关于postgresql数据库单独设置某个用户日志级别(日志审计)

前言:

很多时候我们想让数据库日志打印详细一点,但是又担心会对数据库本身产生一些不可控的影响,还会担心数据库产生的庞大的日志导致主机资源不太够用的影响。那么今天我们就通过讲解给单个用户设置 log_statement来解决以上这些问题。

注:目前在国外网址还没有找到关于log_statement设置mod级别,但是又不想insert操作不记录日志的屏蔽方案,欢迎大家一起沟通该问题。

1.用户登录登出记录

设置log_disconnections和log_connections参数:

sql 复制代码
--开启用户登录记录日志信息

postgres=# alter system set log_connections to on;
ALTER SYSTEM
postgres=# select pg_reload_conf();
 pg_reload_conf 
----------------
 t
(1 row)
postgres=# show log_connections ;
 log_connections 
-----------------
 on
(1 row)

--开启用户登出记录日志信息
postgres=# alter system set log_disconnections to on;
ALTER SYSTEM
postgres=# select pg_reload_conf();
 pg_reload_conf 
----------------
 t
(1 row)
postgres=# show log_disconnections;
 log_connections 
-----------------
 on
(1 row)

后台日志输入:

sql 复制代码
2024-02-21 17:27:49.760 CST,,,18921,"[local]",65d5c215.49e9,1,"",2024-02-21 17:27:49 CST,,0,LOG,00000,"connection received: host=[local]",,,,,,,,,"","not initialized"
2024-02-21 17:27:49.761 CST,"yewu","dtdb",18921,"[local]",65d5c215.49e9,2,"authentication",2024-02-21 17:27:49 CST,7/3286,0,LOG,00000,"connection authorized: user=yewu database=dtdb application_name=psql",,,,,,,,,"","client backend"
2024-02-21 17:27:49.764 CST,"antdb","antdb",18766,"[local]",65d5b944.494e,5,"idle",2024-02-21 16:50:12 CST,,0,LOG,00000,"disconnection: session time: 0:37:37.095 user=antdb database=antdb host=[local]",,,,,,,,,"psql","client backend"
2024-02-21 17:27:53.531 CST,"yewu","dtdb",18921,"[local]",65d5c215.49e9,3,"idle",2024-02-21 17:27:49 CST,,0,LOG,00000,"disconnection: session time: 0:00:03.772 user=yewu database=dtdb host=[local]",,,,,,,,,"psql","client backend"

我们可以看到后台日志打印的非常详细,会显示用户登录时间、用户名、连接数据库、会话ID、连接地址(local:指从数据库本地登录)、登录是否成功、登出是否成功等

日志记录有两个主要点:

1.我们看到最后一行日志里开始时间记录2024-02-21 17:27:53.531,这个时间是切换数据库或是执行SQL的时间点;而中间也有一段时间记录2024-02-21 17:27:49,这个时间是数据库开启事务时间或是通过客户端连接到数据库时间。这里是我通过psql命令连接到数据库时间为2024-02-21 17:27:49.760,所以在最后一行推出日志中显示的时间2024-02-21 17:27:49;如果想要计算用户登录时长,可以直接使用这两个时间差做结果。

2.如果用户通过\c database username方式进行数据库切换做操作后退出数据库,数据库后台日志会记录切换前后数据库登出日志。

2.单独设置用户日志记录级别:

sql 复制代码
通过以下方式设置某个用户日志级别
ALTER USER [user] SET log_statement TO [none|ddl|mod|all];

情况1:单独记录某个用户DDL和DML操作(适用于单独审计某几个用户)
postgres=#  alter user audit_user set log_statement to mod;
ALTER ROLE
查询结果:
postgres=# select rolname,rolconfig from pg_roles where rolname='audit_user';
 rolname    |      rolconfig       
------------+----------------------
 audit_user | {log_statement=mod}
(1 row)

情况2:不想让某个用户记录日志(屏蔽某个用户日志)
postgres=#  alter user audit_user set log_statement to none;
ALTER ROLE
查询结果:
postgres=# select rolname,rolconfig from pg_roles where rolname='audit_user';
 rolname    |      rolconfig       
------------+----------------------
 audit_user | {log_statement=none}
(1 row)

情况3:单独记录某个用户所有操作
postgres=#  alter user audit_user set log_statement to all;
ALTER ROLE
查询结果:
postgres=# select rolname,rolconfig from pg_roles where rolname='audit_user';
 rolname    |      rolconfig       
------------+----------------------
 audit_user | {log_statement=all}
(1 row)

取消用户日志级别:

sql 复制代码
情况1:单独记录某个用户DDL和DML操作(适用于单独审计某几个用户)
postgres=#  alter user audit_user set log_statement to DEFAULT;
ALTER ROLE
查询结果:
postgres=# select rolname,rolconfig from pg_roles where rolname='audit_user';
 rolname    |      rolconfig       
------------+----------------------
 audit_user | 
(1 row)

参考国外地址:Per-user log settings - PostgreSQL wiki

相关推荐
用户763399009082022 分钟前
MongoDB数据库
数据库
boonya32 分钟前
数据库分库分表是考虑ShardingSphere 还是Mycat?
数据库
扶尔魔ocy32 分钟前
【qml入门】在qml项目上加入用户登录qml页面(包含源码)
数据库
沢田纲吉39 分钟前
MySQL 学习二:数据库的操作
数据库·后端·mysql
大白的编程日记.1 小时前
【MySQL】表的操作和数据类型
android·数据库·mysql
不秃的开发媛1 小时前
Java开发入门指南:IDE选择与数据库连接详解
java·数据库·ide
专注API从业者1 小时前
Scrapy 集成 JD API:一种高效且合规的商品数据采集方案
大数据·数据库·scrapy
好多171 小时前
《Redis的缓存策略》
数据库·redis·缓存
小蒜学长3 小时前
基于uni-app的蛋糕订购小程序的设计与实现(代码+数据库+LW)
java·数据库·spring boot·后端·小程序·uni-app
安然~~~4 小时前
mysql多表联查
android·数据库·mysql