Megosztás a következőn keresztül:

Naplózás az Azure Database for PostgreSQL-ben – rugalmas kiszolgáló

  • Cikk

A következőkre vonatkozik: Azure Database for PostgreSQL – Rugalmas kiszolgáló

A rugalmas Azure Database for PostgreSQL-kiszolgálón futó adatbázis-tevékenységek naplózása a pgaudit bővítményen keresztül érhető el. pgaudit részletes munkamenet- és/vagy objektumnaplózást biztosít.

Ha azure-erőforrásszintű naplókat szeretne a számítási és tárolási skálázáshoz hasonló műveletekhez, tekintse meg az Azure-tevékenységnaplót.

Használati szempontok

Alapértelmezés szerint a pgaudit naplóutasítások és a rendszeres naplóutasítások a Postgres standard naplózási eszközével lesznek kibocsátva. A rugalmas Azure Database for PostgreSQL-kiszolgálón konfigurálhatja az összes naplót úgy, hogy azokat elküldje az Azure Monitor Log Store-ba későbbi elemzés céljából a Log Analyticsben. Ha engedélyezi az Azure Monitor-erőforrásnaplózást, a rendszer automatikusan (JSON formátumban) elküldi a naplókat az Azure Storage, az Event Hubs és/vagy az Azure Monitor naplóinak, az Ön választása szerint.

A naplózás Azure Storage-, Event Hubs- vagy Azure Monitor-naplókba való beállításáról a kiszolgálónaplókról szóló cikk erőforrásnaplók szakaszában olvashat.

A bővítmény telepítése

A bővítmény használatához pgaudit engedélyeznie, be kell töltenie és létre kell hoznia a bővítményt abban az adatbázisban, amelyen használni szeretné.

Bővítménybeállítások konfigurálása

pgaudit lehetővé teszi a munkamenet- vagy objektumnaplózás konfigurálását. A munkamenet-naplózás részletes naplókat bocsát ki a végrehajtott utasításokról. Az objektumnaplózás adott kapcsolatokra terjed ki. Választhat, hogy beállít egy vagy mindkét naplózási típust.

Miután engedélyezte pgaudit, konfigurálhatja a paramétereket a naplózás elindításához.

A konfiguráláshoz pgauditkövesse az alábbi utasításokat:

Az Azure Portal használata:

  1. Válassza ki a rugalmas PostgreSQL-kiszolgálóhoz készült Azure Database-példányt.

  2. Az erőforrásmenü Beállítások területén válassza a Kiszolgálóparaméterek lehetőséget.

  3. Keresse meg a pgaudit paramétereket.

  4. Válassza ki a szerkeszteni kívánt paramétert. Például a naplózásINSERTUPDATE, a , DELETE, TRUNCATEés COPY az utasítások indításához állítsa a következőre pgaudit.log WRITE: .

  5. A módosítások mentéséhez válassza a Mentés gombot.

Az egyes paraméterek definícióját pgaudit a hivatalos dokumentáció tartalmazza. Először tesztelje a paramétereket, és győződjön meg arról, hogy a várt viselkedést kapja.

Az ON beállítás pgaudit.log_client például nem csak naplóeseményeket ír a kiszolgálónaplóba, hanem elküldi őket az ügyfélfolyamatoknak (például a psql-nek). Ezt a beállítást általában javasolt letiltva hagyni.

A pgaudit.log_level csak akkor engedélyezett, ha a pgaudit.log_client be van kapcsolva.

A rugalmas Azure Database for PostgreSQL-kiszolgálón pgaudit.log a dokumentációban pgaudit leírtaknak megfelelően nem állítható be - (mínuszjeles) parancsikon. Minden szükséges utasításosztályt (OLVASÁS, ÍRÁS stb.) külön kell megadni.

Ha a log_statement paramétert egy vagy ALTER ROLE/USER ... WITH PASSWORD ... ;, parancsra DDL állítja be vagy ALL futtatjaCREATE ROLE/USER ... WITH PASSWORD ... ; , akkor a PostgreSQL létrehoz egy bejegyzést a PostgreSQL-naplókban, ahol a jelszó tiszta szövegben van naplózva, ami biztonsági kockázatot okozhat. Ez a PostgreSQL-motor kialakításának várható viselkedése.

Használhatja azonban a pgaudit bővítményt, és beállíthatja pgaudit.log a következőreDDL, amely nem rögzít utasítást CREATE/ALTER ROLE a Postgres-kiszolgálónaplóban, ellentétben a beállításkorDDLlog_statement. Ha naplóznia kell ezeket az utasításokat, akkor azt is beállíthatjapgaudit.logROLE, hogy a naplózás CREATE/ALTER ROLEsorán a naplókban a jelszó ki legyen állítva.

Auditnapló formátuma

Minden naplózási bejegyzés a kezdőbetűvel AUDIT:kezdődik. A többi bejegyzés formátuma a következő dokumentációban pgaudittalálható: .

Első lépések

A gyors kezdéshez állítsa be pgaudit.log ALLés nyissa meg a kiszolgálónaplókat a kimenet áttekintéséhez.

Az auditnaplók megtekintése

A naplók elérésének módja attól függ, hogy melyik végpontot választja. Tekintse meg az Azure Storage naplótárfiókjának cikkét. Tekintse meg az Event Hubs stream Azure-naplóiról szóló cikket.

Az Azure Monitor-naplók esetében a rendszer a naplókat a kiválasztott munkaterületre küldi. A Postgres-naplók az AzureDiagnostics gyűjtési módot használják , így lekérdezhetők az AzureDiagnostics táblából. További információ a lekérdezésről és a riasztásról az Azure Monitor Naplók lekérdezési áttekintésében.

Ezt a lekérdezést használhatja az első lépésekhez. A riasztásokat lekérdezések alapján konfigurálhatja.

Az adott kiszolgáló postgres-naplóiban szereplő összes pgaudit bejegyzés keresése az utolsó napon

AzureDiagnostics
| where Resource =~ "<flexible-server-name>"
| where Category == "PostgreSQLLogs"
| where TimeGenerated > ago(1d)
| where Message contains "AUDIT:"

Kapcsolódó tartalom