כדי להגדיר את אופן הפעולה של רישום ביומן של pgAudit, מגדירים את הדגל pgaudit.log או את הדגל pgaudit.role:
מגדירים את
pgaudit.logכדי להפעיל ולשנות את ההגדרות של רישום ביומן של סשנים. אפשר להגדיר את הדגל הזה במופע, במסד נתונים או בתפקיד כדי להגדיר את היקף הפעולות שיופיעו ביומני pgAudit. מגדירים את הדגל לערך שמגדיר את סוג הפעולות ש-pgAudit מתעד ביומן.מגדירים את
pgaudit.roleכדי להפעיל ולשנות את ההגדרות של רישום ביומן של אובייקטים. הרישום ביומן כולל הצהרות שמשפיעות על קשרים מסוימים. מגדירים את הדגל הזה לשם של תפקיד, ואז מעניקים גישה להצהרה לאובייקטים ספציפיים שרוצים לרשום ביומן. הגישה להצהרה כוללת אתSELECT, INSERT, UPDATE, and DELETE. pgAudit רושם ביומן את כל הפעולות שתואמות לשילוב של גישה ואובייקט שהופעלו על ידי משתמש כלשהו.
בקטעים הבאים מופיעות דוגמאות שמציגות את האפשרויות להגדרת התנהגות הרישום ביומן של pgAudit.
למידע נוסף על היכולות של התוסף, אפשר לעיין במסמכי התיעוד של pgAudit.
הגדרת רישום ביומן ביקורת של מפגשים לכל מסדי הנתונים במופע
כדי להגדיר ביקורת לכל מסדי הנתונים במופע, מגדירים את הדגל pgaudit.log ברמת המופע.
לדוגמה:
- כדי להפעיל ביקורת על כל הפעולות בכל מסדי הנתונים במופע:
gcloud alloydb instances update my-instance \ --database-flags pgaudit.log=all[,flag2=value2...] \ --region=us-central1 \ --cluster=my-cluster \ --project=my-project - כדי להפעיל ביקורת רק על פעולות קריאה וכתיבה בכל מסדי הנתונים במופע:
gcloud alloydb instances update my-instance \ --database-flags=^:^pgaudit.log=read,write[:flag2=value2...] \ --region=us-central1 \ --cluster=my-cluster \ --project=my-project
שימו לב לשימוש בתחביר של מפריד חלופי, שמאפשר להשתמש בפסיקים בערך של דגל.
מידע על הגדרת דגלים של מסד נתונים זמין במאמר הגדרת דגלים של מסד נתונים.
הגדרת יומן ביקורת של סשנים למסד נתונים ספציפי
אפשר להגדיר ביקורת למסד נתונים ספציפי על ידי הגדרת האפשרות pgaudit.log
ברמת מסד הנתונים.
לדוגמה, כדי להפעיל ביקורת של קריאה/כתיבה במסד נתונים, finance:
finance=> ALTER DATABASE finance SET pgaudit.log = 'read,write';
הגדרת רישום ביומן ביקורת של סשן למשתמש יחיד
אפשר להפעיל את האפשרות הזו עבור משתמש ספציפי על ידי הגדרת pgaudit.logברמת התפקיד.
לדוגמה, כדי להגדיר ביקורת לכל פעולות מסד הנתונים שמבצע המשתמש, Alice:
finance=> ALTER ROLE alice SET pgaudit.log = 'all';
הגדרת רישום ביומן ביקורת של אובייקטים
היקף הביקורת על קשר מצומצם יותר מהיקף הביקורת על מסד נתונים ספציפי. כשמבצעים ביקורת על קשר, המערכת מקצה תפקיד ייחודי של מבקר לפרמטר pgaudit.role. הפעולה הזו מתעדת כל אובייקט או קשר שמוענק לתפקיד הזה.
לדוגמה:
- כדי להגדיר ביקורת לכל השאילתות
SELECTבטבלת השכר במסד הנתונים של העובדים:employee=> CREATE ROLE auditor WITH NOLOGIN;employee=> ALTER DATABASE employee SET pgaudit.role = 'auditor';employee=> GRANT SELECT ON salary TO auditor;
אפשר גם לבדוק קבוצת משנה של עמודות ביחס נתון.
לדוגמה:
- כדי להגדיר רישום ביומן ביקורת שמתרחש רק כשניגשים לעמודות
incomeו-tax_statusמהקשר של השכר:employee=> GRANT SELECT(income, tax_status) ON salary TO auditor;