione dei dati (DDL) che non sono incluse nella ROLE classe.

    • function: registra le chiamate di funzione e blocchi DO.

    • misc: registra vari comandi come DISCARD, FETCH, CHECKPOINT, VACUUM e SET.

    • read: registra SELECT e COPY quando l'origine è una relazione (ad esempio una tabella) o una query.

    • role: registra le istruzioni correlate a ruoli e privilegi, ad esempio GRANT, REVOKE, CREATE ROLE, ALTER ROLE e DROP ROLE.

    • write: registra INSERT, UPDATE, DELETE, TRUNCATE e COPY quando la destinazione è una relazione (tabella).

  14. Scegli Save changes (Salva modifiche).

  15. Apri la RDS console Amazon all'indirizzo https://console.aws.amazon.com/rds/.

  16. Scegli l' DB Postgre dall'elenco Database.

Per configurare pgAudit

Per eseguire la configurazione pgAudit utilizzando il AWS CLI, si richiama l'modify-db-parameter-groupoperazione per modificare i parametri del registro di controllo nel gruppo di parametri personalizzato, come illustrato nella procedura seguente.

  1. Utilizzare quanto segue AWS CLI comando da aggiungere pgaudit al shared_preload_libraries parametro.

    aws rds modify-db-parameter-group \
   --db-parameter-group-name custom-param-group-name \
   --parameters "ParameterName=shared_preload_libraries,ParameterValue=pgaudit,ApplyMethod=pending-reboot" \
   --region aws-region

  2. Usa quanto segue AWS CLI comando per riavviare l' in modo che la SQL libreria pgaudit sia inizializzata.

    aws rds reboot-db-instance \
    --db-instance-identifier your-instance \
    --region aws-region

  3. Quando l'istanza è disponibile, verifica che pgaudit sia stato inizializzato. Usalo psql per connetterti all' quindi esegui il comando seguente.

    SHOW shared_preload_libraries;
shared_preload_libraries 
--------------------------
rdsutils,pgaudit
(1 row)

    Con pgAudit initialized, ora puoi creare l'estensione.

    CREATE EXTENSION pgaudit;

  4. Chiudi la psql sessione in modo da poter utilizzare il AWS CLI.

    labdb=> \q

  5. Usa quanto segue AWS CLI comando per specificare le classi di istruzioni che si desidera registrare mediante la registrazione di controllo della sessione. L'esempio imposta il parametro pgaudit.log su write, che acquisisce inserimenti, aggiornamenti ed eliminazioni nel registro.

    aws rds modify-db-parameter-group \
   --db-parameter-group-name custom-param-group-name \
   --parameters "ParameterName=pgaudit.log,ParameterValue=write,ApplyMethod=pending-reboot" \
   --region aws-region

    Puoi anche scegliere uno dei seguenti valori per il parametro pgaudit.log.

    • none: valore predefinito. Non viene registrata alcuna modifica al database.

    • all: registra tutto (read, write, function, role, ddl, misc).

    • ddl — Registra tutte le istruzioni del linguaggio di definizione dei dati (DDL) che non sono incluse nella classe. ROLE

    • function: registra le chiamate di funzione e blocchi DO.

    • misc: registra vari comandi come DISCARD, FETCH, CHECKPOINT, VACUUM e SET.

    • read: registra SELECT e COPY quando l'origine è una relazione (ad esempio una tabella) o una query.

    • role: registra le istruzioni correlate a ruoli e privilegi, ad esempio GRANT, REVOKE, CREATE ROLE, ALTER ROLE e DROP ROLE.

    • write: registra INSERT, UPDATE, DELETE, TRUNCATE e COPY quando la destinazione è una relazione (tabella).

    Riavviare l' utilizzando quanto SQL segue AWS CLI comando.

    aws rds reboot-db-instance \
    --db-instance-identifier your-instance \
    --region aws-region