Wie kann ich die Audit-Protokollierung für eine Amazon RDS für MySQL- oder MariaDB-Instance aktivieren und die Protokolle in CloudWatch veröffentlichen?

Kurzbeschreibung

Um das MariaDB-Audit-Plugin zum Erfassen von Ereignissen wie Verbindungen, Verbindungsabbrüchen, Abfragen oder abgefragten Tabellen zu verwenden, gehen Sie wie folgt vor:

• Fügen Sie das MariaDB-Audit-Plugin hinzu, konfigurieren Sie es und verknüpfen Sie die DB-Instance mit einer benutzerdefinierten Optionsgruppe.
• Veröffentlichen Sie die Protokolle auf CloudWatch.

Wenn Sie die Amazon Aurora MySQL-kompatible Edition verwenden, finden Sie weitere Informationen unter Wie kann ich die Audit-Protokollierung für meinen Aurora MySQL-kompatiblen DB-Cluster aktivieren und die Protokolle in CloudWatch veröffentlichen?

Lösung

Hinweis: Wenn beim Ausführen von Befehlen für die AWS Command Line Interface (AWS CLI) Fehler auftreten, vergewissern Sie sich, dass Sie eine aktuelle Version der AWS-CLI ausführen.

Amazon RDS unterstützt die Optionseinstellungen des Audit-Plugins für die folgenden Versionen von MySQL und MariaDB:

• Alle MySQL 5.7-Versionen
• MySQL 5.7.16 und höhere 5.7-Versionen
• MySQL 8.0.25 und höhere 8.0-Versionen
• MariaDB 10.2 und höher

Weitere Informationen zu unterstützten Versionen finden Sie unter MariaDB-Audit-Plugin-Unterstützung und Optionen für MariaDB-Datenbank-Engines.

Fügen Sie das MariaDB-Audit-Plugin hinzu, konfigurieren Sie es und verknüpfen Sie die DB-Instance mit einer benutzerdefinierten Optionsgruppe

1.Erstellen Sie eine benutzerdefinierte Optionsgruppe oder ändern Sie eine vorhandene benutzerdefinierte Optionsgruppe.

2.Fügen Sie die Option MariaDB-Audit-Plugin zur Optionsgruppe hinzu und konfigurieren Sie die Optionseinstellungen.

3.Wenden Sie die Optionsgruppe auf die DB-Instance an.

Um die Option auf eine neue DB-Instance anzuwenden, konfigurieren Sie die Instance so, dass sie die neu erstellte Optionsgruppe verwendet, wenn Sie die DB-Instance starten. Um die Option auf eine bestehende DB-Instance anzuwenden, ändern Sie die DB-Instance und fügen Sie die neue Optionsgruppe hinzu. Weitere Informationen finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Nachdem Sie die DB-Instance mit dem MariaDB-Audit-Plugin konfiguriert haben, müssen Sie die DB-Instance nicht neu starten. Wenn die Optionsgruppe aktiv ist, beginnt die Prüfung sofort.

Hinweis: Amazon RDS unterstützt das Deaktivieren der Protokollierung im MariaDB Audit Plugin nicht. Um die Audit-Protokollierung zu deaktivieren, entfernen Sie das Plugin aus der zugehörigen Optionsgruppe. Hierdurch wird die Instance automatisch neu gestartet. Um die Länge der Abfragezeichenfolge in einem Datensatz zu begrenzen, verwenden Sie die Option SERVER_AUDIT_QUERY_LOG_LIMIT.

Audit-Protokolle auf CloudWatch veröffentlichen

1.Öffnen Sie die Amazon RDS-Konsole.

2.Wählen Sie im Navigationsbereich Datenbanken aus.

3.Wählen Sie die DB-Instance aus, die Sie für den Export von Protokolldaten nach CloudWatch verwenden möchten.

4.Wählen Sie Ändern aus.

5.Wählen Sie im Abschnitt Protokollexporte die Option Audit-Protokoll aus.

6.Wählen Sie Weiter aus.

7.Überprüfen Sie die Zusammenfassung der Änderungen und wählen Sie dann Instance ändern aus.

Sie können auch die folgende AWS-CLI-Befehlssyntax verwenden, um CloudWatch-Protokollexporte zu aktivieren:

aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

Nachdem Sie die Audit-Protokollierung aktiviert und Ihre Instance so geändert haben, dass sie Protokolle exportiert, werden die in den Audit-Protokollen aufgezeichneten Ereignisse an CloudWatch gesendet. Anschließend können Sie die Protokollereignisse in CloudWatch überwachen.