- Сообщения
- 8
Помогите пожалуйста разобраться.
Если я правильно понял аудит в СУБД по умолчанию уже настроен. (цитата 1)
Причем в postgresql.conf указано, что сообщения аудита посылаются и в PostgreSQL log и в PARSEC. (цитата 2)
1) Для теста удаляем таблицу базы данных и проверяем.
/var/lib/postgresql/9.6/mail/pg_log/postgresql-*.log содержит записи событий аудита (удаление таблицы и прочее).
/var/log/postgresql и /var/log/parsec - содержат пустые файлы логов.
2) При установке профиля internal,external с настройками в pg_audit.conf "по умолчанию" результат аналогичен.
З.Ы. Не знаю связано это или нет, но в user.mlog события типа useraud, usermac - пишутся, а userdel, useradd - нет. (цитата 5)
Хотя в events_user.conf все они указаны.
Цитата 1 Из документации:
Цитата 2 postgresql.conf
Цитата 3 events_postgresql-9.6.conf
Цитата 4 pg_audit.conf
Цитата 5
Если я правильно понял аудит в СУБД по умолчанию уже настроен. (цитата 1)
Причем в postgresql.conf указано, что сообщения аудита посылаются и в PostgreSQL log и в PARSEC. (цитата 2)
1) Для теста удаляем таблицу базы данных и проверяем.
/var/lib/postgresql/9.6/mail/pg_log/postgresql-*.log содержит записи событий аудита (удаление таблицы и прочее).
/var/log/postgresql и /var/log/parsec - содержат пустые файлы логов.
2) При установке профиля internal,external с настройками в pg_audit.conf "по умолчанию" результат аналогичен.
З.Ы. Не знаю связано это или нет, но в user.mlog события типа useraud, usermac - пишутся, а userdel, useradd - нет. (цитата 5)
Хотя в events_user.conf все они указаны.
Цитата 1 Из документации:
При инициализации кластера баз данных автоматически добавляются следующие правила:
ALTER ROLE postgres SET ac_session_audit TO ’{SsRawdCTEMce:ce}’;
ALTER ROLE ALL SET ac_session_audit TO ’{SsRDxCTEMce:SsRVrawdDxtXUCTEMce}’;
ALTER ROLE postgres SET ac_session_audit TO ’{SsRawdCTEMce:ce}’;
ALTER ROLE ALL SET ac_session_audit TO ’{SsRDxCTEMce:SsRVrawdDxtXUCTEMce}’;
Bash:
ac_debug_print = false
ac_audit_mode = 'internal' # rbt audit mode. Possible values are
# combination of 'internal' and 'external' or single 'none'
ac_audit_file = '/var/lib/postgresql/9.6/main/pg_audit.conf'
# rbt audit configuration file
# (change requires restart)
ac_audit_destination = 'all' # rbt Audit destination. Possible values are
# 'all' - send audit messages to PostgreSQL log and PARSEC,
# and 'parsec' - send audit messages only to PARSEC log
ac_audit_log_only_failures = false
ac_log_stmt_length = 100 # rbt audit stmt length, 0 - unlimited
Bash:
# PostgreSQL message
# parameters: <event> <host> <database> <session_name> <uid> <user_name> <uid> <message>
0x30001018 pgsql msg, msg, msg, msg, uid, msg, uid, msg
Цитата 4 pg_audit.conf
Bash:
# Отслеживаем для пользователя postgres все успешные попытки изменения
# структуры БД, прав доступа и данных.
success events mask = F00E7 failure events mask = 0 user = postgres
# Аудит для остальных пользователей осуществляется для всех ошибочных событий
# и успешных попыток модификации структуры БД и прав доступа.
success events mask = F0707 failure events mask = FFFFF
Bash:
[u] 'Mon Apr 8 14:56:52 2019' '/usr/bin/fly-admin-gmc' <3145,3120,0,0,0> [s] useraud("user","u:oc:oc","")
[u] 'Mon Apr 8 15:14:38 2019' '/usr/bin/fly-admin-gmc' <3145,3120,0,0,0> [s] usermac("test","-:-:-:-","")
[u] 'Mon Apr 8 15:14:38 2019' '/usr/bin/fly-admin-gmc' <3145,3120,0,0,0> [s] usermic("test","-:-","")