Menyiapkan pgAudit ekstensi - Amazon Aurora

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan pgAudit ekstensi

Untuk menyiapkan pgAudit ekstensi pada cluster DB instans Postgre SQL DB, Anda terlebih dahulu menambahkan pgAudit ke pustaka bersama pada Anda. RDS RDS SQL grup parameter cluster DB kustom untuk cluster Aurora SQL Postgre DB Anda. Untuk informasi cara membuat Grup parameter klaster DB, lihat . Selanjutnya, Anda menginstal pgAudit ekstensi. Terakhir, Anda menentukan basis data dan objek yang ingin diaudit. Prosedur di bagian ini menunjukkan caranya kepada Anda. Anda dapat menggunakan AWS Management Console atau AWS CLI.

Anda harus memiliki izin sebagai peran rds_superuser untuk melakukan semua tugas ini.

Untuk mengatur pgAudit ekstensi

  1. Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.

  2. Di panel navigasi, pilih instance Writer cluster Aurora SQL Postgre DB Anda untuk Postgre DB. SQL

  3. Buka tab Konfigurasi untuk instance penulis cluster Aurora Postgre SQL DB Anda. Di antara detail Instans, temukan tautan Grup parameter.

  4. Pilih tautan untuk membuka parameter khusus yang terkait dengan cluster Aurora SQL Postgre DB Anda.

  5. Di kolom pencarian Parameter, ketik shared_pre untuk menemukan parameter shared_preload_libraries.

  6. Pilih Edit parameter untuk mengakses nilai properti.

  7. Tambahkan pgaudit ke daftar di kolom Nilai. Gunakan koma untuk memisahkan item dalam daftar nilai.

    Gambar shared_preload_libaries parameter dengan pgAudit ditambahkan.

  8. Reboot instance penulis cluster Aurora Postgre SQL DB Anda RDS sehingga perubahan Anda pada parameter berlaku. shared_preload_libraries

  9. Ketika instance tersedia, verifikasi yang pgAudit telah diinisialisasi. Gunakan psql untuk terhubung ke instance penulis cluster Aurora Postgre SQL DB Anda, dan kemudian jalankan perintah berikut.

    SHOW shared_preload_libraries;
shared_preload_libraries 
--------------------------
rdsutils,pgaudit
(1 row)

  10. Dengan pgAudit diinisialisasi, Anda sekarang dapat membuat ekstensi. Anda perlu membuat ekstensi setelah menginisialisasi pustaka karena pgaudit ekstensi menginstal pemicu peristiwa untuk mengaudit pernyataan bahasa definisi data (). DDL 

    CREATE EXTENSION pgaudit;

  11. Tutup sesi psql.

    labdb=> \q

  12. Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.

  13. Temukan parameter pgaudit.log dalam daftar lalu atur ke nilai yang sesuai untuk kasus penggunaan Anda. Misalnya, menyetel parameter pgaudit.log ke write seperti yang ditunjukkan pada gambar berikut menangkap sisipan, pembaruan, penghapusan, dan beberapa jenis lainnya yang berubah pada log.

    Gambar parameter pgaudit.log dengan pengaturan.

    Anda juga dapat memilih salah satu nilai berikut untuk parameter pgaudit.log.

    • none – Ini adalah default. Tidak ada perubahan basis data yang dibuat log.

    • semua – Semua dibuat log (baca, tulis, fungsi, peran, ddl, misc).

    • ddl — Mencatat semua pernyataan bahasa definisi data (DDL) yang tidak termasuk dalam ROLE kelas.

    • fungsi – Membuat log panggilan fungsi dan blok DO.

    • misc – Membuat log berbagai perintah, seperti DISCARD, FETCH, CHECKPOINT, VACUUM, dan SET.

    • baca – Membuat log SELECT dan COPY saat sumbernya adalah relasi (seperti tabel) atau kueri.

    • peran – Membuat log pernyataan yang terkait dengan peran dan hak akses, seperti GRANT, REVOKE, CREATE ROLE, ALTER ROLE, dan DROP ROLE.

    • write – Membuat log INSERT, UPDATE, DELETE, TRUNCATE, dan COPY saat tujuannya adalah relasi (tabel).

  14. Pilih Simpan perubahan.

  15. Buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.

  16. Pilih instance penulis cluster Aurora Postgre SQL DB Anda RDS untuk instance dari daftar Database.

Untuk pengaturan pgAudit

Untuk pengaturan pgAudit menggunakan AWS CLI, Anda memanggil modify-db-parameter-groupoperasi untuk memodifikasi parameter log audit di grup parameter kustom Anda, seperti yang ditunjukkan dalam prosedur berikut.

  1. Gunakan yang berikut ini AWS CLI perintah untuk pgaudit menambah shared_preload_libraries parameter.

    aws rds modify-db-parameter-group \
   --db-parameter-group-name custom-param-group-name \
   --parameters "ParameterName=shared_preload_libraries,ParameterValue=pgaudit,ApplyMethod=pending-reboot" \
   --region aws-region

  2. Gunakan yang berikut ini AWS CLI perintah untuk me-reboot instance penulis cluster Aurora Postgre SQL DB Anda RDS untuk instance Postgre DB diinisialisasi.

    aws rds reboot-db-instance \
    --db-instance-identifier writer-instance \
    --region aws-region

  3. Saat instans tersedia, verifikasikan bahwa pgaudit telah diinisialisasi. Gunakan psql untuk terhubung ke instance penulis cluster Aurora Postgre SQL DB Anda, dan kemudian jalankan perintah berikut.

    SHOW shared_preload_libraries;
shared_preload_libraries 
--------------------------
rdsutils,pgaudit
(1 row)

    Dengan pgAudit diinisialisasi, Anda sekarang dapat membuat ekstensi.

    CREATE EXTENSION pgaudit;

  4. Tutup psql sesi sehingga Anda dapat menggunakan AWS CLI.

    labdb=> \q

  5. Gunakan yang berikut ini AWS CLI perintah untuk menentukan kelas pernyataan yang ingin dicatat oleh sesi audit logging. Contoh ini menetapkan parameter pgaudit.log ke write, yang menangkap sisipan, pembaruan, dan penghapusan ke log.

    aws rds modify-db-parameter-group \
   --db-parameter-group-name custom-param-group-name \
   --parameters "ParameterName=pgaudit.log,ParameterValue=write,ApplyMethod=pending-reboot" \
   --region aws-region

    Anda juga dapat memilih salah satu nilai berikut untuk parameter pgaudit.log.

    • none – Ini adalah default. Tidak ada perubahan basis data yang dibuat log.

    • semua – Semua dibuat log (baca, tulis, fungsi, peran, ddl, misc).

    • ddl — Mencatat semua pernyataan bahasa definisi data (DDL) yang tidak termasuk dalam ROLE kelas.

    • fungsi – Membuat log panggilan fungsi dan blok DO.

    • misc – Membuat log berbagai perintah, seperti DISCARD, FETCH, CHECKPOINT, VACUUM, dan SET.

    • baca – Membuat log SELECT dan COPY saat sumbernya adalah relasi (seperti tabel) atau kueri.

    • peran – Membuat log pernyataan yang terkait dengan peran dan hak akses, seperti GRANT, REVOKE, CREATE ROLE, ALTER ROLE, dan DROP ROLE.

    • write – Membuat log INSERT, UPDATE, DELETE, TRUNCATE, dan COPY saat tujuannya adalah relasi (tabel).

    Nyalakan ulang instance penulis cluster Aurora Postgre SQL DB Anda RDS untuk instance Postgre DB ini AWS CLI perintah.

    aws rds reboot-db-instance \
    --db-instance-identifier writer-instance \
    --region aws-region