PostgreSQL的扩展(extensions)-常用的扩展之pgAudit

已于 2025-04-21 22:16:25 修改
阅读量924 收藏 3
点赞数 4
分类专栏: postgresql 文章标签: postgresql 数据库 运维
于 2024-04-28 07:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lee_vincent1/article/details/138247244
版权
pgAudit是PostgreSQL的扩展,用于生成详尽的审计日志,适用于满足HIPAA、SOX等监管要求。文章介绍了安装、配置和使用方法,强调了合理配置以平衡安全性和性能需求的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PostgreSQL的扩展(extensions)-常用的扩展之pgAudit

基础信息
OS版本:Red Hat Enterprise Linux Server release 7.9 (Maipo)
DB版本:16.2
pg软件目录:/home/pg16/soft
pg数据目录:/home/pg16/data
端口:5777

pgAudit 是 PostgreSQL 的一个关键安全扩展,提供详细的数据库审计功能,能够记录数据库中的所有操作,满足合规性要求(如 SOX、PCI DSS、HIPAA 等)。

一 pgAudit 核心功能

1.1 审计能力概览

  • 对象级审计:跟踪特定表/视图的操作
  • 会话级审计:记录所有会话的SQL语句
  • 语句级审计:按语句类型(DDL/DML等)审计
  • 参数化审计:记录带参数的语句

1.2 审计日志内容

  • 执行的操作类型(SELECT/INSERT/UPDATE/DELETE等)
  • 操作对象(表名、视图名等)
  • 执行时间戳
  • 执行用户
  • 客户端连接信息
  • 语句文本(可选)

二 安装 pgAudit

pgAudit 的安装通常涉及到扩展的编译和加载。以下是安装过程的大概步骤(可能会根据您的操作系统和 PostgreSQL 的版本有所不同):

1.1 安装

  1. 下载 pgAudit 扩展源码

下载网址:https://github.com/pgaudit/pgaudit/releases
在这里插入图片描述

  1. 编译扩展
[pg16@test resource]$ unzip pgaudit-16.0.zip 
[pg16@test resource]$ cd pgaudit-16.0/
[pg16@test pgaudit-16.0]$ make install USE_PGXS=1

  1. postgresql.conf 文件中配置

    加载 pgAudit 扩展需要在 postgresql.conf 文件中进行配置。将 pgaudit 添加到 shared_preload_libraries 配置项中:

–修改postgresql.conf 文件

shared_preload_libraries = 'pgaudit,pg_stat_statements,auto_explain'    # (change requires restart)

–系统上修改,并重启pg

postgres=# alter system set shared_preload_libraries=pgaudit,pg_stat_kcache,pg_stat_statements,auto_explain;
ALTER SYSTEM
postgres=# \q
[pg16@test ~]$ pg_ctl restart
  1. 创建扩展

使用 CREATE EXTENSION 命令在你的数据库中创建 pgAudit 扩展。

postgres=# \c white postgres
You are now connected to database "white" as user "postgres".
white=# 
white=# CREATE EXTENSION pgaudit;
CREATE EXTENSION
white=# select * from pg_extension;
  oid  |      extname       | extowner | extnamespace | extrelocatable | extversion | extconfig | extcondition 
-------+--------------------+----------+--------------+----------------+------------+-----------+--------------
 14270 | plpgsql            |       10 |           11 | f              | 1.0        |           | 
 16726 | pg_repack          |       10 |         2200 | f              | 1.5.0      |           | 
 16975 | pg_stat_statements |       10 |         2200 | t              | 1.10       |           | 
 17048 | pgaudit            |       10 |         2200 | t              | 16.0       |           | 
(4 rows)

1.2 主要配置参数(postgresql.conf)

# 基本设置
shared_preload_libraries = 'pgaudit'  # 必须设置

# 日志输出控制
pgaudit.log = 'all'                  # 审计所有语句
pgaudit.log_client = on              # 输出到客户端
pgaudit.log_level = log              # 日志级别
pgaudit.log_parameter = on           # 记录参数值
pgaudit.log_relation = on            # 记录对象级操作

三 审计策略配置

3.1 全局审计设置

-- 审计所有DDL操作
ALTER SYSTEM SET pgaudit.log = 'ddl';

-- 审计特定语句类型
ALTER SYSTEM SET pgaudit.log = 'read, write, ddl, role';

-- 重新加载配置
SELECT pg_reload_conf();

3.2 对象级审计

-- 审计特定表的所有操作
ALTER TABLE sensitive_data SET pgaudit.log = 'all';

-- 审计表的写操作
ALTER TABLE users SET pgaudit.log = 'write';

-- 查看当前审计设置
SELECT relname, reloptions FROM pg_class 
WHERE relnamespace = (SELECT oid FROM pg_namespace WHERE nspname = 'public')
AND reloptions IS NOT NULL;

3.3 角色级审计

-- 审计管理员角色的所有操作
ALTER ROLE admin SET pgaudit.log = 'all';

-- 审计特定用户的所有连接
ALTER ROLE auditor SET pgaudit.log_client = on;

四 日志分析与解读

4.1 典型审计日志条目

2025-04-20 14:25:33 UTC [user=admin db=mydb] LOG:  AUDIT: SESSION,1,1,DDL,CREATE TABLE,,,CREATE TABLE audit_test(id serial primary key, data text),<not logged>
2025-04-20 14:26:45 UTC [user=app_user db=mydb] LOG:  AUDIT: OBJECT,2,1,WRITE,INSERT,TABLE,public.sensitive_data,INSERT INTO sensitive_data VALUES(1, 'confidential'),<not logged>

2. 日志字段说明

字段说明
AUDIT标识审计条目
SESSION/OBJECT审计级别
会话ID唯一会话标识
子会话ID子事务标识
操作类型DDL/READ/WRITE等
命令标签SQL命令类型
对象类型TABLE/VIEW等
对象名schema.object格式
语句文本实际执行的SQL
参数参数值(如果启用)

五 高级功能与技巧

5.1 自定义日志格式

# 在postgresql.conf中配置
log_line_prefix = '%m [user=%u db=%d app=%a] '
pgaudit.log = 'all'
pgaudit.log_relation = on
pgaudit.log_statement_once = off

5.2 与系统日志集成

# 配置syslog输出
log_destination = 'syslog'
syslog_facility = 'LOCAL0'
syslog_ident = 'postgres'

5.3 性能优化建议

# 减少日志量配置示例
pgaudit.log = 'ddl, write'
pgaudit.log_relation = off
pgaudit.log_parameter = off
pgaudit.log_statement_once = on

六 实际应用场景

6.1 合规性审计

-- 审计所有敏感数据访问
ALTER TABLE patients SET pgaudit.log = 'all';
ALTER TABLE financial_records SET pgaudit.log = 'all';

-- 审计所有权限变更
ALTER SYSTEM SET pgaudit.log = 'role';

6.2 安全事件调查

-- 查找特定表的可疑操作
SELECT log_time, session_user_name, database_name, statement 
FROM pg_log 
WHERE command_tag = 'UPDATE' 
AND object_name = 'public.users'
AND log_time > '2023-08-01';

6.3 用户行为分析

-- 分析用户活动模式
SELECT session_user_name, command_tag, count(*)
FROM pg_log 
WHERE log_time > current_date - interval '7 days'
GROUP BY 1, 2
ORDER BY 3 DESC;

pgAudit 是 PostgreSQL 生态中最强大的审计解决方案之一,通过合理配置可以满足从基本安全监控到严格合规性要求的各种审计需求。建议结合日志分析工具(如 ELK Stack)构建完整的审计工作流。

谨记:心存敬畏,行有所止。

【0020】 一文搞懂PostgreSQL中的扩展(extension)特性
Postgres 数据库内核开发工程师
09-18 1222
文章目录1. 扩展(`Extension`)2. 创建扩展2.1 extension目录下缺失扩展2.2 编译安装扩展2.3 扩展构成3. 扩展使用4. 总结 1. 扩展(Extension) 除了在 源码编译安装PostgreSQL 一文中介绍的PostgreSQL具备着“类、继承等对象数据库特征。 以及非常丰富的功能集、完善的SQL标准支持、多版本并发控制、时间点恢复、异步复制、嵌套事务、在线/热备份、预写式日志容错”等技术特征之外,它还有一个重要特点,那就是它专为可扩展性和自定义而设计的。因此,这意
pgauditPostgreSQL审计扩展
02-04
pgauditPostgreSQL审计扩展
PostgreSQL Extension扩展实例
05-21
PostgreSQL Extension扩展时间定时实例,利用pg自身的时间截断函数date_trunc(),所开发.
PostgreSQL扩展pg_stat_statements
文牧之的博客
04-25 1654
PostgreSQL 中的一个非常有用的扩展,它用于跟踪和统计数据库中执行的所有SQL语句的性能。这个扩展可以帮助你识别最频繁运行的查询、哪些查询消耗的时间最长,以及系统的整体工作量,从而对性能瓶颈进行诊断和优化。
(十三)PostgreSQL扩展extensions
文牧之的博客
04-23 2025
PostgreSQL中,扩展extensions)是一种机制,通过它用户可以向数据库添加新的功能或者数据类型。每个扩展可以包括函数、数据类型、操作员和索引类型等。这些扩展可以让PostgreSQL更加灵活和强大,使用户可以根据自己的需要扩展数据库的功能。
PostgreSQL扩展pg_repack
文牧之的博客
04-26 892
pg_repack是一款非常有用的 PostgreSQL 扩展工具,它能够重新打包(repack)表和索引以回收空间并减少碎片,而且在这个过程中不会锁定表,允许数据库在重整过程中继续对数据进行读写操作。这是与 PostgreSQL 内建的命令相比的一个重大优势,因为在重新组织表以回收空间时会锁定表。
PostgreSQL扩展pgstattuple
文牧之的博客
09-29 668
PostgreSQL 的一个扩展,用于获取表和索引中空间使用情况的统计信息。它提供了一种简单的方法来了解表和索引中的实际数据占用情况、空闲空间以及死元组数量,从而帮助数据库管理员进行性能调优和空间管理。
postgis-with-extensions:基于postgispostgis的PostgreSQL Docker映像,添加了很多扩展
03-09
基于PostgreSQL映像,添加了很多扩展。 可用的扩展
PostgreSQL Docker镜像增强版:集成多扩展PostGIS功能
标题中的“PostGIS with Extensions”指的是一个基于PostgreSQL数据库的Docker镜像,这个镜像已经预先安装了PostGIS及其多种扩展。PostGIS是一个开源的软件项目,它为PostgreSQL数据库增加了存储、操作、分析地理...
postgresql插件
最新发布
03-17
### PostgreSQL 插件与扩展功能列表 PostgreSQL 提供了丰富的插件和扩展,用于增强其核心功能并满足各种业务需求。以下是常见的 PostgreSQL 插件与扩展及其主要功能: #### 数据库性能优化类 - **pg_stat_...
一步到位:【CentOS 7上PostgreSQL安装完全教程】,新手快速入门的终极指南
本文提供了关于在CentOS 7操作系统上安装、配置和管理PostgreSQL数据库的详尽指南。首先,我们从系统和用户环境的准备工作开始,包括检查系统要求、安装系统工具、设置用户和权限、以及配置磁盘存储。接下来,文中...
cpp-pgAudit开源PostgreSQL审核记录
08-16
PostgreSQL审核扩展pgAudit)通过标准PostgreSQL日志记录工具提供详细的会话和/或对象审核日志。
PostgreSQL扩展pg_profile
文牧之的博客
07-08 1078
pg_profile结合了和的功能,提供了强大而详细的性能分析能力。通过安装和配置pg_profile,您可以收集和分析 PostgreSQL 数据库的运行时信息,帮助确定性能瓶颈,并提供优化建议。结合定期生成和查看报告,能够有效地监控和管理 PostgreSQL 数据库的性能。
PostgreSQL源码分析——审计插件pgaudit
内核思考
06-18 746
首先是要获取审计日志信息,需要先通过配置设置审计哪些内容,比如审计DDL语句,还是DML语句,或者都进行审计。具体实现上就是在语句执行的过程中通过钩子函数捕获相应的信息,实现上要在不同的位置设置不同的钩子函数,比如DDL语句,则可在。,但是其功能并不完善,只提供了基本的审计功能,对此,很多基于PG开发的商业数据库大多提供了丰富的审计功能。记录了审计信息后,需要将其进行输出,在商业数据库中,可以存储在表中或者文件中,通过表等进行查看,在pgaudit插件中,近输出到日志文件中。、捕获DDL语句,添加。
PostgreSQL扩展pg_pathman
文牧之的博客
06-26 1112
pg_pathman是一个功能强大的 PostgreSQL 扩展,用于高效管理和使用分区表。通过分区,可以显著优化查询性能和数据管理。安装和使用pg_pathman通常非常方便,只需按需设置分区策略和范围即可。确保定期维护分区以保持数据库性能和管理的简便性。
Postgresql审计:pgaudit安装使用
高矮
09-30 1553
Postgresql:10 pgaudit:v1.2 文章目录编译安装参数配置说明pgaudit.log:pgaudit.log_client:pgaudit.log_level:pgaudit.log_parameter:pgaudit.role:参考 编译安装 1、clone插件 git clone https://github.com/pgaudit/pgaudit.git 2、Change to pgAudit directory: cd pgaudit 3、Checkout postgre.
pgaudit 审计postgresql
一名数据库爱好者的专栏
12-19 5171
os: ubuntu 16.04 db: postgresql 9.6.8 pgaudit: 1.1.1 pgaudit 是作为 postgresql 的一个 extension 形式存在的,通过标准postgresql日志工具提供详细的会话和/或对象审计日志记录。 pgaudit 的目标是为postgresql生成审计日志。 版本 # lsb_release -a No LSB modules ...
技术贴 | 深度解析 PostgreSQL Protocol v3.0(二)— 扩展查询
KaiwuDB 数据库
09-22 512
开物成务,厚积薄发。技术流系列博客-以“短小精悍”的形式普及数据库硬核技术。相信大家的每一次阅读,都会距离数据库内核更近一步。每一份来自你们的关注,都是我们坚持输出的满满能量!
PostgreSQL数据库插件——pgaudit初始化
肥叔菌的博客
11-07 667
_PG_init首先使用DefineCustomTypeVariable定义GUC变量,以pgaudit.log为例,auditLog是pgaudit.c中定义的char *指针变量,check_pgaudit_log和assign_pgaudit_log是pgaudit.c中定义的函数。 /* Define GUC variables and install hooks upon module load. */ void _PG_init(void) { ... /* Define pga
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值