Visualizzare i log di controllo generati da pgAudit per AlloyDB per PostgreSQL

Questa pagina descrive come visualizzare i log di controllo generati da pgAudit, che ti aiuta a configurare i log spesso necessari per rispettare le certificazioni governative, finanziarie e ISO. Questa pagina descrive anche il formato dei log per pgAudit. Per saperne di più su pgAudit, consulta Informazioni su pgAudit.

Prima di iniziare

Per visualizzare gli audit log, devi:

• Abilita gli audit log di accesso ai dati per il tuo progetto AlloyDB.

• Assicurati di disporre del ruolo Visualizzatore log privati (roles/logging.privateLogViewer).

Visualizza audit log

I log pgAudit generati per una determinata istanza vengono inviati a Cloud Logging come audit log di accesso ai dati.

Puoi visualizzare i log pgAudit generati utilizzando l'applicazione Esplora log.

Per visualizzare i log pgAudit, seleziona il filtro dei log cloudaudit.googleapis.com/data_access nell'applicazione Esplora log.

Per visualizzare tutti i log pgAudit per un progetto AlloyDB, esegui la seguente query utilizzando l'interfaccia Filtro avanzato:

resource.type="alloydb.googleapis.com/Instance"
logName="projects/your-project-name/logs/cloudaudit.googleapis.com%2Fdata_access"
protoPayload.request.@type="type.googleapis.com/google.cloud.alloydb.audit.v1.PgAuditEntry"

Formato dei log per pgAudit

Ogni voce di log pgAudit nei log di controllo dell'accesso ai dati contiene campi che rappresentano le informazioni raccolte per una query. Per saperne di più su questi campi voce di log, consulta la documentazione di pgAudit.

Voce di log pgAudit di esempio:

{
  protoPayload: {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    methodName: "alloydb.instances.query"
    request: {
      @type: "type.googleapis.com/google.cloud.alloydb.audit.v1.PgAuditEntry"
      auditClass: "READ"
      auditType: "SESSION"
      chunkCount: "1"
      chunkIndex: "1"
      command: "SELECT"
      database: "finance"
      databaseSessionId: 2209692
      parameter: "[not logged]"
      statement: "SELECT * FROM revenue"
      statementId: 2
      substatementId: 1
      user: "alice"
    }
  }
}

Di seguito sono riportate le descrizioni dei campi negli audit log di accesso ai dati:

• auditClass. Il tipo di istruzione registrata. I valori possibili sono READ, WRITE, FUNCTION, ROLE, DDL, MISC e MISC_SET.
• auditType. SESSION o OBJECT.
• chunkCount. La suddivisione in blocchi può verificarsi sui dati forniti nei campi parameter e statement. Il campo chunkCount indica il numero totale di blocchi. Vedi anche la descrizione del campo chunkIndex.
• chunkIndex. Specifica il numero di indice dei blocchi di dati nei campi parameter e statement nel contenitore request corrente. Il numero iniziale è 1. Vedi anche la descrizione del campo chunkCount.
• command. Ad esempio, ALTER TABLE o SELECT.
• parameter. Il campo chunkIndex può determinare i contenuti di questo campo. Consulta la descrizione del campo chunkIndex. Se il valore di `pgaudit.log_parameter` è impostato, il campo parameter può contenere i parametri dell'istruzione come dati CSV tra virgolette. Se non sono presenti parametri, questo campo contiene [none]. In caso contrario, questo campo contiene [not logged].
• dichiarazione. Istruzione eseguita nel backend. Il campo chunkIndex può determinare i contenuti del campo statement. Consulta la descrizione del campo chunkIndex.
• statementId. ID univoco dell'istruzione per questa sessione. Ogni ID istruzione rappresenta una chiamata di backend. Gli ID estratto conto sono sequenziali, anche se alcuni estratti conto non vengono registrati.
• substatementId. ID sequenziale per ogni sottostatuto all'interno dello statuto principale.

Passaggi successivi

• Disattiva pgAudit.