本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 稽核資料庫物件 在您的 RDS for PostgreSQL 資料庫執行個體上設定 pgAudit,並針對您的要求進行設定後,會在 PostgreSQL 日誌中擷取更詳細的資訊。例如,雖然預設 PostgreSQL 記錄組態會識別在資料庫資料表中進行變更的日期和時間,但使用 pgAudit 擴充功能時,日誌項目可以包括結構描述、進行變更的使用者,以及其他詳細資訊,視擴充功能參數的設定方式而定。您可以將稽核設定為以下列方式追蹤變更。 + 對於每個工作階段,依使用者。對於工作階段層級,您可以擷取完整的命令文字。 + 對於每個物件,依使用者和資料庫。 在系統上建立 `rds_pgaudit` 角色,然後將此角色新增至自訂參數群組中的 `pgaudit.role` 參數時,便會啟用物件稽核功能。根據預設,未設定 `pgaudit.role` 參數,且唯一允許的值為 `rds_pgaudit`。下列步驟假設 `pgaudit` 已初始化,且您已遵循[設定 pgAudit 擴充功能](Appendix.PostgreSQL.CommonDBATasks.pgaudit.basic-setup.md)中的程序建立 `pgaudit` 擴充功能。 ![\[設定 pgAudit 後 PostgreSQL 日誌檔的影像。\]](http://docs.aws.amazon.com/zh_tw/AmazonRDS/latest/UserGuide/images/pgaudit-log-example.png) 如此範例所示,「LOG: AUDIT: SESSION」一行提供資料表及其結構描述的相關資訊,以及其他詳細資訊。 **設定物件稽核** 1. 使用 `psql` 連線至 RDS for PostgreSQL 資料庫執行個體。。 ``` psql --host=your-instance-name.aws-region.rds.amazonaws.com --port=5432 --username=postgrespostgres --password --dbname=labdb ``` 1. 使用下列命令建立名為 `rds_pgaudit` 的資料庫角色。 ``` labdb=> CREATE ROLE rds_pgaudit; CREATE ROLE labdb=> ``` 1. 關閉 `psql` 工作階段。 ``` labdb=> \q ``` 在接下來的幾個步驟中,使用 AWS CLI 修改自訂參數群組中的稽核日誌參數。 1. 使用下列 AWS CLI 命令,將 `pgaudit.role` 參數設定為 `rds_pgaudit`。根據預設,此參數是空的,且 `rds_pgaudit` 是唯一允許的值。 ``` aws rds modify-db-parameter-group \ --db-parameter-group-name custom-param-group-name \ --parameters "ParameterName=pgaudit.role,ParameterValue=rds_pgaudit,ApplyMethod=pending-reboot" \ --region aws-region ``` 1. 使用下列 AWS CLI 命令,重新啟動 RDS for PostgreSQL 資料庫執行個體,以便您對參數所做的變更生效。 ``` aws rds reboot-db-instance \ --db-instance-identifier your-instance \ --region aws-region ``` 1. 執行下列命令來確認 `pgaudit.role` 已設定為 `rds_pgaudit`。 ``` SHOW pgaudit.role; pgaudit.role ------------------ rds_pgaudit ``` 如要測試 pgAudit 記錄功能,您可以執行幾個要稽核的範例命令。例如,您可以執行下列命令。 ``` CREATE TABLE t1 (id int); GRANT SELECT ON t1 TO rds_pgaudit; SELECT * FROM t1; id ---- (0 rows) ``` 資料庫記錄應包含類似以下的項目。 ``` ... 2017-06-12 19:09:49 UTC:...:rds_test@postgres:[11701]:LOG: AUDIT: OBJECT,1,1,READ,SELECT,TABLE,public.t1,select * from t1; ... ``` 如需有關檢視日誌的資訊,請參閱 [監控 Amazon RDS 日誌檔案](USER_LogAccess.md)。 若要進一步了解 pgAudit 擴充功能,請參閱 GitHub 上的 [pgAudit](https://github.com/pgaudit/pgaudit/blob/master/README.md)。