Startseite
Leitfäden
Konfigurieren von DB-Audit-Trailing für MS Azure PostgreSQL

Konfigurieren von DB-Audit-Trailing für MS Azure PostgreSQL

Wie man die DataSunrise CloudFormation-Vorlage von Launch Configuration (LC) zur Launch Template (LT) Ressource in der Auto Scaling Gruppe migriert Wie man DataSunrise-Ereignisse über einen eingehenden Webhook an einen Microsoft Teams-Kanal sendet, indem man Abonnenten nutzt Wie man die Überwachungsdatenbankdaten auf AWS S3 auslastet und sie mit dem AWS Athena Service liest Konvertieren Sie die Test- oder BYOL-Konfiguration von DataSunrise zu stundenweiser Abrechnung PostgreSQL (RDS) vs Aurora PostgreSQL So beheben Sie Fehler wie „Verbindung wurde beendet“ oder „Verbindung wurde unerwartet beendet“ in Anwendungen, die DataSunrise-Proxys verwenden DataSunrise’s Leistung unter hohen Verkehrsbedingungen DataSunrise’s Ansatz zur Konfiguration von Strafen für die Erkennung von SQL-Injection Wie man spezifische Hosts in DataSunrise für erhöhten Datenbank-Schutz blockiert Fehlerbehebung bei AWS Metering und stundenbasierten Abrechnungsproblemen in DataSunrise auf dem AWS Marketplace Wie man Änderungen an Cloud Formation durchführt Dynamische Datenmaskierung mit DataSunrise: Maskierung mit Lua-Skripten Wie wählt man die richtige Datenbank für Audit-Speicher: Eine Leistungsanalyse Wie man pgbench durch den DataSunrise-Proxy auf PostgreSQL 14 mit SCRAM-Authentifizierung ausführt DataSunrise SSO-Authentifizierung basierend auf SAML (Okta) DataSunrise SSO-Authentifizierung basierend auf OpenID (Okta) Umfassender Leitfaden, wie man nach sensiblen Daten in Bildern sucht, die auf AWS S3 gehostet werden Wie man DataSunrise mit Terraform-Template auf Azure bereitstellt DataSunrise mit SQL Server Always On Cluster integrieren Wie man DataSunrise in Microsoft Azure mithilfe des Azure Resource Manager bereitstellt Wie man DataSunrise Static Data Masking für MongoDB durchführt Wie man das Datenbank-Audit-Trailing für MS Azure MySQL konfiguriert Konfigurieren von DB-Audit-Trailing für MS Azure PostgreSQL Wie man DataSunrise zur Datenmaskierung für Amazon Athena konfiguriert Wie man die RHEL-OS-Version bestehender DataSunrise-Server aktualisiert Wie man DataSunrise mit AWS Database Activity Streams integriert, um Auditergebnisse für AWS Aurora PostgreSQL zu erhalten SSL-Zertifikate für den DataSunrise-Datenbank-Proxy einrichten Berichte in DataSunrise: Wichtige Systeme zur Verbesserung der Datenbanksicherheit Wie man Schemas von Benutzern in Redshift versteckt AWS RDS PostgreSQL Audit Protokolle in DataSunrise Wie man administrative Aktionen in Ihrem Oracle RDS und EC2 überwacht Wie man überprüft, ob DataSunrise Traffic empfängt Wie man ein Verfahren oder eine Funktion aus einer Datenbank entfernt

Zusammen mit anderen Funktionalitäten bietet DataSunrise ein dediziertes Audit-Tool, das DB Audit Trailing, basierend auf der Nutzung von nativen Datenbank-Audit-Tools und -Mechanismen. In diesem Artikel erklären wir, wie Sie DataSunrise und Ihre auf MS Azure gehostete PostgreSQL-Datenbank für das DB-Audit-Trailing konfigurieren.

Beachten Sie, dass diese Anleitung alle erforderlichen Aktionen beschreibt, damit das DB-Audit-Trailing von Anfang an funktioniert. Angenommen, Sie haben weder eine Datenbank noch die entsprechenden Azure-Ressourcen. Um den Schritten dieser Anleitung zu folgen, benötigen Sie nur DataSunrise, das auf Ihrem Rechner installiert ist, und Zugang zum Azure-Portal.

Anmelden im Azure-Portal

Melden Sie sich im Azure-Portal an. Wenn Sie mit der Benutzeroberfläche von Azure nicht vertraut sind, können Sie das Suchfeld oben auf dem Bildschirm („Ressourcen, Dienste und Dokumente durchsuchen“) nützlich finden.

Registrierung einer Azure-Anwendung

DataSunrise verwendet diese Anwendung, um die Protokolldateien Ihrer PostgreSQL-Datenbank aus dem Blob-Container Ihres Speicherkontos herunterzuladen. Befolgen Sie die folgenden Schritte:

1. Navigieren Sie zu App-Registrierungen -> Neue Registrierung und registrieren Sie Ihre Anwendung. Beachten Sie, dass Weiterleitungs-URI (optional) nicht erforderlich ist.

2. Erteilen Sie Ihrer App die Berechtigung, auf Blob-Container zuzugreifen.

Auf der Seite API-Berechtigungen klicken Sie auf Berechtigung hinzuzufügen

Im Tab Microsoft-APIs wählen Sie Azure Storage und dann Delegierte Berechtigungen und user_impersonation:

Klicken Sie auf Berechtigungen hinzufügen, um die Änderungen anzuwenden

3. Erstellen Sie ein Geheimnis für Ihre App, damit Azure Ihre App identifizieren kann.

Navigieren Sie zu Zertifikate und Geheimnisse
Unter Client-Geheimnisse klicken Sie auf Neues Client-Geheimnis, um ein neues Geheimnis zu erstellen. SPEICHERN SIE DEN GEHEIMWERT AN EINEM ORT: Sie werden ihn später benötigen.

Erstellung einer Ressourcengruppe

Eine Ressourcengruppe ist erforderlich, um Entitäten (Ressourcen) zu enthalten, die mit Ihrer Datenbankumgebung verbunden sind.

Navigieren Sie zu Ressourcengruppen und erstellen Sie eine Ressourcengruppe.

Erstellung eines Speicherkontos

Das Speicherkonto wird Ihre PostgreSQL-Protokolldateien enthalten. DataSunrise wird diese Protokolle aus Ihrem Speicherkonto abrufen.

1. Navigieren Sie zu Speicherkonten und erstellen Sie ein Konto

2. Wählen Sie Ihre Ressourcengruppe in den Einstellungen des Speicherkontos aus und benennen Sie das Speicherkonto. Lassen Sie alle anderen Einstellungen auf den Standardwerten

3. Navigieren Sie zu Zugriffskontrolle (IAM) und klicken Sie auf Hinzufügen -> Rollenzuweisung hinzufügen

Wählen Sie Leser: Weiter. Klicken Sie auf +Mitglieder auswählen und wählen Sie Ihre registrierte App aus. Überprüfen und zuweisen. Dies ist erforderlich, damit Ihre App Zugriff auf Protokolldateien in den Blob-Containern Ihres Speicherkontos hat:

4. Klicken Sie erneut auf Rollenzuweisung hinzufügen und wählen Sie Storage Blob Data Reader.

5. Klicken Sie auf +Mitglieder auswählen und wählen Sie Ihre registrierte App aus. Überprüfen und zuweisen

Erstellung eines PostgreSQL-Datenbankservers

Erstellen Sie einen PostgreSQL-Datenbankserver, wenn Sie noch keinen haben. Andernfalls bearbeiten Sie die Einstellungen Ihrer Datenbank gemäß den folgenden Schritten.

1. Navigieren Sie zu Azure Database for PostgreSQL servers und erstellen Sie einen neuen Server: Navigieren Sie zu Erstellen -> Flexibler Server -> Erstellen

2. Geben Sie alle erforderlichen Serverdetails ein

3. Aktivieren Sie im Tab Netzwerk Öffentlicher Zugang… und fügen Sie erforderliche Firewallregeln hinzu. Schließen Sie die Bereitstellung ab.

4. Navigieren Sie zu Ihrer PostgreSQL-Datenbank -> Einstellungen -> Serverparameter und setzen Sie die folgenden Parameter gemäß der Tabelle unten:

Einstellung	Erforderlicher Wert
log_checkpoints	OFF
log_destination	CSVLOG
pgaudit.log	ALL
shared_preload_libraries	PG_STAT_STATEMENTS, PGAUDIT
log_line_prefix	%t-%c-u”%u”u-

Speichern Sie die Einstellungen

5. Konfigurieren Sie Ihre Datenbank so, dass Protokolle in einem zugeordneten Speicherkonto gespeichert werden.

Navigate to Überwachung -> Diagnoseeinstellungen -> Diagnoseeinstellungen hinzufügen

Aktivieren Sie sowohl PostgreSQL-Serverprotokoll als auch PostgreSQL-Sitzungsdaten. Aktivieren Sie dann Archivieren in ein Speicherkonto und wählen Sie Ihr Speicherkonto aus

Erstellung einer PostgreSQL-Instanz in DataSunrise

Öffnen Sie die Webkonsole von DataSunrise und navigieren Sie zu Konfiguration -> Datenbanken, um eine PostgreSQL-Datenbankinstanz zu erstellen (siehe Unterabschnitt „Erstellen eines Ziel-Datenbankprofils“ im DataSunrise-Benutzerhandbuch für Details):

Sie müssen die folgenden Informationen angeben:

1. Wählen Sie Trail der DB-Audit-Protokolle in den Einstellungen der Instanz. Füllen Sie alle erforderlichen Felder aus.

Audit Trailing for MS Azure - DataSunrise Instance

2. Kopieren Sie ClientID und TenantID aus Ihrer Azure-App, damit DataSunrise die App zum Herunterladen der Protokolldateien Ihrer PostgreSQL-Datenbank verwenden kann

3. Geben Sie das zuvor gespeicherte Client-Geheimnis ein (siehe Schritt 3 der Registrierung einer Azure-Anwendung).

4. Geben Sie den Blob-Container-Namen ein. Sie können Ihren Blob-Container-Namen in den Azure-Einstellungen unter Speicherkonten -> Ihr Konto -> Container finden:

Audit-Ergebnisse

Erstellen Sie einige Auditregeln für Ihre PostgreSQL-Datenbank (siehe Unterabschnitt „Erstellen einer Daten-Auditregel“ des Benutzerhandbuchs) und führen Sie einige Abfragen auf Ihrer PostgreSQL-Datenbank aus. Navigieren Sie zu Audit -> Transaktionspfade für die Auditergebnisse: