Configurar a extensão pgAudit Auditar objetos de banco de dados Excluir usuários ou bancos de dados do registro em log de auditoria Referência para parâmetros da extensão pgAudit

Usar pgAudit para registrar a atividade do banco de dados

Instituições financeiras, agências governamentais e muitos setores precisam manter registros de auditoria para atender aos requisitos regulatórios. Ao usar a extensão do PostgreSQL Audit (pgAudit) com seu cluster de banco de dados do Aurora PostgreSQL, você pode capturar os registros detalhados que normalmente são necessários aos auditores ou para atender aos requisitos regulatórios. Por exemplo, você pode configurar a extensão pgAudit para monitorar alterações feitas em tabelas e bancos de dados específicos, registrar o usuário que fez a alteração e muitos outros detalhes.

A extensão pgAudit se baseia na funcionalidade da infraestrutura de registro em log nativa do PostgreSQL, estendendo as mensagens de log com mais detalhes. Em outras palavras, é usada a mesma abordagem para visualizar o log de auditoria e quaisquer mensagens de log. Para obter mais informações sobre o registro em log do PostgreSQL, consulte Arquivos de log do banco de dados do Aurora PostgreSQL.

A extensão pgAudit retira dados confidenciais, como senhas de texto não criptografado, dos logs. Se seu cluster de banco de dados do Aurora PostgreSQL estiver configurado para registrar declarações de linguagem de manipulação de dados (DML) conforme detalhado em Ativar o registro em log de consultas para seu cluster de banco de dados do Aurora PostgreSQL, você poderá evitar o problema de senha de texto não criptografado usando a extensão do PostgreSQL Audit.

Você pode configurar a auditoria em suas instâncias de banco de dados com um alto grau de especificidade. É possível auditar todos os bancos de dados e todos os usuários. Ou você pode optar por auditar somente determinados bancos de dados, usuários e outros objetos. Também é possível excluir explicitamente da auditoria determinados usuários e bancos de dados. Para obter mais informações, consulte Excluir usuários ou bancos de dados do registro em log de auditoria.

Dada a quantidade de detalhes que podem ser capturados, recomendamos que, se você usar pgAudit, monitore seu consumo de armazenamento.

A extensão pgAudit é compatível com todas as versões disponíveis do Aurora PostgreSQL. Para obter uma lista de versões de pgAudit compatíveis com a versão do Aurora PostgreSQL, consulte Extension versions for Amazon Aurora PostgreSQL (Versões de extensão para o Amazon Aurora PostgreSQL) em Release Notes for Aurora PostgreSQL (Notas de versão do Aurora PostgreSQL).

Tópicos

Configurar a extensão pgAudit
Auditar objetos de banco de dados
Excluir usuários ou bancos de dados do registro em log de auditoria
Referência para a extensão pgAudit

Configurar a extensão pgAudit

Para configurar a extensão pgAudit em , seu cluster de banco de dados do Aurora PostgreSQL, primeiro adicione pgAudit às bibliotecas compartilhadas no grupo de parâmetros de cluster de banco de dados personalizado para seu cluster de banco de dados do Aurora PostgreSQL. Para obter informações sobre como criar um grupo de parâmetros de cluster de banco de dados, consulte Trabalhar com grupos de parâmetros. Depois, instale a extensão pgAudit. Por fim, especifique os bancos de dados e os objetos que deseja auditar. Os procedimentos nesta seção mostram o procedimento. É possível usar o AWS Management Console ou a AWS CLI.

Você deve ter permissões como a função rds_superuser para realizar todas essas tarefas.

As etapas a seguir pressupõem que seu cluster de banco de dados do Aurora PostgreSQL esteja associado a um grupo de parâmetros de cluster de banco de dados.

Como configurar a extensão pgAudit

Faça login no AWS Management Console e abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.
No painel de navegação, selecione sua instância do gravador do cluster de banco de dados do Aurora PostgreSQL.
Abra a guia Configuration (Configuração) para sua instância do gravador de cluster de banco de dados do Aurora PostgreSQL. Entre os detalhes da instância, encontre o link Parameter group (Grupo de parâmetros).
Clique no link para abrir os parâmetros personalizados associados ao seu cluster de banco de dados do Aurora PostgreSQL.
No campo Parameters (Parâmetros), digite shared_pre para encontrar o parâmetro shared_preload_libraries.
Selecione Edit parameters (Editar parâmetros) para acessar os valores das propriedades.
Adicione pgaudit à lista no campo Values (Valores). Use uma vírgula para separar itens na lista de valores.
Reinicie a instância do gravador de seu cluster de banco de dados do Aurora PostgreSQL para que a alteração no parâmetro shared_preload_libraries tenha efeito.
Quando a instância estiver disponível, verifique se a pgAudit foi inicializada. Use psql para se conectar à instância do gravador de seu cluster de banco de dados do Aurora PostgreSQL e depois execute o comando a seguir.
```
SHOW shared_preload_libraries;
shared_preload_libraries 
--------------------------
rdsutils,pgaudit
(1 row) 
```
Com a pgAudit inicializada, agora você pode criar a extensão. Você precisa criar a extensão depois de inicializar a biblioteca porque a extensão pgaudit instala acionadores de eventos para auditar declarações de linguagem de definição de dados (DDL).
```
CREATE EXTENSION pgaudit;
```
Feche a sessão psql.
```
labdb=> \q
```
Faça login no AWS Management Console e abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.
Encontre o parâmetro pgaudit.log na lista e defina como o valor apropriado para o caso de uso. Por exemplo, definir o parâmetro pgaudit.log como write conforme mostrado na imagem a seguir captura inserções, atualizações, exclusões e alguns outros tipos de alterações no log.

Você também pode selecionar um dos valores a seguir para o parâmetro pgaudit.log.
- none: esse é o valor padrão. Nenhuma alteração no banco de dados é registrada.
- all: registra tudo (read, write, function, role, ddl, misc).
- ddl: registra todas as instruções de linguagem de definição de dados (DDL) não incluídas na classe ROLE.
- function: registra chamadas de função e blocos de DO.
- misc: registra comandos diversos, como DISCARD, FETCH, CHECKPOINT, VACUUM e SET.
- read: registra SELECT e COPY quando a fonte é uma relação (como uma tabela) ou uma consulta.
- role: registra declarações relacionadas a funções e privilégios, como GRANT, REVOKE, CREATE ROLE, ALTER ROLE e DROP ROLE.
- write: registra INSERT, UPDATE, DELETE, TRUNCATE e COPY quando o destino é uma relação (tabela).
Escolha Save changes (Salvar alterações).
Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.
Selecione a instância do gravador do cluster de banco de dados do Aurora PostgreSQL na lista de bancos de dados para selecioná-la e depois selecione Reboot (Reinicializar) no menu Actions (Ações).

Como configurar a pgAudit

Para configurar a pgAudit usando a AWS CLI, chame a operação modify-db-parameter-group para modificar os parâmetros do log de auditoria em seu grupo de parâmetros personalizado, conforme mostrado no procedimento a seguir.

Use o comando AWS CLI a seguir para adicionar pgaudit ao parâmetro shared_preload_libraries.


aws rds modify-db-parameter-group \
   --db-parameter-group-name custom-param-group-name \
   --parameters "ParameterName=shared_preload_libraries,ParameterValue=pgaudit,ApplyMethod=pending-reboot" \
   --region aws-region

Use o comando AWS CLI a seguir para reinicializar a instância do gravador de seu cluster de banco de dados do Aurora PostgreSQL para que a biblioteca da pgaudit seja inicializada.
```
aws rds reboot-db-instance \
    --db-instance-identifier writer-instance \
    --region aws-region
```
Quando a instância estiver disponível, verifique se a pgaudit foi inicializada. Use psql para se conectar à instância do gravador de seu cluster de banco de dados do Aurora PostgreSQL e, depois, execute o comando a seguir.
```
SHOW shared_preload_libraries;
shared_preload_libraries 
--------------------------
rdsutils,pgaudit
(1 row) 
```
Com a pgAudit inicializada, agora você pode criar a extensão.
```
CREATE EXTENSION pgaudit;
```
Feche a sessão psql para que você possa usar a AWS CLI.
```
labdb=> \q
```
Use o comando AWS CLI a seguir para especificar as classes de declaração que devem ser registradas pelo registro em log de auditoria da sessão. O exemplo define o parâmetro pgaudit.log como write, que captura inserções, atualizações e exclusões no log.
```
aws rds modify-db-parameter-group \
   --db-parameter-group-name custom-param-group-name \
   --parameters "ParameterName=pgaudit.log,ParameterValue=write,ApplyMethod=pending-reboot" \
   --region aws-region
```
Você também pode selecionar um dos valores a seguir para o parâmetro pgaudit.log.
- none: esse é o valor padrão. Nenhuma alteração no banco de dados é registrada.
- all: registra tudo (read, write, function, role, ddl, misc).
- ddl: registra todas as instruções de linguagem de definição de dados (DDL) não incluídas na classe ROLE.
- function: registra chamadas de função e blocos de DO.
- misc: registra comandos diversos, como DISCARD, FETCH, CHECKPOINT, VACUUM e SET.
- read: registra SELECT e COPY quando a fonte é uma relação (como uma tabela) ou uma consulta.
- role: registra declarações relacionadas a funções e privilégios, como GRANT, REVOKE, CREATE ROLE, ALTER ROLE e DROP ROLE.
- write: registra INSERT, UPDATE, DELETE, TRUNCATE e COPY quando o destino é uma relação (tabela).
Reinicie a instância do gravador de seu cluster de banco de dados do Aurora PostgreSQL usando o comando AWS CLI a seguir.
```
aws rds reboot-db-instance \
    --db-instance-identifier writer-instance \
    --region aws-region
```

Auditar objetos de banco de dados

Com a pgAudit configurada em seu cluster de banco de dados do Aurora PostgreSQL e configurada para seus requisitos, informações mais detalhadas são capturadas no log do PostgreSQL. Por exemplo, enquanto a configuração de registro em padrão do PostgreSQL identifica a data e a hora em que uma alteração foi feita em uma tabela do banco de dados, com a extensão pgAudit, a entrada do log pode incluir o esquema, o usuário que fez a alteração e outros detalhes, dependendo de como os parâmetros da extensão estão configurados. Você pode configurar a auditoria para monitorar as alterações das maneiras a seguir.

Para cada sessão, por usuário. Para o nível da sessão, você pode capturar o texto do comando totalmente qualificado.
Para cada objeto, por usuário e por banco de dados.

O recurso de auditoria de objetos é ativado quando você cria a função rds_pgaudit no sistema e depois a adiciona ao parâmetro pgaudit.role no grupo de parâmetros personalizado. Por padrão, o parâmetro pgaudit.role não está definido e o único valor permitido é rds_pgaudit. As etapas a seguir pressupõem que a pgaudit tenha sido inicializada e que você tenha criado a extensão pgaudit seguindo o procedimento em Configurar a extensão pgAudit.

Imagem do arquivo de log do PostgreSQL depois de configurar a pgAudit.

Conforme mostrado neste exemplo, a linha “LOG: AUDIT: SESSION” fornece informações sobre a tabela e o respectivo esquema, entre outros detalhes.

Como configurar a auditoria de objetos

Use psql para se conectar à instância do gravador do cluster de banco de dados do Aurora PostgreSQL.


psql --host=your-instance-name.aws-region.rds.amazonaws.com --port=5432 --username=postgrespostgres --password --dbname=labdb

Crie uma função de banco de dados chamada rds_pgaudit usando o comando a seguir.
```
labdb=> CREATE ROLE rds_pgaudit;
CREATE ROLE
labdb=> 
```
Feche a sessão psql.
```
labdb=> \q
```
Nas próximas etapas, use a AWS CLI para modificar os parâmetros de log de auditoria no grupo de parâmetros personalizado.

Use o comando AWS CLI a seguir para definir o parâmetro pgaudit.role como rds_pgaudit. Por padrão, esse parâmetro está vazio, e rds_pgaudit é o único valor permitido.


aws rds modify-db-parameter-group \
   --db-parameter-group-name custom-param-group-name \
   --parameters "ParameterName=pgaudit.role,ParameterValue=rds_pgaudit,ApplyMethod=pending-reboot" \
   --region aws-region

Use o comando AWS CLI a seguir para reinicializar a instância do gravador do cluster de banco de dados do Aurora PostgreSQL para que as alterações nos parâmetros tenham efeito.
```
aws rds reboot-db-instance \
    --db-instance-identifier writer-instance \
    --region aws-region
```
Execute o comando a seguir para confirmar que pgaudit.role está definido como rds_pgaudit.
```
SHOW pgaudit.role;
pgaudit.role 
------------------
rds_pgaudit 
```

Para testar o registro em log da extensão pgAudit, execute vários comandos de exemplo semelhantes ao que você deseja auditar. Por exemplo, você pode executar os seguintes comandos.


CREATE TABLE t1 (id int);
GRANT SELECT ON t1 TO rds_pgaudit;
SELECT * FROM t1;
id 
----
(0 rows)

Os logs do banco de dados devem conter uma entrada semelhante à seguinte.


...
2017-06-12 19:09:49 UTC:...:rds_test@postgres:[11701]:LOG: AUDIT:
OBJECT,1,1,READ,SELECT,TABLE,public.t1,select * from t1;
...

Para obter informações sobre como visualizar os logs, consulte Monitorar arquivos de log do Amazon Aurora.

Para saber mais sobre a extensão pgAudit, consulte pgAudit no GitHub.

Excluir usuários ou bancos de dados do registro em log de auditoria

Conforme discutido em Arquivos de log do banco de dados do Aurora PostgreSQL, os logs do PostgreSQL consomem espaço de armazenamento. O uso da extensão pgAudit aumenta o volume de dados reunidos nos logs em vários graus, dependendo das alterações monitoradas. Talvez você não precise auditar todos os usuários nem bancos de dados no cluster de banco de dados do Aurora PostgreSQL.

Para minimizar os impactos no armazenamento e evitar a captura desnecessária de registros de auditoria, você pode excluir usuários e bancos de dados da auditoria. Você também pode alterar o registro em log em determinada sessão. Os exemplos a seguir mostram o procedimento.

nota

As configurações de parâmetros no nível da sessão têm precedência sobre as configurações no grupo de parâmetros de cluster de banco de dados personalizado para a instância do gravador do cluster de banco de dados do Aurora PostgreSQL. Se você não quiser que os usuários do banco de dados ignorem suas configurações de registro em log de auditoria, não se esqueça de alterar as permissões.

Suponha que seu cluster banco de dados do Aurora RDS PostgreSQL esteja configurado ) para auditar o mesmo nível de atividade para todos os usuários e bancos de dados. Depois, decida que não quer auditar o usuário myuser. Você pode desativar a auditoria para myuser com o comando SQL a seguir.


ALTER USER myuser SET pgaudit.log TO 'NONE';

Depois, você pode usar a consulta a seguir para conferir a coluna user_specific_settings para pgaudit.log a fim de confirmar se o parâmetro está definido como NONE.


SELECT
    usename AS user_name,
    useconfig AS user_specific_settings
FROM
    pg_user
WHERE
    usename = 'myuser';

Você deve ver a saída da forma a seguir.


 user_name | user_specific_settings
-----------+------------------------
 myuser    | {pgaudit.log=NONE}
(1 row)

Você pode desativar o registro em log de determinado usuário no meio da sessão com o banco de dados com o comando a seguir.


ALTER USER myuser IN DATABASE mydatabase SET pgaudit.log TO 'none';

Use a consulta a seguir para conferir a coluna de configurações de pgaudit.log para uma combinação específica de usuário e banco de dados.


SELECT
    usename AS "user_name",
    datname AS "database_name",
    pg_catalog.array_to_string(setconfig, E'\n') AS "settings"
FROM
    pg_catalog.pg_db_role_setting s
    LEFT JOIN pg_catalog.pg_database d ON d.oid = setdatabase
    LEFT JOIN pg_catalog.pg_user r ON r.usesysid = setrole
WHERE
    usename = 'myuser'
    AND datname = 'mydatabase'
ORDER BY
    1,
    2;

Você verá uma saída semelhante à seguinte.


  user_name | database_name |     settings
-----------+---------------+------------------
 myuser    | mydatabase    | pgaudit.log=none
(1 row)

Depois de desativar a auditoria de myuser, você decide que não deseja monitorar as alterações em mydatabase. Você pode desativar a auditoria para esse banco de dados específico usando o comando a seguir.


ALTER DATABASE mydatabase SET pgaudit.log to 'NONE';

Depois, use a consulta a seguir para conferir a coluna database_specific_settings a fim de confirmar se pgaudit.log está definido como NONE.


SELECT
a.datname AS database_name,
b.setconfig AS database_specific_settings
FROM
pg_database a
FULL JOIN pg_db_role_setting b ON a.oid = b.setdatabase
WHERE
a.datname = 'mydatabase';

Você deve ver a saída da forma a seguir.


 database_name | database_specific_settings
---------------+----------------------------
 mydatabase    | {pgaudit.log=NONE}
(1 row)

Para restaurar as configurações padrão para myuser, use o seguinte comando:


ALTER USER myuser RESET pgaudit.log;

Para restaurar as configurações padrão para um banco de dados, use o comando a seguir.


ALTER DATABASE mydatabase RESET pgaudit.log;

Para restaurar as configurações padrão de usuário e banco de dados, use o comando a seguir.


ALTER USER myuser IN DATABASE mydatabase RESET pgaudit.log;

Você também pode capturar eventos específicos no log definindo pgaudit.log como um dos outros valores permitidos para o parâmetro pgaudit.log. Para obter mais informações, consulte Lista de configurações permitidas para o parâmetro pgaudit.log.


ALTER USER myuser SET pgaudit.log TO 'read';
ALTER DATABASE mydatabase SET pgaudit.log TO 'function';
ALTER USER myuser IN DATABASE mydatabase SET pgaudit.log TO 'read,function'

Referência para a extensão pgAudit

Você pode especificar o nível de detalhes que deseja para o log de auditoria alterando um ou mais dos parâmetros listados nesta seção.

Controlar o comportamento da pgAudit

Você pode controlar o registro em log de auditoria alterando um ou mais dos parâmetros listados na tabela a seguir.

Parâmetro	Descrição
`pgaudit.log`	Especifica as classes de declaração que serão registradas pelo registro em log de auditoria de sessão. Os valores permitidos incluem ddl, function, misc, read, role, write, none, all. Para obter mais informações, consulte Lista de configurações permitidas para o parâmetro pgaudit.log.
`pgaudit.log_catalog`	Quando ativado (definido como 1), adiciona declarações à trilha de auditoria se todas as relações em uma declaração estiverem em pg_catalog.
`pgaudit.log_level`	Especifica o nível de log que será usado para entradas de log. Valores permitidos: debug5, debug4, debug3, debug2, debug1, info, notice, warning, log
`pgaudit.log_parameter`	Quando ativado (definido como 1), os parâmetros passados com a declaração são capturados no log de auditoria.
`pgaudit.log_relation`	Quando ativado (definido como 1), o log de auditoria da sessão cria uma entrada de log separada para cada relação (TABLE, VIEW etc.) referenciada em uma declaração SELECT ou DML.
`pgaudit.log_statement_once`	Especifica se o registro incluirá o texto e os parâmetros da instrução com a primeira entrada de log para uma combinação de instrução/subinstrução ou com cada entrada.
`pgaudit.role`	Especifica a função primária a ser usada para o registro em log de auditoria de objetos. A única entrada permitida é `rds_pgaudit`.

Lista de configurações permitidas para o parâmetro `pgaudit.log`

Value	Descrição
nenhum	Esse é o padrão. Nenhuma alteração no banco de dados é registrada.
tudo	Registra tudo (read, write, function, role, ddl, misc).
ddl	Registra todas as declarações de linguagem de definição de dados (DDL) não incluídas na classe `ROLE`.
função	Registra chamadas de função e blocos de `DO`.
misc	Registra comandos diversos, como `DISCARD`, `FETCH`, `CHECKPOINT`, `VACUUM` e `SET`.
leitura	Registra `SELECT` e `COPY` quando a fonte é uma relação (como uma tabela) ou uma consulta.
role (perfil)	Registra declarações relacionadas a funções e privilégios, como `GRANT`, `REVOKE`, `CREATE ROLE`, `ALTER ROLE` e `DROP ROLE`.
write	Registra `INSERT`, `UPDATE`, `DELETE`, `TRUNCATE` e `COPY` quando o destino é uma relação (tabela).

Para registrar vários tipos de eventos com auditoria de sessões, use uma lista separada por vírgulas. Para registrar todos os tipos de eventos, defina pgaudit.log para ALL. Reinicie a instância de banco de dados para aplicar as alterações.

Com a auditoria de objetos, você pode refinar o registro em log de auditoria para trabalhar com relações específicas. Por exemplo, você pode especificar que deseja o registro em log de auditoria para operações READ em uma ou mais tabelas.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Agendar manutenção com a extensão pg_cron

Usar pglogical para sincronizar dados