Konfigurieren von DB-Audit-Trailing für MS Azure PostgreSQL
Zusammen mit anderen Funktionalitäten bietet DataSunrise ein dediziertes Audit-Tool, das DB Audit Trailing, basierend auf der Nutzung von nativen Datenbank-Audit-Tools und -Mechanismen. In diesem Artikel erklären wir, wie Sie DataSunrise und Ihre auf MS Azure gehostete PostgreSQL-Datenbank für das DB-Audit-Trailing konfigurieren.
Beachten Sie, dass diese Anleitung alle erforderlichen Aktionen beschreibt, damit das DB-Audit-Trailing von Anfang an funktioniert. Angenommen, Sie haben weder eine Datenbank noch die entsprechenden Azure-Ressourcen. Um den Schritten dieser Anleitung zu folgen, benötigen Sie nur DataSunrise, das auf Ihrem Rechner installiert ist, und Zugang zum Azure-Portal.
Anmelden im Azure-Portal
Melden Sie sich im Azure-Portal an. Wenn Sie mit der Benutzeroberfläche von Azure nicht vertraut sind, können Sie das Suchfeld oben auf dem Bildschirm („Ressourcen, Dienste und Dokumente durchsuchen“) nützlich finden.
Registrierung einer Azure-Anwendung
DataSunrise verwendet diese Anwendung, um die Protokolldateien Ihrer PostgreSQL-Datenbank aus dem Blob-Container Ihres Speicherkontos herunterzuladen. Befolgen Sie die folgenden Schritte:
1. Navigieren Sie zu App-Registrierungen -> Neue Registrierung und registrieren Sie Ihre Anwendung. Beachten Sie, dass Weiterleitungs-URI (optional) nicht erforderlich ist.
2. Erteilen Sie Ihrer App die Berechtigung, auf Blob-Container zuzugreifen.
Auf der Seite API-Berechtigungen klicken Sie auf Berechtigung hinzuzufügen
Im Tab Microsoft-APIs wählen Sie Azure Storage und dann Delegierte Berechtigungen und user_impersonation:

Klicken Sie auf Berechtigungen hinzufügen, um die Änderungen anzuwenden
3. Erstellen Sie ein Geheimnis für Ihre App, damit Azure Ihre App identifizieren kann.
- Navigieren Sie zu Zertifikate und Geheimnisse
- Unter Client-Geheimnisse klicken Sie auf Neues Client-Geheimnis, um ein neues Geheimnis zu erstellen. SPEICHERN SIE DEN GEHEIMWERT AN EINEM ORT: Sie werden ihn später benötigen.
Erstellung einer Ressourcengruppe
Eine Ressourcengruppe ist erforderlich, um Entitäten (Ressourcen) zu enthalten, die mit Ihrer Datenbankumgebung verbunden sind.
Navigieren Sie zu Ressourcengruppen und erstellen Sie eine Ressourcengruppe.
Erstellung eines Speicherkontos
Das Speicherkonto wird Ihre PostgreSQL-Protokolldateien enthalten. DataSunrise wird diese Protokolle aus Ihrem Speicherkonto abrufen.
1. Navigieren Sie zu Speicherkonten und erstellen Sie ein Konto
2. Wählen Sie Ihre Ressourcengruppe in den Einstellungen des Speicherkontos aus und benennen Sie das Speicherkonto. Lassen Sie alle anderen Einstellungen auf den Standardwerten
3. Navigieren Sie zu Zugriffskontrolle (IAM) und klicken Sie auf Hinzufügen -> Rollenzuweisung hinzufügen
Wählen Sie Leser: Weiter. Klicken Sie auf +Mitglieder auswählen und wählen Sie Ihre registrierte App aus. Überprüfen und zuweisen. Dies ist erforderlich, damit Ihre App Zugriff auf Protokolldateien in den Blob-Containern Ihres Speicherkontos hat:

4. Klicken Sie erneut auf Rollenzuweisung hinzufügen und wählen Sie Storage Blob Data Reader.
5. Klicken Sie auf +Mitglieder auswählen und wählen Sie Ihre registrierte App aus. Überprüfen und zuweisen
Erstellung eines PostgreSQL-Datenbankservers
Erstellen Sie einen PostgreSQL-Datenbankserver, wenn Sie noch keinen haben. Andernfalls bearbeiten Sie die Einstellungen Ihrer Datenbank gemäß den folgenden Schritten.
1. Navigieren Sie zu Azure Database for PostgreSQL servers und erstellen Sie einen neuen Server: Navigieren Sie zu Erstellen -> Flexibler Server -> Erstellen
2. Geben Sie alle erforderlichen Serverdetails ein
3. Aktivieren Sie im Tab Netzwerk Öffentlicher Zugang… und fügen Sie erforderliche Firewallregeln hinzu. Schließen Sie die Bereitstellung ab.
4. Navigieren Sie zu Ihrer PostgreSQL-Datenbank -> Einstellungen -> Serverparameter und setzen Sie die folgenden Parameter gemäß der Tabelle unten:
Einstellung | Erforderlicher Wert |
---|---|
log_checkpoints | OFF |
log_destination | CSVLOG |
pgaudit.log | ALL |
shared_preload_libraries | PG_STAT_STATEMENTS, PGAUDIT |
log_line_prefix | %t-%c-u”%u”u- |
Speichern Sie die Einstellungen
5. Konfigurieren Sie Ihre Datenbank so, dass Protokolle in einem zugeordneten Speicherkonto gespeichert werden.
Navigate to Überwachung -> Diagnoseeinstellungen -> Diagnoseeinstellungen hinzufügen
Aktivieren Sie sowohl PostgreSQL-Serverprotokoll als auch PostgreSQL-Sitzungsdaten. Aktivieren Sie dann Archivieren in ein Speicherkonto und wählen Sie Ihr Speicherkonto aus
Erstellung einer PostgreSQL-Instanz in DataSunrise
Öffnen Sie die Webkonsole von DataSunrise und navigieren Sie zu Konfiguration -> Datenbanken, um eine PostgreSQL-Datenbankinstanz zu erstellen (siehe Unterabschnitt „Erstellen eines Ziel-Datenbankprofils“ im DataSunrise-Benutzerhandbuch für Details):
Sie müssen die folgenden Informationen angeben:
1. Wählen Sie Trail der DB-Audit-Protokolle in den Einstellungen der Instanz. Füllen Sie alle erforderlichen Felder aus.

2. Kopieren Sie ClientID und TenantID aus Ihrer Azure-App, damit DataSunrise die App zum Herunterladen der Protokolldateien Ihrer PostgreSQL-Datenbank verwenden kann

3. Geben Sie das zuvor gespeicherte Client-Geheimnis ein (siehe Schritt 3 der Registrierung einer Azure-Anwendung).
4. Geben Sie den Blob-Container-Namen ein. Sie können Ihren Blob-Container-Namen in den Azure-Einstellungen unter Speicherkonten -> Ihr Konto -> Container finden:
Audit-Ergebnisse
Erstellen Sie einige Auditregeln für Ihre PostgreSQL-Datenbank (siehe Unterabschnitt „Erstellen einer Daten-Auditregel“ des Benutzerhandbuchs) und führen Sie einige Abfragen auf Ihrer PostgreSQL-Datenbank aus. Navigieren Sie zu Audit -> Transaktionspfade für die Auditergebnisse:
