Menyiapkan pgAudit ekstensi - Layanan Basis Data Relasional Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan pgAudit ekstensi

Untuk menyiapkan pgAudit ekstensi pada , Anda terlebih dahulu menambahkan pgAudit ke pustaka bersama pada grup parameter DB kustom untuk instans Postgre DB Anda. RDS RDS SQL Untuk informasi cara membuat grup parameter DB kustom, lihat Grup parameter untuk RDS. Selanjutnya, Anda menginstal pgAudit ekstensi. Terakhir, Anda menentukan basis data dan objek yang ingin diaudit. Prosedur di bagian ini menunjukkan caranya kepada Anda. Anda dapat menggunakan AWS Management Console atau AWS CLI.

Anda harus memiliki izin sebagai peran rds_superuser untuk melakukan semua tugas ini.

Untuk mengatur pgAudit ekstensi

  1. Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.

  2. Di panel navigasi, pilih instance . SQL

  3. Buka tab Konfigurasi untuk instance penulis cluster Anda. RDSuntuk contoh Postgre SQL DB. Di antara detail Instans, temukan tautan Grup parameter.

  4. Pilih tautan untuk membuka parameter khusus yang terkait dengan cluster DB Anda. RDSuntuk contoh Postgre SQL DB.

  5. Di kolom pencarian Parameter, ketik shared_pre untuk menemukan parameter shared_preload_libraries.

  6. Pilih Edit parameter untuk mengakses nilai properti.

  7. Tambahkan pgaudit ke daftar di kolom Nilai. Gunakan koma untuk memisahkan item dalam daftar nilai.

    Gambar shared_preload_libaries parameter dengan pgAudit ditambahkan.

  8. Reboot untuk instance Postgre SQL DB sehingga perubahan Anda pada parameter berlaku. shared_preload_libraries

  9. Ketika instance tersedia, verifikasi yang pgAudit telah diinisialisasi. Gunakan psql untuk terhubung ke dan kemudian jalankan perintah berikut.

    SHOW shared_preload_libraries;
shared_preload_libraries 
--------------------------
rdsutils,pgaudit
(1 row)

  10. Dengan pgAudit diinisialisasi, Anda sekarang dapat membuat ekstensi. Anda perlu membuat ekstensi setelah menginisialisasi pustaka karena pgaudit ekstensi menginstal pemicu peristiwa untuk mengaudit pernyataan bahasa definisi data (). DDL 

    CREATE EXTENSION pgaudit;

  11. Tutup sesi psql.

    labdb=> \q

  12. Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.

  13. Temukan parameter pgaudit.log dalam daftar lalu atur ke nilai yang sesuai untuk kasus penggunaan Anda. Misalnya, menyetel parameter pgaudit.log ke write seperti yang ditunjukkan pada gambar berikut menangkap sisipan, pembaruan, penghapusan, dan beberapa jenis lainnya yang berubah pada log.

    Gambar parameter pgaudit.log dengan pengaturan.

    Anda juga dapat memilih salah satu nilai berikut untuk parameter pgaudit.log.

    • none – Ini adalah default. Tidak ada perubahan basis data yang dibuat log.

    • semua – Semua dibuat log (baca, tulis, fungsi, peran, ddl, misc).

    • ddl — Mencatat semua pernyataan bahasa definisi data (DDL) yang tidak termasuk dalam ROLE kelas.

    • fungsi – Membuat log panggilan fungsi dan blok DO.

    • misc – Membuat log berbagai perintah, seperti DISCARD, FETCH, CHECKPOINT, VACUUM, dan SET.

    • baca – Membuat log SELECT dan COPY saat sumbernya adalah relasi (seperti tabel) atau kueri.

    • peran – Membuat log pernyataan yang terkait dengan peran dan hak akses, seperti GRANT, REVOKE, CREATE ROLE, ALTER ROLE, dan DROP ROLE.

    • write – Membuat log INSERT, UPDATE, DELETE, TRUNCATE, dan COPY saat tujuannya adalah relasi (tabel).

  14. Pilih Simpan perubahan.

  15. Buka RDS konsol Amazon di https://console.aws.amazon.com/rds/.

  16. Pilih Postgre SQL DB dari daftar Database.

Untuk pengaturan pgAudit

Untuk pengaturan pgAudit menggunakan AWS CLI, Anda memanggil modify-db-parameter-groupoperasi untuk memodifikasi parameter log audit di grup parameter kustom Anda, seperti yang ditunjukkan dalam prosedur berikut.

  1. Gunakan yang berikut ini AWS CLI perintah untuk pgaudit menambah shared_preload_libraries parameter.

    aws rds modify-db-parameter-group \
   --db-parameter-group-name custom-param-group-name \
   --parameters "ParameterName=shared_preload_libraries,ParameterValue=pgaudit,ApplyMethod=pending-reboot" \
   --region aws-region

  2. Gunakan yang berikut ini AWS CLI perintah untuk me-reboot sehingga pustaka SQL pgaudit diinisialisasi.

    aws rds reboot-db-instance \
    --db-instance-identifier your-instance \
    --region aws-region

  3. Saat instans tersedia, verifikasikan bahwa pgaudit telah diinisialisasi. Gunakan psql untuk terhubung ke dan kemudian jalankan perintah berikut.

    SHOW shared_preload_libraries;
shared_preload_libraries 
--------------------------
rdsutils,pgaudit
(1 row)

    Dengan pgAudit diinisialisasi, Anda sekarang dapat membuat ekstensi.

    CREATE EXTENSION pgaudit;

  4. Tutup psql sesi sehingga Anda dapat menggunakan AWS CLI.

    labdb=> \q

  5. Gunakan yang berikut ini AWS CLI perintah untuk menentukan kelas pernyataan yang ingin dicatat oleh sesi audit logging. Contoh ini menetapkan parameter pgaudit.log ke write, yang menangkap sisipan, pembaruan, dan penghapusan ke log.

    aws rds modify-db-parameter-group \
   --db-parameter-group-name custom-param-group-name \
   --parameters "ParameterName=pgaudit.log,ParameterValue=write,ApplyMethod=pending-reboot" \
   --region aws-region

    Anda juga dapat memilih salah satu nilai berikut untuk parameter pgaudit.log.

    • none – Ini adalah default. Tidak ada perubahan basis data yang dibuat log.

    • semua – Semua dibuat log (baca, tulis, fungsi, peran, ddl, misc).

    • ddl — Mencatat semua pernyataan bahasa definisi data (DDL) yang tidak termasuk dalam ROLE kelas.

    • fungsi – Membuat log panggilan fungsi dan blok DO.

    • misc – Membuat log berbagai perintah, seperti DISCARD, FETCH, CHECKPOINT, VACUUM, dan SET.

    • baca – Membuat log SELECT dan COPY saat sumbernya adalah relasi (seperti tabel) atau kueri.

    • peran – Membuat log pernyataan yang terkait dengan peran dan hak akses, seperti GRANT, REVOKE, CREATE ROLE, ALTER ROLE, dan DROP ROLE.

    • write – Membuat log INSERT, UPDATE, DELETE, TRUNCATE, dan COPY saat tujuannya adalah relasi (tabel).

    Nyalakan ulang menggunakan yang berikut SQL ini AWS CLI perintah.

    aws rds reboot-db-instance \
    --db-instance-identifier your-instance \
    --region aws-region