Azure Database for PostgreSQL - 유연한 서버의 감사 로깅
적용 대상: 
Azure Database for PostgreSQL - 유연한 서버
Azure Database for PostgreSQL 유연한 서버의 데이터베이스 작업 감사 로깅은 PostgreSQL Audit 확장: pgAudit를 통해 사용할 수 있습니다. pgAudit는 자세한 세션 및/또는 개체 감사 로깅을 제공합니다.
컴퓨팅 및 스토리지 스케일링과 같은 작업에 대한 Azure 리소스 수준 로그를 원하는 경우 Azure 활동 로그를 참조하세요.
사용 시 고려 사항
기본적으로 pgAudit 로그 문은 Postgres의 표준 로깅 기능을 사용하여 일반 로그 문과 함께 내보내집니다. Azure Database for PostgreSQL 유연한 서버에서 나중에 Log Analytics에서 분석하기 위해 Azure Monitor 로그 저장소로 보낼 모든 로그를 구성할 수 있습니다. Azure Monitor 리소스 로깅을 사용하도록 설정하면 사용자의 선택에 따라 로그가 자동으로(JSON 형식으로) Azure Storage, Event Hubs 또는 Azure Monitor 로그에 전송됩니다.
Azure Storage, Event Hubs 또는 Azure Monitor 로그에 로깅을 설정하는 방법을 알아보려면 서버 로그 문서의 리소스 로그 섹션을 참조하세요.
pgAudit 설치
Azure Database for PostgreSQL 유연한 서버에 pgAudit 확장을 설치하려면 먼저 사용할 pgAudit 확장을 허용 목록에 넣어야 합니다.
Azure Portal 사용:
- Azure Database for PostgreSQL 유연한 서버 인스턴스를 선택합니다.
- 사이드바에서 서버 매개 변수를 선택합니다.
azure.extensions매개 변수를 검색합니다.- 허용 목록에 추가할 확장으로 pgAudit를 선택합니다.
Azure CLI 사용:
CLI 매개 변수 설정 명령을 통해 확장을 허용 목록에 추가할 수 있습니다.
az postgres flexible-server parameter set --resource-group <your resource group> --server-name <your server name> --subscription <your subscription id> --name azure.extensions --value pgAudit
pgAudit를 설치하려면 서버의 공유 미리 로드 라이브러리에 포함시켜야 합니다. Postgres의 shared_preload_libraries 매개 변수를 변경하려면 서버를 다시 시작해야 합니다. 매개 변수는 Azure Portal, Azure CLI 또는 REST API를 사용하여 바꿀 수 있습니다.
Azure Portal 사용:
Azure Database for PostgreSQL 유연한 서버 인스턴스를 선택합니다.
사이드바에서 서버 매개 변수를 선택합니다.
shared_preload_libraries매개 변수를 검색합니다.pgaudit를 선택합니다.
psql에서 다음 쿼리를 실행하여 pgaudit가 shared_preload_libraries에 로드되었는지 확인할 수 있습니다.
show shared_preload_libraries;쿼리 결과에 shared_preload_libraries를 반환하는 pgaudit가 표시됩니다.
클라이언트(예: psql)를 사용하여 서버에 연결하고 pgAudit 확장을 사용하도록 설정합니다.
CREATE EXTENSION pgaudit;
팁
오류가 표시되면 shared_preload_libraries를 저장한 후 서버를 다시 시작했는지 확인합니다.
pgAudit 설정
pgAudit를 사용하면 세션 또는 개체 감사 로깅을 구성할 수 있습니다. 세션 감사 로깅은 실행된 문의 자세한 로그를 내보냅니다. 개체 감사 로깅은 특정 관계로 범위가 지정된 감사입니다. 하나 또는 두 가지 로깅 유형을 설정하도록 선택할 수 있습니다.
pgAudit를 사용하도록 설정한 후 해당 매개 변수를 구성하여 로깅을 시작할 수 있습니다. pgAudit를 구성하기 위해 아래 지침을 따를 수 있습니다. Azure Portal 사용:
- Azure Database for PostgreSQL 서버를 선택합니다.
- 사이드바에서 서버 매개 변수를 선택합니다.
pgaudit매개 변수를 검색합니다.- 편집할 적절한 설정 매개 변수를 선택합니다. 예를 들어, 로깅을 시작하려면
pgaudit.log를WRITE
으로 설정합니다.
- 저장 단추를 클릭하여 변경 내용을 저장합니다.
pgAudit 설명서는 각 매개 변수의 정의를 제공합니다. 먼저 매개 변수를 테스트하고 예상대로 동작하는지 확인합니다.
참고 항목
pgaudit.log_client를 On으로 설정하면 로그를 파일에 기록하는 대신 psql과 같은 클라이언트 프로세스로 리디렉션합니다. 이 설정은 일반적으로 사용하지 않도록 설정해야 합니다.
pgaudit.log_level은 pgaudit.log_client가 on인 경우에만 사용하도록 설정됩니다.
참고 항목
Azure Database for PostgreSQL 유연한 서버에서는 pgAudit 설명서에 설명된 대로 -(빼기) 기호 바로 가기를 사용하여 pgaudit.log를 설정할 수 없습니다. 모든 필수 문 클래스(READ, WRITE 등)는 개별적으로 지정해야 합니다.
참고 항목
log_statement 매개 변수를 DDL 또는 ALL로 설정하고 CREATE ROLE/USER ... WITH PASSWORD ... ; 또는 ALTER ROLE/USER ... WITH PASSWORD ... ; 명령을 실행하면 PostgreSQL은 PostgreSQL 로그에 항목을 만듭니다. 이 경우 암호가 일반 텍스트로 로깅되므로 보안 위험이 발생할 수 있습니다. PostgreSQL 엔진 디자인에서 예상되는 동작입니다. 그러나 PGAudit 확장을 사용하고 서버 매개 변수 페이지에서 pgaudit.log='DDL' 매개 변수를 설정할 수 있습니다. 이 경우 Postgres log_statement='DDL' 설정과 달리 Postgres 로그에 CREATE/ALTER ROLE 문을 기록하지 않습니다. 해당 문을 로깅해야 하는 경우 'CREATE/ALTER ROLE'을 로깅하는 동안 로그의 암호를 편집하는 pgaudit.log ='ROLE'을 추가할 수 있습니다.
감사 로그 형식
각 감사 항목은 로그 줄 시작 부분 근처의 AUDIT:로 표시됩니다. 항목 나머지 부분의 형식은 pgAudit 설명서에 자세히 설명되어 있습니다.
시작하기
빠르게 시작하려면 pgaudit.log를 WRITE로 설정하고, 서버 로그를 열어 출력을 검토합니다.
감사 로그 보기
로그에 액세스하는 방법은 선택한 엔드포인트에 따라 다릅니다. Azure Storage의 경우에는 로그 스토리지 계정 문서를 참조하세요. Event Hubs에 대해서는 Azure 로그 스트림 문서를 참조하세요.
Azure Monitor 로그의 경우 선택한 작업 영역으로 로그가 전송됩니다. Postgres 로그는 AzureDiagnostics 컬렉션 모드를 사용하므로, AzureDiagnostics 테이블에서 쿼리될 수 있습니다. 테이블의 필드는 아래에 설명되어 있습니다. 쿼리와 경고에 대한 자세한 정보는 Azure Monitor 로그 쿼리 개요에서 알아 보세요.
이 쿼리를 사용하여 시작할 수 있습니다. 쿼리를 기반으로 한 경고를 구성할 수 있습니다.
마지막 날의 특정 서버에 대한 모든 pgAudit 항목을 검색합니다.
AzureDiagnostics
| where Resource =~ "myservername"
| where Category == "PostgreSQLLogs"
| where TimeGenerated > ago(1d)
| where Message contains "AUDIT:"