pgaudit

今年のPostgreSQLカンファレンスではデータベースセキュリティや、データベース監査というネタの発表が多かったんですけど、その中で pgaudit というPostgreSQLに監査拡張の紹介がありました。
監査要件を有するシステムに対するPostgreSQL 導入の課題と可能性 (PDF)

その pgaudit はちょっと前にバージョン1.0.0として正式リリースされたっぽい。
https://github.com/pgaudit/pgaudit

このモジュールはPostgreSQLのコマンド実行前にHOOKを使って介入して、SQLコマンドのメタ情報やSQLそのものをサーバログに出力するというもの。
そうなると、素のPostgreSQLの実行時と比較して、どの程度性能への影響があるのかちょいと気になる。
なので、pgbenchを使って、簡単に測定してみることにした。

pg_sulog

PostgreSQLカンファレンス2015のクロージング・ライトニングトークでも、いくつかHOOKネタが発表された。
まあ、そのうち一つが私の発表なんですけどね。

• HOOKの鬼 ぬこ＠横浜
• pg_trunc2del について 魅蛙＠ PgConJapan

で、私の発表の中で紹介した pg_sulog がPostgreSQLの性能に与える影響もついでに測ってみることにした。

測定

結果

見てのとおりですがな。

• pgauditはロギングしなければ、ほとんどPostgreSQLへの性能影響はなさそう。
  • allでロギングすると15％程度スループットは低下するけど、これは仕方ないかなあ。全トランザクションの全SQLをロギングするわけだし。
• pg_sulog遅すぎ・・・ロギングしなくても半分程度のスループットしかでねえ。
  • これの理由は明白。pg_sulogではクエリ実行前にpg_roleを参照してスーパーユーザ権限のあるユーザを収集し、それとセッションユーザを比較している。比較した結果、スーパーユーザ権限だと判断したら、ロギングやブロックを行う。
  • このpg_roleの参照をSPI経由で行っているんだけど、ここを改善しないとダメだろうなー。
  • 直接システムカタログのHeapを見にいくべきなんだろうか。

まあ、pg_sulog側はどうでもいいんだけど、pgauditの組み込みによる性能低下は、ロギング量が少なければ、それほど心配はしなくても良さそうというのが、なんとなく見えてきた。