Configura la Traccia di Audit di Database per MS Azure PostgreSQL
Insieme ad altre funzionalità, DataSunrise offre un strumento di auditing dedicato, il DB Audit Trailing, basato sull’uso di strumenti di auditing nativi del database e meccanismi. In questo articolo spieghiamo come configurare DataSunrise e il tuo database PostgreSQL ospitato su MS Azure per la Traccia di Audit di Database.
Nota che questa guida descrive tutte le azioni necessarie affinché la Traccia di Audit di Database funzioni fin dall’inizio. Supponiamo che non abbiate né un database né le corrispondenti risorse Azure. Per seguire i passaggi di questa guida è necessario solo DataSunrise installato sul tuo computer e accesso al portale Azure.
Accedi al Portale di Azure
Accedi al portale di Azure. Se non conosci l’interfaccia di Azure, potresti trovare utile utilizzare il campo di ricerca situato in cima allo schermo (“Cerca risorse, servizi e documenti”).
Registrazione di un’Applicazione Azure
DataSunrise utilizzerà questa applicazione per scaricare i file di log di PostgreSQL dal contenitore Blob associato al tuo account di Archiviazione. Segui i passaggi qui sotto:
1. Naviga su Registrazioni dell’app -> Nuova registrazione e registra la tua applicazione. Nota che URI di reindirizzamento (opzionale) non è richiesto.
2. Concedi alla tua App i permessi per accedere ai contenitori Blob.
Alla pagina Permessi API, fai clic su Aggiungi un permesso
Nella scheda API di Microsoft, seleziona Azure Storage, quindi seleziona Permessi delegati e user_impersonation:
Fai clic su Aggiungi permessi per applicare le modifiche
3. Crea un Segreto per la tua App in modo che Azure possa identificare la tua App.
- Naviga su Certificati e segreti
- In Segreti del client, fai clic su Nuovo segreto del client per creare un nuovo segreto. SALVA IL VALORE DEL SEGRETO DA QUALCHE PARTE: ne avrai bisogno più tardi.
Creazione di un Gruppo di Risorse
È necessario un Gruppo di risorse per contenere entità (risorse) associate al tuo ambiente di database.
Naviga su Gruppi di risorse e crea un Gruppo di risorse.
Creazione di un Account di Archiviazione
L’account di archiviazione conterrà i file di log del tuo PostgreSQL. DataSunrise recupererà questi log dal tuo account di archiviazione.
1. Naviga su Account di archiviazione e crea un Account
2. Seleziona il tuo Gruppo di risorse nelle impostazioni dell’account di archiviazione e dai un nome all’account di archiviazione. Lascia tutte le altre impostazioni di default
3. Naviga su Controllo di accesso (IAM) e fai clic su Aggiungi -> Aggiungi assegnazione ruolo
Seleziona Lettore: Successivo. Fai clic su +Seleziona membri e seleziona la tua applicazione registrata. Revisiona e assegna. Questo è necessario affinché la tua App possa accedere ai file di log contenuti nei contenitori Blob del tuo account di archiviazione:
4. Fai clic su Aggiungi assegnazione ruolo di nuovo e seleziona Lettore dati di blob di archiviazione.
5. Fai clic su +Seleziona membri e seleziona la tua App registrata. Revisiona e assegna
Creazione di un Server di Database PostgreSQL
Crea un server di database PostgreSQL se non ne hai già uno. Altrimenti, modifica le impostazioni del tuo database secondo i passaggi seguenti:
1. Naviga su Azure Database per server PostgreSQL e crea un nuovo server: naviga su Crea -> Server flessibile -> Crea
2. Fornisci tutte le informazioni richieste del server
3. Nella scheda Networking, seleziona Accesso pubblico… e aggiungi le regole firewall necessarie. Completa il deployment.
4. Naviga su il tuo database PostgreSQL -> Impostazioni -> Parametri del server e imposta i seguenti parametri secondo la tabella seguente:
| Impostazione | Valore richiesto |
|---|---|
| log_checkpoints | OFF |
| log_destination | CSVLOG |
| pgaudit.log | ALL |
| shared_preload_libraries | PG_STAT_STATEMENTS, PGAUDIT |
| log_line_prefix | %t-%c-u”%u”u- |
Salva le impostazioni
5. Configura il tuo database per memorizzare i log in un account di archiviazione associato.
Naviga su Monitoring -> Impostazioni di diagnostica -> Aggiungi impostazione di diagnostica
Seleziona sia Log del server PostgreSQL sia Dati delle sessioni PostgreSQL. Quindi, seleziona Archivio in un account di archiviazione e scegli il tuo Account di Archiviazione
Creazione di un’Istanza PostgreSQL in DataSunrise
Apri la Console Web di DataSunrise e naviga su Configurazione -> Database per creare un’Istanza di Database PostgreSQL (consulta sott. “Creazione di un Profilo di Destinazione di Database” nella Guida Utente di DataSunrise per i dettagli):
Dovrai fornire le seguenti informazioni:
1. Seleziona Traccia dei Log di Audit del Database nelle impostazioni dell’Istanze. Compila tutti i campi richiesti.
2. Copia ClientID e TenantID dalla tua App di Azure per permettere a DataSunrise di utilizzare l’App per scaricare i file di log del tuo PostgreSQL
3. Immetti il Segreto del Client salvato prima (consulta il passaggio 3 della Registrazione di un’Applicazione Azure).
4. Immetti il Nome del Contenitore Blob. Puoi trovare il nome del tuo contenitore Blob nelle impostazioni di Account di Archiviazione -> tuo account -> Contenitori di Azure:
Risultati di Audit
Crea alcune Regole di Audit per il tuo database PostgreSQL (consulta sott. “Creazione di una Regola di Audit dei Dati” nella Guida Utente) ed esegui alcune query sul tuo database PostgreSQL e naviga su Audit -> Tracce Transazionali per vedere i risultati di audit:
