pgAudit 拡張機能のリファレンス - Amazon Relational Database Service
許容される設定のリスト

pgAudit 拡張機能のリファレンス

このセクションにリストされている 1 つまたは複数のパラメータを変更することで、監査ログに必要な詳細レベルを指定できます。

pgAudit 動作の制御

監査ログは、次のテーブルに示す 1 つ以上のパラメータを変更することで制御できます。

パラメータ 説明

pgaudit.log

セッション監査ログ記録によってログに記録されるステートメントのクラスを指定します。許容値には、ddl、関数、その他、読み取り、ロール、書き込み、なし、すべてが含まれます。(詳しくは、「pgaudit.log パラメータの許容設定のリスト」を参照してください)。

pgaudit.log_catalog

オンにすると (1 に設定)、ステートメント内のすべてのリレーションが pg_catalog 内にある場合に、ステートメントを監査証跡に追加します。

pgaudit.log_level

ログエントリに使用されるログレベルを指定します。指定できる値は debug5、debug4、debug3、debug2、debug1、info、notice、warning、log です。

pgaudit.log_parameter

オン (1 に設定) すると、ステートメントとともに渡されたパラメータが監査ログに記録されます。

pgaudit.log_relation

オンにすると (1 に設定)、セッションの監査ログで、SELECT ステートメントまたは DML ステートメントで参照されるリレーション (TABLE、VIEW など) ごとに個別のログエントリが作成されます。

pgaudit.log_statement_once

ログ記録に、ステートメントテキストとパラメータを、ステートメントとサブステートメントの組み合わせの最初のログエントリとともに含めるか、すべてのエントリとともに含めるかを指定します。

pgaudit.role

オブジェクト監査ログ記録に使用するマスターロールを指定します。唯一許容されるエントリは rds_pgaudit です。

pgaudit.log パラメータの許容設定のリスト

Value 説明

なし

これがデフォルトです。データベースの変更は記録されません。

すべて

すべてをログに記録します (読み取り、書き込み、関数、ロール、DDL、その他)。

ddl

ROLE クラスに含まれていない、すべてのデータ定義言語 (DDL) ステートメントのログ記録。

関数

関数呼び出し、および DO ブロックのログ記録。

misc

DISCARDFETCHCHECKPOINTVACUUMSET など、さまざまなコマンドのログ記録。

read

SELECT および COPY のログ記録 (ソースがリレーション (テーブルなどの) またはクエリの場合)。

ロール

GRANTREVOKECREATE ROLEALTER ROLEDROP ROLE など、ロールと権限に関連するステートメントのログ記録。

書き込み

INSERTUPDATEDELETETRUNCATE、および COPY のログ記録 (送信先がリレーションの場合)。

セッション監査で複数のイベントタイプをログ記録するには、カンマ区切りリストを使用します。すべてのイベントタイプをログ記録するには、pgaudit.logALL に設定します。DB インスタンスを再起動して、変更を適用します。

オブジェクト監査では、監査のログ記録を絞り込み、特定のリレーションを操作できます。例えば、1 つまたは複数のテーブルで、READ オペレーションのログ記録を監査するよう指定できます。