Naplózás az Azure Database for PostgreSQL-ben

Az Adatbázis-tevékenységek naplózása az Azure Database for PostgreSQL-ben a pgaudit bővítményen keresztül érhető el. pgaudit részletes munkamenet- és/vagy objektumnaplózást biztosít.

Ha azure-erőforrásszintű naplókat szeretne a számítási és tárolási skálázáshoz hasonló műveletekhez, tekintse meg az Azure-tevékenységnaplót.

Használati szempontok

Alapértelmezés szerint a pgaudit naplóutasítások és a rendszeres naplóutasítások a Postgres standard naplózási eszközével lesznek kibocsátva. Az Azure Database for PostgreSQL-ben konfigurálhatja, hogy az összes naplót elküldje az Azure Monitor Log Store-ba későbbi elemzés céljából a Log Analyticsben. Ha engedélyezi az Azure Monitor-erőforrásnaplózást, a rendszer automatikusan (JSON formátumban) elküldi a naplókat az Azure Storage, az Event Hubs és/vagy az Azure Monitor naplóinak, az Ön választása szerint.

A naplózás Azure Storage-, Event Hubs- vagy Azure Monitor-naplókba való beállításáról a kiszolgálónaplókról szóló cikk erőforrásnaplók szakaszában olvashat.

A bővítmény telepítése

A bővítmény használatához pgauditengedélyeznie, be kell töltenie és létre kell hoznia a bővítményt abban az adatbázisban, amelyen használni szeretné.

Bővítménybeállítások konfigurálása

pgaudit lehetővé teszi a munkamenet- vagy objektumnaplózás konfigurálását. A munkamenet-naplózás részletes naplókat bocsát ki a végrehajtott utasításokról. Az objektumnaplózás adott kapcsolatokra terjed ki. Választhat, hogy beállít egy vagy mindkét naplózási típust.

Miután engedélyezte pgaudit, konfigurálhatja a paramétereket a naplózás elindításához.

A konfiguráláshoz pgauditkövesse az alábbi utasításokat:

Portál

Az Azure Portal használata:

1. Válassza ki a PostgreSQL-hez készült Azure Database-példányt.

2. Az erőforrásmenü Beállítások területén válassza a Kiszolgálóparaméterek lehetőséget.

3. Keresse meg a pgaudit paramétereket.

4. Válassza ki a szerkeszteni kívánt paramétert. Például a naplózásINSERTUPDATE, a , DELETE, TRUNCATEés COPY az utasítások indításához állítsa a következőre pgaudit.logWRITE: .

5. A módosítások mentéséhez válassza a Mentés gombot.

CLI

Bármelyik pgaudit kiszolgálóparaméter értékét az az postgres flexible-server paraméterkészlet parancsával állíthatja be.

az postgres flexible-server parameter set --resource-group <resource_group> --server-name <server> --source user-override --name <parameter> --value <value>

Az egyes paraméterek definícióját pgaudit a hivatalos dokumentáció tartalmazza. Először tesztelje a paramétereket, és győződjön meg arról, hogy a várt viselkedést kapja.

Ha például pgaudit.log_clientON nem csak naplóeseményeket ír a kiszolgálónaplóba, hanem elküldi is őket az ügyfélfolyamatoknak (például a psql-nek). Ezt a beállítást általában le kell tiltani.

pgaudit.log_level csak akkor van engedélyezve, ha pgaudit.log_client be van kapcsolva.

Az Azure Database for PostgreSQL-ben pgaudit.log nem állítható be - a dokumentációban pgaudit leírt (mínusz) jel parancsikonja. Minden szükséges utasításosztályt (READ, WRITE stb.) külön kell megadni.

Ha a log_statement paramétert egy vagy ALTER ROLE/USER ... WITH PASSWORD ... ;, parancsra DDL állítja be vagy ALL futtatjaCREATE ROLE/USER ... WITH PASSWORD ... ;, akkor a PostgreSQL létrehoz egy bejegyzést a PostgreSQL-naplókban, ahol a jelszó tiszta szövegben van naplózva, ami biztonsági kockázatot okozhat. Ez a PostgreSQL-motor kialakításának várható viselkedése.

Használhatja azonban a pgaudit bővítményt, és beállíthatja pgaudit.log a következőreDDL, amely nem rögzít utasítást CREATE/ALTER ROLE a Postgres-kiszolgálónaplóban, ellentétben a beállításkorDDLlog_statement. Ha naplóznia kell ezeket az utasításokat, akkor azt is beállíthatjapgaudit.logROLE, hogy a naplózás CREATE/ALTER ROLEsorán a naplókban a jelszó ki legyen állítva.

Naplózási napló formátuma

Minden naplózási bejegyzés a kezdőbetűvel AUDIT:kezdődik. A többi bejegyzés formátuma a következő dokumentációbanpgaudittalálható: .

Kezdő lépések

A gyors kezdéshez állítsa be pgaudit.logALLés nyissa meg a kiszolgálónaplókat a kimenet áttekintéséhez.

Naplók megtekintése

A naplók elérésének módja attól függ, hogy melyik végpontot választja. Tekintse meg az Azure Storage naplótárfiókjának cikkét. Tekintse meg az Event Hubs stream Azure-naplóiról szóló cikket.

Az Azure Monitor-naplók esetében a rendszer a naplókat a kiválasztott munkaterületre küldi. A Postgres-naplók az AzureDiagnostics gyűjtési módot használják, így lekérdezhetők az AzureDiagnostics táblából. További információ a lekérdezésről és a riasztásról az Azure Monitor Naplók lekérdezési áttekintésében.

Ezt a lekérdezést használhatja az első lépésekhez. A riasztásokat lekérdezések alapján konfigurálhatja.

Az adott kiszolgáló postgres-naplóiban szereplő összes pgaudit bejegyzés keresése az utolsó napon

AzureDiagnostics
| where Resource =~ "<flexible-server-name>"
| where Category == "PostgreSQLLogs"
| where TimeGenerated > ago(1d)
| where Message contains "AUDIT:"

Főverzió-frissítés a pgaudit-bővítmény telepítésével

A főverzió-frissítés során a pgaudit bővítmény automatikusan el lesz dobva, majd újra létrejön a frissítés befejezése után. A bővítmény visszaállítása közben a rendszer nem őrzi meg automatikusan a megadott pgaudit.log egyéni konfigurációkat vagy más kapcsolódó paramétereket.

Kapcsolódó tartalom

• Naplózás az Azure Database for PostgreSQL-ben
• Naplózási és hozzáférési naplók konfigurálása az Azure Database for PostgreSQL-ben