Esta página descreve como visualizar os registros de auditoria gerados pelo pgAudit, que ajuda a configurar registros que geralmente são necessários para cumprir as certificações governamentais, financeiras e ISO. Esta página também descreve o formato de registro do pgAudit. Para mais informações sobre o pgAudit, consulte Sobre o pgAudit.
Antes de começar
Para conferir os registros de auditoria, faça o seguinte:
Ative os registros de auditoria de acesso a dados no seu projeto do AlloyDB.
Verifique se você tem o papel de Visualizador de registros particulares (
roles/logging.privateLogViewer
).
Ver registros de auditoria
Os registros pgAudit gerados para uma determinada instância são enviados para o Cloud Logging como registros de auditoria de acesso a dados.
É possível conferir os registros pgAudit gerados usando o aplicativo Logs Explorer.
Para conferir os registros pgAudit, selecione o filtro de registro cloudaudit.googleapis.com/data_access
no aplicativo Explorador de registros.
Para conferir todos os registros pgAudit de um projeto do AlloyDB, execute a consulta a seguir usando a interface Filtro avançado:
resource.type="alloydb.googleapis.com/Instance" logName="projects/your-project-name/logs/cloudaudit.googleapis.com%2Fdata_access" protoPayload.request.@type="type.googleapis.com/google.cloud.alloydb.audit.v1.PgAuditEntry"
Formato de registro de pgAudit
Cada entrada de registro pgAudit nos registros de auditoria de acesso a dados contém campos que representam as informações coletadas para uma consulta. Para mais informações sobre esses campos de entrada de registro, consulte a documentação do pgAudit.
Exemplo de entrada de registro do pgAudit:
{ protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog" methodName: "alloydb.instances.query" request: { @type: "type.googleapis.com/google.cloud.alloydb.audit.v1.PgAuditEntry" auditClass: "READ" auditType: "SESSION" chunkCount: "1" chunkIndex: "1" command: "SELECT" database: "finance" databaseSessionId: 2209692 parameter: "[not logged]" statement: "SELECT * FROM revenue" statementId: 2 substatementId: 1 user: "alice" } } }
Veja a seguir as descrições dos campos nos registros de auditoria de acesso a dados:
- auditClass. O tipo da instrução que é registrada. Os valores possíveis são READ, WRITE, FUNCTION, ROLE, DDL, MISC e MISC_SET.
- auditType. SESSION ou OBJECT.
- chunkCount. A divisão pode ocorrer nos dados fornecidos nos campos
parameter
estatement
. O campochunkCount
indica o número total de partes. Consulte também a descrição do campochunkIndex
. - chunkIndex. Especifica o número de índice dos blocos de dados nos campos
parameter
estatement
no contêinerrequest
atual. O número inicial é1
. Consulte também a descrição do campochunkCount
. - comando. Por exemplo, ALTER TABLE ou SELECT.
- parâmetro. O campo
chunkIndex
pode determinar o conteúdo desse campo. Consulte a descrição do campochunkIndex
. Se o valor de "pgaudit.log_parameter" estiver definido, o campoparameter
poderá conter os parâmetros de instrução como dados CSV entre aspas. Se não houver parâmetros, este campo conterá[none]
. Caso contrário, este campo conterá[not logged]
. - instrução. Instrução executada no back-end.
O campo
chunkIndex
determina o conteúdo do campostatement
. Consulte a descrição do campochunkIndex
. - statementId. ID de instrução exclusivo para esta sessão. Cada ID de instrução representa uma chamada de back-end. Os IDs de instruções são sequenciais, mesmo que algumas instruções não sejam registradas.
- substatementId. ID sequencial para cada instrução dentro da instrução principal.