Einrichtung der pgAudit Erweiterung

Um die pgAudit Erweiterung auf Ihrem Aurora einzurichten, fügen Sie sie zunächst pgAudit zu den gemeinsam genutzten Bibliotheken in der benutzerdefinierte DB-Cluster-Parametergruppe für Ihren Aurora SQL Postgre-DB-Cluster. Weitere Informationen über das Erstellen einer benutzerdefinierten DB-Cluster-Parametergruppe finden Sie unter Parametergruppen für Amazon Aurora. Als Nächstes installieren Sie die pgAudit Erweiterung. Abschließend geben Sie die Datenbanken und Objekte an, die Sie überprüfen möchten. Die Schritte in diesem Abschnitt veranschaulichen die Vorgehensweise. Sie können das AWS Management Console oder die AWS CLI.

Sie müssen über Berechtigungen als rds_superuser-Rolle verfügen, um alle diese Aufgaben ausführen zu können.

Bei den folgenden Schritten wird davon ausgegangen, dass Ihr Aurora SQL Postgre-DB-Cluster RDS einer benutzerdefinierten zugeordnet ist.

Um die Erweiterung einzurichten pgAudit

Melden Sie sich an bei AWS Management Console und öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/.
Wählen Sie im Navigationsbereich die Writer-Instance Ihres Aurora SQL Postgre-DB-Clusters aus.
Öffnen Sie die Registerkarte Konfiguration für Ihre Aurora SQL Postgre-DB-Cluster-Writer-Instance. Suchen Sie in den Instance-Details den Link Parameter group (Parametergruppe).
Wählen Sie den Link, um die benutzerdefinierten Parameter zu öffnen, die mit Ihrem Aurora SQL Postgre-DB-Cluster verknüpft sind.
Geben Sie in das Suchfeld Parameters (Parameter) shared_pre ein, um den shared_preload_libraries-Parameter zu finden.
Wählen Sie Edit parameters (Parameter bearbeiten) aus, um auf die Eigenschaftswerte zuzugreifen.
Fügen Sie pgaudit der Liste im Feld Values (Werte) hinzu. Verwenden Sie ein Komma, um Elemente in der Werteliste zu trennen.
Starten Sie die Writer-Instance Ihres Aurora SQL Postgre-DB-Clusters RDS neu, damit Ihre Änderung des shared_preload_libraries Parameters wirksam wird.
Wenn die Instance verfügbar ist, überprüfen Sie, ob sie pgAudit initialisiert wurde. Verwenden Siepsql, um eine Verbindung zur Writer-Instance Ihres Aurora SQL Postgre-DB-Clusters RDS und führen Sie dann den folgenden Befehl aus.
```
SHOW shared_preload_libraries;
shared_preload_libraries 
--------------------------
rdsutils,pgaudit
(1 row) 
```
Wenn Sie pgAudit initialisiert sind, können Sie die Erweiterung jetzt erstellen. Sie müssen die Erweiterung nach der Initialisierung der Bibliothek erstellen, da die pgaudit Erweiterung Ereignisauslöser für die Prüfung von Anweisungen in der Datendefinitionssprache (DDL) installiert.
```
CREATE EXTENSION pgaudit;
```
Schließen Sie die psql-Sitzung.
```
labdb=> \q
```
Melden Sie sich an bei AWS Management Console und öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/.
Suchen Sie den pgaudit.log-Parameter in der Liste und legen Sie den entsprechenden Wert für Ihren Anwendungsfall fest. Wenn Sie beispielsweise den pgaudit.log-Parameter auf write festlegen, wie in der folgenden Abbildung gezeigt, werden Einfügungen, Aktualisierungen, Löschungen und einige andere Typänderungen im Protokoll erfasst.

Sie können auch einen der folgenden Werte für den pgaudit.log-Parameter auswählen.
- „none“: Dies ist der Standardwert. Es werden keine Datenbankänderungen protokolliert.
- „all“: Es wird alles protokolliert (Lesen, Schreiben, Funktion, Rolle, DDL, Verschiedenes).
- ddl — Protokolliert alle Anweisungen in der Datendefinitionssprache (DDL), die nicht in der ROLE Klasse enthalten sind.
- „function“: Protokolliert Funktionsaufrufe und DO-Blöcke.
- „misc“: Protokolliert verschiedene Befehle wie DISCARD, FETCH, CHECKPOINT, VACUUM und SET.
- „read“: Protokolliert SELECT und COPY, wenn die Quelle eine Beziehung (z. B. eine Tabelle) oder eine Abfrage ist.
- „role“: Protokolliert Anweisungen in Bezug auf Rollen und Berechtigungen wie GRANT, REVOKE, CREATE ROLE, ALTER ROLE und DROP ROLE.
- „write“: Protokolliert INSERT, UPDATE, DELETE, TRUNCATE und COPY, wenn das Ziel eine Beziehung (Tabelle) ist.
Wählen Sie Änderungen speichern.
Öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/.
Wählen Sie die Writer-Instance Ihres Aurora SQL Postgre-DB-Clusters RDS aus der Datenbankliste aus.

Zur Einrichtung pgAudit

Zur Einrichtung pgAudit mit dem AWS CLI, rufen Sie den modify-db-parameter-groupVorgang auf, um die Audit-Log-Parameter in Ihrer benutzerdefinierten Parametergruppe zu ändern, wie im folgenden Verfahren gezeigt.

Verwenden Sie Folgendes AWS CLI Befehl zum Hinzufügen pgaudit zum shared_preload_libraries Parameter.


aws rds modify-db-parameter-group \
   --db-parameter-group-name custom-param-group-name \
   --parameters "ParameterName=shared_preload_libraries,ParameterValue=pgaudit,ApplyMethod=pending-reboot" \
   --region aws-region

Verwenden Sie Folgendes AWS CLI Befehl, um die Writer-Instance Ihres Aurora SQL Postgre-DB-Clusters RDS zu starten, sodass die pgaudit-Bibliothek initialisiert wird.
```
aws rds reboot-db-instance \
    --db-instance-identifier writer-instance \
    --region aws-region
```
Wenn die Instance verfügbar ist, können Sie überprüfen, ob pgaudit initialisiert wurde. Verwenden Siepsql, um eine Verbindung zur Writer-Instance Ihres Aurora SQL Postgre-DB-Clusters RDS und führen Sie dann den folgenden Befehl aus.
```
SHOW shared_preload_libraries;
shared_preload_libraries 
--------------------------
rdsutils,pgaudit
(1 row) 
```
Wenn Sie pgAudit initialisiert sind, können Sie die Erweiterung jetzt erstellen.
```
CREATE EXTENSION pgaudit;
```
Schließen Sie die psql Sitzung, damit Sie die verwenden können AWS CLI.
```
labdb=> \q
```
Verwenden Sie Folgendes AWS CLI Befehl, um die Klassen von Anweisungen anzugeben, die von der Sitzungsüberwachungsprotokollierung protokolliert werden sollen. Im Beispiel wird der pgaudit.log-Parameter auf write festgelegt, wodurch Einfügungen, Aktualisierungen und Löschungen im Protokoll erfasst werden.
```
aws rds modify-db-parameter-group \
   --db-parameter-group-name custom-param-group-name \
   --parameters "ParameterName=pgaudit.log,ParameterValue=write,ApplyMethod=pending-reboot" \
   --region aws-region
```
Sie können auch einen der folgenden Werte für den pgaudit.log-Parameter auswählen.
- „none“: Dies ist der Standardwert. Es werden keine Datenbankänderungen protokolliert.
- „all“: Es wird alles protokolliert (Lesen, Schreiben, Funktion, Rolle, DDL, Verschiedenes).
- ddl — Protokolliert alle Anweisungen der Datendefinitionssprache (DDL), die nicht in der ROLE Klasse enthalten sind.
- „function“: Protokolliert Funktionsaufrufe und DO-Blöcke.
- „misc“: Protokolliert verschiedene Befehle wie DISCARD, FETCH, CHECKPOINT, VACUUM und SET.
- „read“: Protokolliert SELECT und COPY, wenn die Quelle eine Beziehung (z. B. eine Tabelle) oder eine Abfrage ist.
- „role“: Protokolliert Anweisungen in Bezug auf Rollen und Berechtigungen wie GRANT, REVOKE, CREATE ROLE, ALTER ROLE und DROP ROLE.
- „write“: Protokolliert INSERT, UPDATE, DELETE, TRUNCATE und COPY, wenn das Ziel eine Beziehung (Tabelle) ist.
Starten Sie die Writer-Instance Ihres Aurora SQL Postgre-DB-Clusters RDS neu: AWS CLI Befehl.
```
aws rds reboot-db-instance \
    --db-instance-identifier writer-instance \
    --region aws-region
```

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Wird pgAudit zum Protokollieren von Datenbankaktivitäten verwendet

Überprüfen von Datenbankobjekten