Nesta página, descrevemos como visualizar os registros de auditoria gerados pelo pgAudit, que ajuda a configurar registros frequentemente necessários para cumprir as certificações governamentais, financeiras e ISO. Nesta página, também descrevemos o formato do registro do pgAudit. Para mais informações sobre o pgAudit, consulte Sobre o pgAudit.
Antes de começar
Para acessar os registros de auditoria, faça o seguinte:
Ative os registros de auditoria de acesso a dados para seu projeto do AlloyDB.
Verifique se você tem o papel Visualizador de registros particulares (
roles/logging.privateLogViewer).
Acessar registros de auditoria
Os registros pgAudit gerados para uma determinada instância são enviados ao Cloud Logging como registros de auditoria de acesso a dados.
É possível visualizar os registros pgAudit gerados usando o aplicativo Explorador de registros.
Para conferir os registros do pgAudit, selecione o filtro de registro cloudaudit.googleapis.com/data_access no aplicativo Explorador de registros.
Para conferir todos os registros do pgAudit de um projeto do AlloyDB, execute a consulta a seguir usando a interface Filtro avançado:
resource.type="alloydb.googleapis.com/Instance" logName="projects/your-project-name/logs/cloudaudit.googleapis.com%2Fdata_access" protoPayload.request.@type="type.googleapis.com/google.cloud.alloydb.audit.v1.PgAuditEntry"
Formato de registro de pgAudit
Cada entrada de registro pgAudit nos registros de auditoria de acesso a dados contém campos que representam as informações coletadas para uma consulta. Para mais informações sobre esses campos de entrada de registro, consulte a documentação do pgAudit (em inglês).
Exemplo de entrada de registro do pgAudit:
{
protoPayload: {
@type: "type.googleapis.com/google.cloud.audit.AuditLog"
methodName: "alloydb.instances.query"
request: {
@type: "type.googleapis.com/google.cloud.alloydb.audit.v1.PgAuditEntry"
auditClass: "READ"
auditType: "SESSION"
chunkCount: "1"
chunkIndex: "1"
command: "SELECT"
database: "finance"
databaseSessionId: 2209692
parameter: "[not logged]"
statement: "SELECT * FROM revenue"
statementId: 2
substatementId: 1
user: "alice"
}
}
}
Veja a seguir as descrições dos campos nos registros de auditoria de acesso a dados:
- auditClass. O tipo da instrução que é registrada. Os valores possíveis são READ, WRITE, FUNCTION, ROLE, DDL, MISC e MISC_SET.
- auditType. SESSION ou OBJECT.
- chunkCount. A divisão pode ocorrer nos dados fornecidos nos campos
parameterestatement. O campochunkCountindica o número total de partes. Consulte também a descrição do campochunkIndex. - chunkIndex. Especifica o número de índice dos blocos de dados nos
campos
parameterestatementno contêinerrequestatual. O número inicial é1. Consulte também a descrição do campochunkCount. - comando. Por exemplo, ALTER TABLE ou SELECT.
- parameter. O campo
chunkIndexdetermina o conteúdo deste campo. Consulte a descrição do campochunkIndex. Se o valor de "pgaudit.log_parameter" estiver definido, o campoparameterconterá os parâmetros de instrução como dados CSV entre aspas. Se não houver parâmetros, este campo vai conter[none]. Caso contrário, este campo vai conter[not logged]. - instrução. Instrução executada no back-end.
O campo
chunkIndexdetermina o conteúdo do campostatement. Veja a descrição do campochunkIndex. - statementId. ID de instrução exclusivo para esta sessão. Cada ID de instrução representa uma chamada de back-end. Os IDs de instruções são sequenciais, mesmo que algumas instruções não sejam registradas.
- substatementId. ID sequencial para cada subinstrução dentro da instrução principal.