Para configurar el comportamiento de registro de pgAudit, establece la marca pgaudit.log o la marca pgaudit.role:
Establece
pgaudit.logpara habilitar y configurar el registro de sesión. Puedes configurar esta marca en una instancia, una base de datos o un rol para definir el alcance de las operaciones que registra pgAudit. Estableces la marca en un valor que define el tipo de operaciones que registra pgAudit.Establece
pgaudit.rolepara habilitar y configurar el registro de objetos, que registra las instrucciones que afectan a relaciones particulares. Estableces esta marca en el nombre de un rol y, luego, otorgas acceso de sentencia a objetos específicos que deseas que se registren. El acceso a la sentencia incluyeSELECT, INSERT, UPDATE, and DELETE. pgAudit registra todas las operaciones que coinciden con la combinación de acceso y objeto que ejecuta cualquier usuario.
En las siguientes secciones, se proporcionan ejemplos que muestran las opciones para configurar el comportamiento de registro de pgAudit.
Para conocer las capacidades adicionales de la extensión, consulta la documentación de pgAudit.
Configura el registro de auditoría de sesión para todas las bases de datos de una instancia
Para configurar la auditoría de todas las bases de datos de una instancia, establece la marca pgaudit.log a nivel de la instancia.
Por ejemplo:
- Para habilitar la auditoría de todas las operaciones en todas las bases de datos de una instancia, haz lo siguiente:
gcloud alloydb instances update my-instance \ --database-flags pgaudit.log=all[,flag2=value2...] \ --region=us-central1 \ --cluster=my-cluster \ --project=my-project - Para habilitar la auditoría solo para operaciones de lectura y escritura en todas las bases de datos de una instancia, haz lo siguiente:
gcloud alloydb instances update my-instance \ --database-flags=^:^pgaudit.log=read,write[:flag2=value2...] \ --region=us-central1 \ --cluster=my-cluster \ --project=my-project
Ten en cuenta el uso de la sintaxis de delimitador alternativo, que te permite usar caracteres de coma dentro de un valor de marca.
Para obtener información sobre cómo configurar marcas de base de datos, consulta Configura marcas de base de datos.
Configura el registro de auditoría de sesión para una base de datos específica
Para configurar la auditoría de una base de datos específica, configura la marca pgaudit.log a nivel de la base de datos.
Por ejemplo, para habilitar la auditoría de lectura y escritura de una base de datos, realiza lo siguiente:
finance=> ALTER DATABASE finance SET pgaudit.log = 'read,write';
Configura el registro de auditoría de sesión para un solo usuario
Puedes habilitar la auditoría para un usuario específico si configuras pgaudit.log a nivel de cada rol.
Por ejemplo, para configurar la auditoría de todas las operaciones de la base de datos que ejecuta el usuario, Alice hace lo siguiente:
finance=> ALTER ROLE alice SET pgaudit.log = 'all';
Configura el registro de auditoría de objetos
La auditoría para una relación es más estrecha que la auditoría de una base de datos específica. Cuando auditas una relación, el sistema asigna un rol de auditor único al parámetro pgaudit.role. Esta operación registra cualquier objeto o relación que se le otorgue a este rol.
Por ejemplo:
- Para configurar la auditoría de todas las consultas
SELECTen la relación salario dentro de la base de datos de empleados, haz lo siguiente:employee=> CREATE ROLE auditor WITH NOLOGIN;employee=> ALTER DATABASE employee SET pgaudit.role = 'auditor';employee=> GRANT SELECT ON salary TO auditor;
También puedes auditar un subconjunto de columnas de una relación determinada.
Por ejemplo:
- Para configurar el registro de auditoría que se produce solo cuando se accede a las columnas
incomeytax_statusdesde la relación de salarios, haz lo siguiente:employee=> GRANT SELECT(income, tax_status) ON salary TO auditor;