Czy można wykluczyć określonych użytkowników w dzienniku aktywności PostgreSQL?

10

Muszę monitorować aktywność użytkowników w naszych bazach danych. Ustawiłem następujące parametry w postgresql.conf:

log_min_duration_statement = 0
log_connections = on
log_disconnections = on
log_line_prefix = '%t %a %d %h %u |'

Zdaję sobie jednak sprawę, że większość plików dziennika jest wypełniona instrukcjami wykonywanymi przez postgresużytkownika, które są używane przez skrypty, które napisałem do zadań konserwacyjnych: ponownie oblicz zmaterializowane widoki, pg_dump, pg_restore, wyodrębnij widoki jako pliki tabelaryczne itp. Wynik jest codzienny pliki dziennika o rozmiarze ponad 12 Mb.

Czy istnieje sposób na wykluczenie aktywności konkretnego użytkownika z dziennika?

postgresql log Sébastien Clément
źródło
3
IIRC ALTER USER ... SET log_connections = offitp.
Craig Ringer
Świetnie, zrobię to.
Sébastien Clément
1
@CraigRinger zalogowany jako dezso(superużytkownik), zawsze dostaję, ERROR: parameter "log_connections" cannot be set after connection startgdy próbujęALTER ROLE bob SET log_connections = off
dezso
@dezso Drat. Częściowo dlatego, że zakwalifikowałem się do IIRC ... nie byłem pewien.
Craig Ringer
1
@CraigRinger Próbowałem tego wczoraj, myśląc, że to możliwe - potem głosowałem na pytanie: D
dezso

Odpowiedzi:

5

Za pomocą ALTER ROLE ... SET parameter;polecenia można było dostosować parametry dziennika specyficzne dla użytkownika. Pamiętaj, że parametr działa dopiero po wylogowaniu.

Ustawienie log_min_duration_statement = -1 (pierwsze logowanie):

konsola psql

P:\>psql -U postgres -h 132.156.208.45 -d my_db

my_db=# SHOW log_min_duration_statement;
 log_min_duration_statement
----------------------------
 0
(1 ligne)

my_db=# SELECT COUNT(*) FROM organisms;
 count
-------
   153
(1 ligne)

my_db=# ALTER ROLE postgres SET log_min_duration_statement=-1;
ALTER ROLE

my_db=# SHOW log_min_duration_statement;
 log_min_duration_statement
----------------------------
 0
(1 ligne)

my_db=# SELECT COUNT(*) FROM mv_rings;
 count
--------
 115270
(1 ligne)

my_db=# \q

Wynik w dzienniku:

Zauważ, że w tej sesji wszystkie instrukcje są widoczne w logu nawet po ustawieniu log_min_duration_statement = -1.

2015-10-15 14:14:01 EDT [unknown] my_db 123.456.789.012 postgres |LOG:  connection authorized: user=postgres database=my_db
2015-10-15 14:14:08 EDT psql my_db 123.456.789.012 postgres |LOG:  duration: 0.000 ms  statement: SHOW log_min_duration_statement;
2015-10-15 14:15:26 EDT psql my_db 123.456.789.012 postgres |LOG:  duration: 32.000 ms  statement: SELECT COUNT(*) FROM organisms;
2015-10-15 14:15:45 EDT psql my_db 123.456.789.012 postgres |LOG:  duration: 31.000 ms  statement: ALTER ROLE postgres SET log_min_duration_statement=-1;
2015-10-15 14:16:08 EDT psql my_db 123.456.789.012 postgres |LOG:  duration: 0.000 ms  statement: SHOW log_min_duration_statement;
2015-10-15 14:17:10 EDT psql my_db 123.456.789.012 postgres |LOG:  duration: 2059.000 ms  statement: SELECT COUNT(*) FROM mv_rings;
2015-10-15 14:17:29 EDT psql my_db 123.456.789.012 postgres |LOG:  disconnection: session time: 0:03:27.450 user=postgres database=my_db host=123.456.789.012 port=65269

Widząc efekt log_min_duration_statement (drugie logowanie):

konsola psql

P:\>psql -U postgres -h 132.156.208.45 -d my_db

my_db=# SHOW log_min_duration_statement;
 log_min_duration_statement
----------------------------
 -1
(1 ligne)

my_db=# SELECT COUNT(*) FROM germplasms;
 count
--------
 475290
(1 ligne)

my_db=# \q

Wynik w dzienniku:

Zgodnie z oczekiwaniami żadna z instrukcji nie jest rejestrowana.

2015-10-15 14:17:44 EDT [unknown] my_db 123.456.789.012 postgres |LOG:  connection authorized: user=postgres database=my_db
2015-10-15 14:20:27 EDT psql my_db 123.456.789.012 postgres |LOG:  disconnection: session time: 0:02:43.333 user=postgres database=my_db host=123.456.789.012 port=49372
Sébastien Clément
źródło