pgAudit 扩展的参考 - Amazon Relational Database Service

pgAudit 扩展的参考

您可以通过更改本节中列出的一个或多个参数来为审计日志指定所需的详细级别。

控制 pgAudit 行为

您可以通过更改下表中列出的一个或多个参数来控制审计日志记录。

参数 描述

pgaudit.log

指定会话审计日志记录将记录哪些语句类。允许的值包括 ddl、function、misc、read、role、write、none、all。有关更多信息,请参阅 pgaudit.log 参数允许的设置列表

pgaudit.log_catalog

启用(设置为 1)时,如果语句中的所有关系都在 pg_catalog 中,则将语句添加到审计跟踪中。

pgaudit.log_level

指定要用于日志条目的日志级别。允许的值:debug5、debug4、debug3、debug2、debug1、info、notice、warning、log

pgaudit.log_parameter

启用(设置为 1)时,将在审计日志中捕获随语句传递的参数。

pgaudit.log_relation

启用(设置为 1)时,会话的审计日志为 SELECCT 或 DML 语句中引用的每个关系(TABLE、VIEW 等)创建单独的日志条目。

pgaudit.log_statement_once

指定日志记录在语句/子语句组合中的第一个日志条目中包含语句文本和参数,还是在每个条目中都包含。

pgaudit.role

指定用于对象审计日志记录的主角色。唯一允许的条目是 rds_pgaudit

pgaudit.log 参数允许的设置列表

描述

none

这是默认模式。不记录任何数据库更改。

all

记录所有内容(read、write、function、role、ddl、misc)。

ddl

记录所有数据定义语言(DDL)语句(不包括在 ROLE 类中)。

函数

记录函数调用和 DO 块。

misc

记录其他命令,例如 DISCARDFETCHCHECKPOINTVACUUMSET

read

当源为关系(例如表)或查询时记录 SELECTCOPY

role

记录与角色和权限相关的语句,例如 GRANTREVOKECREATE ROLEALTER ROLEDROP ROLE

写入

当目标为关系(表)时,记录 INSERTUPDATEDELETETRUNCATECOPY

要使用会话审计记录多种事件类型,请使用逗号分隔的列表。要记录所有事件类型,请将 pgaudit.log 设置为 ALL。重启数据库实例以应用更改。

通过对象审计,您可以细化审计日志记录以使用特定的关系。例如,您可以指定要对一个或多个表上的 READ 操作进行审计日志记录。