Benutzer oder Datenbanken von der Audit-Protokollierung ausschließen - Amazon Aurora

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzer oder Datenbanken von der Audit-Protokollierung ausschließen

Wie unter beschriebenSQLDatenbankprotokolldateien von Aurora Postgre SQL RDS, verbrauchen SQL Postgre-Protokolle Speicherplatz. Durch die Verwendung der pgAudit Erweiterung wird das in Ihren Protokollen gesammelte Datenvolumen in unterschiedlichem Maße erhöht, je nachdem, welche Änderungen Sie verfolgen. Möglicherweise müssen Sie nicht jeden Benutzer oder jede Datenbank in Ihrem Aurora SQL Postgre-DB-Cluster prüfen.

Sie können Benutzer und Datenbanken von der Prüfung ausschließen, um die Auswirkungen auf Ihren Speicher zu minimieren und die unnötige Erfassung von Audit-Datensätzen zu vermeiden. Sie können die Protokollierung auch innerhalb einer bestimmten Sitzung ändern. In den nachstehenden Beispielen wird die Vorgehensweise dazu veranschaulicht.

Anmerkung

Parametereinstellungen auf Sitzungsebene haben Vorrang vor den Einstellungen in der benutzerdefinierten DB-Cluster-Parametergruppe für die benutzerdefinierte DB-Parametergruppe der Writer-Instance des Aurora SQL Postgre-DB-Clusters RDS Wenn Sie nicht möchten, dass Datenbankbenutzer Ihre Konfigurationseinstellungen für die Audit-Protokollierung umgehen, müssen Sie ihre Berechtigungen ändern.

Angenommen, Ihr Aurora SQL Postgre-DB-Cluster RDS ist so konfiguriert, dass für alle Benutzer und Datenbanken dasselbe Aktivitätsniveau geprüft wird. Sie entscheiden dann, dass Sie den Benutzer myuser nicht überprüfen möchten. Sie können die Überwachung für myuser mit dem folgenden SQL Befehl deaktivieren.

ALTER USER myuser SET pgaudit.log TO 'NONE';

Anschließend können Sie die folgende Abfrage verwenden, um die Spalte user_specific_settings auf pgaudit.log zu überprüfen und zu bestätigen, dass der Parameter auf NONE festgelegt ist.

SELECT
    usename AS user_name,
    useconfig AS user_specific_settings
FROM
    pg_user
WHERE
    usename = 'myuser';

Die Ausgabe sollte folgendermaßen aussehen.

 user_name | user_specific_settings
-----------+------------------------
 myuser    | {pgaudit.log=NONE}
(1 row)

Sie können die Protokollierung für einen bestimmten Benutzer während seiner Datenbanksitzung mit dem folgenden Befehl deaktivieren.

ALTER USER myuser IN DATABASE mydatabase SET pgaudit.log TO 'none';

Verwenden Sie die folgende Abfrage, um die Einstellungsspalte für eine bestimmte Benutzer- und Datenbankkombination auf pgaudit.log zu überprüfen. 

SELECT
    usename AS "user_name",
    datname AS "database_name",
    pg_catalog.array_to_string(setconfig, E'\n') AS "settings"
FROM
    pg_catalog.pg_db_role_setting s
    LEFT JOIN pg_catalog.pg_database d ON d.oid = setdatabase
    LEFT JOIN pg_catalog.pg_user r ON r.usesysid = setrole
WHERE
    usename = 'myuser'
    AND datname = 'mydatabase'
ORDER BY
    1,
    2;

Die Ausgabe entspricht weitgehend der folgenden.

  user_name | database_name |     settings
-----------+---------------+------------------
 myuser    | mydatabase    | pgaudit.log=none
(1 row)

Nachdem Sie das Auditing für myuser deaktiviert haben, entscheiden Sie, dass Sie Änderungen an mydatabase nicht verfolgen möchten. Sie können das Auditing für diese spezifische Datenbank mit dem folgenden Befehl deaktivieren.

ALTER DATABASE mydatabase SET pgaudit.log to 'NONE';

Verwenden Sie dann die folgende Abfrage, um in der Spalte database_specific_settings zu überprüfen, ob pgaudit.log auf gesetzt ist. NONE

SELECT
a.datname AS database_name,
b.setconfig AS database_specific_settings
FROM
pg_database a
FULL JOIN pg_db_role_setting b ON a.oid = b.setdatabase
WHERE
a.datname = 'mydatabase';

Die Ausgabe sollte folgendermaßen aussehen.

 database_name | database_specific_settings
---------------+----------------------------
 mydatabase    | {pgaudit.log=NONE}
(1 row)

Verwenden Sie den folgenden Befehl, um die Einstellungen wieder auf die Standardeinstellung für myuser festzulegen:

ALTER USER myuser RESET pgaudit.log;

Verwenden Sie den folgenden Befehl, um die Einstellungen wieder auf die Standardeinstellung für eine Datenbank festzulegen.

ALTER DATABASE mydatabase RESET pgaudit.log;

Verwenden Sie den folgenden Befehl, um Benutzer und Datenbank wieder auf die Standardeinstellung festzulegen.

ALTER USER myuser IN DATABASE mydatabase RESET pgaudit.log;

Sie können auch bestimmte Ereignisse im Protokoll erfassen, indem Sie pgaudit.log auf einen der anderen zulässigen Werte für den pgaudit.log-Parameter festlegen. Weitere Informationen finden Sie unter Liste der zulässigen Einstellungen für den pgaudit.log-Parameter.

ALTER USER myuser SET pgaudit.log TO 'read';
ALTER DATABASE mydatabase SET pgaudit.log TO 'function';
ALTER USER myuser IN DATABASE mydatabase SET pgaudit.log TO 'read,function'