Para configurar el comportamiento del registro de pgAudit, establece la marca pgaudit.log o la marca pgaudit.role:
Establece
pgaudit.logpara habilitar y configurar el registro de sesiones. Puedes establecer esta marca en una instancia, una base de datos o un rol para definir el alcance de las operaciones que registra pgAudit. Establece la marca en un valor que defina el tipo de operaciones que registra pgAudit.Establece
pgaudit.rolepara habilitar y configurar el registro de objetos, que registra las sentencias que afectan relaciones particulares. Establece esta marca en el nombre de un rol y, luego, otorga acceso a la instrucción a objetos específicos que deseas registrar. El acceso a la instrucción incluyeSELECT, INSERT, UPDATE, and DELETE. pgAudit registra todas las operaciones que coinciden con la combinación de acceso y objeto que ejecuta cualquier usuario.
En las siguientes secciones, se proporcionan ejemplos que muestran las opciones para configurar el comportamiento de registro de pgAudit.
Para conocer las capacidades adicionales de la extensión, consulta la documentación de pgAudit.
Configura el registro de auditoría de sesiones para todas las bases de datos de una instancia
Para configurar la auditoría de todas las bases de datos de una instancia, establece la marca pgaudit.log a nivel de la instancia.
Por ejemplo:
- Para habilitar la auditoría de todas las operaciones en todas las bases de datos de una instancia, haz lo siguiente:
gcloud alloydb instances update my-instance \ --database-flags pgaudit.log=all[,flag2=value2...] \ --region=us-central1 \ --cluster=my-cluster \ --project=my-project - Para habilitar la auditoría solo para las operaciones de lectura y escritura en todas las bases de datos de una instancia, haz lo siguiente:
gcloud alloydb instances update my-instance \ --database-flags=^:^pgaudit.log=read,write[:flag2=value2...] \ --region=us-central1 \ --cluster=my-cluster \ --project=my-project
Ten en cuenta el uso de la sintaxis de delimitador alternativo, que te permite usar caracteres de coma dentro del valor de una marca.
Para obtener información sobre cómo configurar marcas de bases de datos, consulta Configura marcas de bases de datos.
Configura el registro de auditoría de sesiones para una base de datos específica
Puedes configurar la auditoría para una base de datos específica si estableces la marca pgaudit.log a nivel de la base de datos.
Por ejemplo, para habilitar la auditoría de lectura y escritura para una base de datos, finanzas, haz lo siguiente:
finance=> ALTER DATABASE finance SET pgaudit.log = 'read,write';
Configura el registro de auditoría de sesión para un solo usuario
Puedes habilitar la auditoría para un usuario específico si configuras el parámetro pgaudit.log a nivel de cada rol.
Por ejemplo, para establecer la auditoría de todas las operaciones de la base de datos que ejecuta la usuaria Alice, haz lo siguiente:
finance=> ALTER ROLE alice SET pgaudit.log = 'all';
Configura el registro de auditoría de objetos
La auditoría para una relación es más estrecha que la auditoría de una base de datos específica. Cuando auditas una relación, el sistema asigna un rol de auditor único al parámetro pgaudit.role. Esta operación registra cualquier objeto o relación que se le otorgue a este rol.
Por ejemplo:
- Para configurar la auditoría de todas las consultas
SELECTen la relación de salarios dentro de la base de datos de empleados, haz lo siguiente:employee=> CREATE ROLE auditor WITH NOLOGIN;employee=> ALTER DATABASE employee SET pgaudit.role = 'auditor';employee=> GRANT SELECT ON salary TO auditor;
También puedes auditar un subconjunto de columnas de una relación determinada.
Por ejemplo:
- Para configurar el registro de auditoría de modo que se produzca solo cuando se accede a las columnas
incomeytax_statusdesde la relación de salario, haz lo siguiente:employee=> GRANT SELECT(income, tax_status) ON salary TO auditor;