PostgreSQL：详解 pgAudit 插件的使用（数据脱敏与审计）

更多内容请见： 《深入掌握PostgreSQL数据库》 - 专栏介绍和目录

文章目录

• 一、pgAudit 是什么？能做什么？
  • 1.1 定位与能力
  • 1.2 不能做什么？
• 二、安装与启用 pgAudit
  • 2.1 安装（以 Ubuntu + PostgreSQL 14 为例）
  • 2.2 启用插件
• 三、核心配置参数详解
  • 3.1 全局参数（postgresql.conf）
  • 3.2 `pgaudit.log` 取值说明
  • 3.3 细粒度控制：基于角色或数据库
    • 方式 1：为特定角色开启审计
    • 方式 2：为特定数据库开启审计
• 四、实战：配置典型审计场景
  • 场景 1：审计所有敏感表的读写操作（金融/医疗）
  • 场景 2：满足等保要求——记录所有 DDL 和权限变更
  • 场景 3：开发环境调试——记录所有 SQL（含参数）
• 五、日志格式与解析
  • 5.1 日志示例
  • 5.2 启用对象级审计（更精确）
• 六、pgAudit 与数据脱敏的协同方案
  • 6.1 方案 1：视图 + RLS（行级安全） + pgAudit
  • 6.2 方案 2：使用 anon 扩展（动态脱敏）
  • 6.3 方案 3：应用层脱敏 + pgAudit 审计原始操作
• 七、日志管理与分析
  • 7.1 日志输出位置
  • 7.2 日志轮转与保留
  • 7.3 日志分析工具
    • 方法 1：grep + awk（简单场景）
    • 方法 2：ELK Stack（企业级）
    • 方法 3：专用 SIEM 系统
• 八、性能影响与优化
  • 8.1 性能开销
  • 8.2 优化建议
• 九、常见问题排查
  • 问题 1：日志未生成
  • 问题 2：日志中看不到表名
  • 问题 3：参数值未记录
  • 问题 4：审计日志与普通 log_statement 冲突
• 十、合规性映射
• 十一、实践建议

核心提示：pgAudit 是 PostgreSQL 官方推荐的审计日志插件，用于记录数据库操作行为（如谁在何时执行了什么 SQL），但它不提供数据脱敏功能。数据脱敏需通过其他机制（如视图、RLS、扩展）实现。

一、pgAudit 是什么？能做什么？

1.1 定位与能力

• 官方插件：由 PostgreSQL 社区维护，兼容性好；
• 核心功能：生成符合安全合规要求（如 GDPR、HIPAA、等保）的详细会话与对象级审计日志；
• 记录内容：
  • 用户名、数据库名、客户端 IP；
  • 执行的 SQL 语句（或语句类型）；
  • 操作对象（表、序列等）；
  • 时间戳、会话 ID。

1.2 不能做什么？

• ❌ 不加密数据；
• ❌ 不隐藏/替换敏感字段值（即无“脱敏”能力）；
• ❌ 不阻止非法操作（仅记录，不拦截）。