PostgreSQL 日志审计

最新推荐文章于 2024-04-28 07:30:00 发布
最新推荐文章于 2024-04-28 07:30:00 发布
阅读量1.7k 收藏 5
点赞数 2
文章标签: 数据库 开发工具 后端
原文链接:https://my.oschina.net/yonj1e/blog/1506620
版权

 PostgreSQL 日志审计

摘要

审计是指记录用户的登陆退出以及登陆后在数据库里的行为操作。

Postgres 的日志(pg_log)功能十分丰富,接下来首先会介绍它的标准日志审计功能,之后还会详细介绍 postgresql审计扩展(PgAudit) ,编译安装以及使用。

设置

highgo=# show logging_collector;  --是否开启日志收集,默认off
 logging_collector 
-------------------
 on
(1 row)

highgo=# show log_destination;  --日志记录类型,默认是stderr,只记录错误输出
 log_destination 
-----------------
 stderr
(1 row)

highgo=# show log_directory;   --日志路径,默认是$PGDATA/pg_log
 log_directory 
---------------
 pg_log
(1 row)

highgo=# show log_filename;  -日志名称,默认是postgresql-%Y-%m-%d_%H%M%S.log
          log_filename          
--------------------------------
 postgresql-%Y-%m-%d_%H%M%S.log
(1 row)

highgo=# show log_connections;  --用户session登陆时是否写入日志,默认off
 log_connections 
-----------------
 off
(1 row)

highgo=# show log_disconnections;  --用户session退出时是否写入日志,默认off
 log_disconnections 
--------------------
 off
(1 row)

highgo=# show log_rotation_age;  --保留单个文件的最大时长,默认是1d,也有1h,1min,1s
 log_rotation_age 
------------------
 1d
(1 row)

highgo=# show log_rotation_size;  --保留单个文件的最大尺寸,默认是10MB
 log_rotation_size 
-------------------
 10MB
(1 row)

highgo=# show log_statement;  --记录用户登陆数据库后的各种操作
 log_statement 
---------------
 none
(1 row)

#log_destination = 'stderr'             # Valid values are combinations of
                                        # stderr, csvlog, syslog, and eventlog,
                                        # depending on platform.  csvlog
                                        # requires logging_collector to be on.

#log_statement = 'none'                 # none, ddl, mod, all

log_statement参数值:

  1. none,即不记录
  2. ddl(记录create,drop和alter)
  3. mod(记录ddl+insert,delete,update和truncate)
  4. all(mod+select)

实例

SQL:

highgo=# set log_statement = 'all';
SET
highgo=# show log_statement;
 log_statement 
---------------
 all
(1 row)

highgo=# create table account
highgo-# (
highgo(#     id int,
highgo(#     name text,
highgo(#     password text,
highgo(#     description text
highgo(# );
CREATE TABLE
highgo=# 
highgo=# insert into account (id, name, password, description)
highgo-#              values (1, 'user1', 'HASH1', 'blah, blah');
INSERT 0 1
highgo=# 
highgo=# select *
highgo-#     from account;
 id | name  | password | description 
----+-------+----------+-------------
  1 | user1 | HASH1    | blah, blah
(1 row)

highgo=# do language plpgsql $$
declare
begin
for i in 1..5 loop
execute 'create table account_'||i||' (id int)';
end loop;
end;
$$;
DO
highgo=# \d
              List of relations
     Schema     |   Name    | Type  | Owner  
----------------+-----------+-------+--------
 oracle_catalog | dual      | view  | highgo
 public         | account   | table | highgo
 public         | account_1 | table | highgo
 public         | account_2 | table | highgo
 public         | account_3 | table | highgo
 public         | account_4 | table | highgo
 public         | account_5 | table | highgo
(7 rows)

highgo=#

Log Output:

[highgo@localhost pg_log]$ cat postgresql-2017-08-12_111312.log 
LOG:  00000: database system was shut down at 2017-08-12 11:13:11 PDT
LOG:  00000: MultiXact member wraparound protections are now enabled
LOG:  00000: database system is ready to accept connections
LOG:  00000: autovacuum launcher started
LOG:  00000: statement: show log_statement;
LOG:  00000: statement: create table account
	(
	    id int,
	    name text,
	    password text,
	    description text
	);
LOG:  00000: statement: insert into account (id, name, password, description)
	             values (1, 'user1', 'HASH1', 'blah, blah');
LOG:  00000: statement: select *
	    from account;
LOG:  00000: statement: do language plpgsql $$
	declare
	begin
	for i in 1..5 loop
	execute 'create table account_'||i||' (id int)';
	end loop;
	end;
	$$;
LOG:  00000: statement: SELECT n.nspname as "Schema",
	  c.relname as "Name",
	  CASE c.relkind WHEN 'r' THEN 'table' WHEN 'v' THEN 'view' WHEN 'm' THEN 'materialized view' WHEN 'i' THEN 'index' WHEN 'S' THEN 'sequence' WHEN 's' THEN 'special' WHEN 'f' THEN 'foreign table' WHEN 'P' THEN 'partitioned table' END as "Type",
	  pg_catalog.pg_get_userbyid(c.relowner) as "Owner"
	FROM pg_catalog.pg_class c
	     LEFT JOIN pg_catalog.pg_namespace n ON n.oid = c.relnamespace
	WHERE c.relkind IN ('r', 'P','v','m','S','f','')
	      AND n.nspname <> 'pg_catalog'
	      AND n.nspname <> 'information_schema'
	      AND n.nspname !~ '^pg_toast'
	  AND pg_catalog.pg_table_is_visible(c.oid)
	ORDER BY 1,2;

为什么是pgAudit?

最低0.47元/天 解锁文章
chudu3961
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pgMemento:使用基于事务的日志记录PostgreSQL进行架构版本控制的审计跟踪
02-05
pgMemento:使用基于事务的日志记录PostgreSQL进行架构版本控制的审计跟踪
postgresql-14-A4.pdf
05-13
6. **安全性**:PostgreSQL具有强大的安全特性,包括角色和权限管理系统、加密数据存储、SSL连接支持以及审计日志功能,以保护敏感信息。 7. **性能优化**:PostgreSQL的查询优化器能够分析查询并选择最佳执行计划...
PostgreSQL审计日志
一天不看代码浑身难受
04-13 4302
log_disconnections:记录每个断开与数据库的客户端的信息。这将使用 CSV 格式记录审计日志,并在每行日志信息前添加时间戳、用户 ID、数据库名称和进程 ID。其中,逗号分隔的字段依次为时间戳、用户名、数据库名、进程 ID、主机名、会话 ID、命令标识符、日志级别和日志消息。在 PostgreSQL 中,还有许多其他的选项可供配置,以记录更详细的审计日志信息。log_line_prefix:设置每行日志信息的前缀,可以包括时间戳、用户名、数据库名等信息。
PostgreSQL11开启审计日志
kadwf123的专栏
09-05 5383
目录 1、说明. 1 2、开启的参数. 1 3、修改配置文件. 1 4、使数据库重新加载配置文件. 2 4.1、用超级用户运行. 2 4.2、用UNIX的kill手动发起HUP信号. 2 4.3、使用pg_ctl命令触发SIGHUP信号. 2 5、检查配置文件是否重新加载. 2 6、会话中临时改参数. 4 7、查看审计日志. 4 1、说明 pg自带审计日志功能,需要按...
PostgreSQL的扩展(extensions)-常用的扩展之pgAudit
最新发布
lee_vincent1的博客
04-28 495
pgAudit是一个 PostgreSQL 的扩展,它提供了一种方式来生成详尽的审计日志。这对于需要遵守特定监管要求的企业来说是非常重要的,比如那些必须符合 HIPAA、SOX、PCI DSS 等标准的企业。通过pgAudit这些详细的审计日志能够帮助组织追踪数据变更的来源,验证和确保数据访问和操作行为的合规性。
Postgresql 日志审计
weixin_30436101的博客
09-25 219
配置log_destination = 'csvlog'logging_collector = off log_directory = 'pg_log'log_connections = onlog_disconnections = onlog_line_prefix = '%t [%p-%l] %q%u@%d 'log_statement = 'none' 全体数据库全局变量 sql方式al...
postgresql 服务器日志
qq_33445829的博客
08-31 1093
postgresql服务器日志 备份 审计日志
PostgreSQL触发器使用实践——数据审计
Focus on PostgreSQL
05-11 1945
1、说明 PostgreSQL审计可以通过自带的审计日志功能来实现,但是不足指出在于只能实现语句级别,数据库级别,用户级别的审计审计的颗粒度太大。 因此,我们可以使用触发器来实现粒度更细的审计,例如:级别,行级别(带条件的),用户级别的数据库操作。但是不建议在数据库中大量使用触发器来审计,因为此方法开销较大。 2、使用场景 2.1、用户信息审计 我们使用触发器来记录:谁改变了数据、数据什么使用被改、什么操作改变了数据、被改变前后的数据分别是什么。 首先,创建表audit_log来记录相关的信息: bil
MySQL和PostgreSQL的比较
01-29
- PostgreSQL 的写前日志(WAL)支持在线和离线备份,以及崩溃、时间点和事务恢复,热备份更易于实现。 10. **JDBC 驱动**: - MySQL 和 PostgreSQL 都提供 JDBC 驱动,可以在官方网站下载。 11. **表类型和分区...
使用log4jdbc更有效的记录java sql日志.docx
12-10
Log4jdbc 是一个非常实用的 Java SQL 日志框架,它通过代理模式来拦截常见的 JDBC 驱动,如 Oracle、Derby、MySQL、PostgreSQL、H2、HSQLDB 等,使得开发者能够轻松地记录和分析 SQL 操作。这个框架的核心优势在于其...
富士通PostgreSQL解决方案概述.pptx
10-14
与社区版本的PostgreSQL相比,富士通的解决方案提供了更详细的审计日志和更灵活的访问控制。 总的来说,富士通的PostgreSQL解决方案为企业提供了一个强大、安全且可扩展的数据库环境,适应了各种业务场景,无论是...
postgresql审计
归来仍少年
09-28 1460
#审计AUDIT internal: 编译期间的设置,只有重新编译才能生效。 postmaster: 只有服务重启才能生效。 sighup: 给服务器发送HUP信号会是服务器重新加载postgresql.conf配置,可以立即生效。 backend: 与sighup类似,但是不影响正在运行的会话,只在新会话中生效 superuser: 使用superuser(如postgres)才能更改,不用重新加载所有配置即可生效。 user: 单个会话用户可以在任意时间做修改,只会影响该会话。 设置日志记录内容log_
Postgresql 之 基于表的dml审计
HighGO
04-23 1164
应用场景中有些业务表比较关键,需要对关键业务表的变更进行记录,以下通过在表上创建触发器调用函数的方法对关键业务表dml的操作进行跟踪记录到表table_change_rec中,以便后续审计查询。 跟踪的测试表 CREATE TABLE test (id int primary key, info text, crt_time timestamp(0)); 创建hstore extension...
Postgresql审计插件pgaudit使用说明
魂醉的一亩二分地
03-28 2717
最近由于审计,rds的审计成了问题,因为很多权限没开放出来,但是很多云厂商提供了pgaudit插件,这里简单介绍下吧,虽然没有达到想要的预期。 pgaudit和postgresql版本兼容性匹配列表: pgAudit v1.6.X is intended to support PostgreSQL 14. pgAudit v1.5.X is intended to support PostgreSQL 13. pgAudit v1.4.X is intended to support PostgreSQL
pgsql开启数据库审计
qq_44605317的博客
12-20 3018
pgsql开启数据库审计
进阶数据库系列(二十四):PostgreSQL 数据库日志与日常巡检
民工哥的博客
07-22 1883
点击下方名片,设为星标!回复“1024”获取2TB学习资源!前面介绍了PostgreSQL基于 pgpool 实现读写分离实践、数据库备份与恢复、主从数据目录同步工具 pg_rewind、数据库作业调度工具、性能优化等相关的知识点,今天我将详细的为大家介绍 PostgreSQL 数据库日志与日常巡检相关知识,希望大家能够从中收获多多!如有帮助,请点在看、转发支持一波!!!PostgreSQL ...
PostgreSQL启用数据库日志与查看数据库对象
君子不怨天的博客
08-22 2183
重载配置文件 $ pg_ctl reload -D /pgdata12/ server signaled 等效于: htdb=# select pg_reload_conf(); pg_reload_conf ---------------- t (1 row)
postgresql】几个系统未自带,但经常需要用的自定义函数
u011762522的博客
05-27 375
postgresql 自定义函数 验证手机号、 验证18位身份证号码 CREATE OR REPLACE FUNCTION “public”.“check_idcard”(“a_sfz” varchar) RETURNS “pg_catalog”.“bool” AS
pgaudit安装与使用
归来仍少年
12-12 2107
pgaudit安装 ##pgaudit的tar安装包 https://github.com/pgaudit/pgaudit/releases ##适合postgresql 11版本 https://github.com/pgaudit/pgaudit/archive/refs/tags/1.3.3.tar.gz 安装 1.git clone下载 git clone https://github.com/pgaudit/pgaudit.git 2.将pgaudit移动到postgresql安装路径中contr
PostgreSQL安全基线
03-20
6. 审计日志记录:启用审计功能,记录数据库的活动和事件。定期检查日志文件,及时发现异常行为和潜在的安全威胁。 7. 数据备份和恢复:定期备份数据库,并将备份数据存储在安全的位置。测试和验证备份的可用性,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值