Comment activer la journalisation des audits pour mon cluster de bases de données Amazon Aurora compatible avec MySQL et publier les journaux dans CloudWatch ?

Lecture de 4 minute(s)
0

Pour respecter les exigences en matière de conformité, je souhaite activer la journalisation des audits sur mon cluster de bases de données Amazon Aurora édition compatible avec MySQL afin d'auditer l'activité des bases de données. Ensuite, je souhaite publier les journaux de base de données dans Amazon CloudWatch de sorte à effectuer l'analyse des données en temps réel.

Brève description

Utilisez l'audit avancé avec Amazon Aurora pour enregistrer et auditer les événements de base de données. Les événements de base de données peuvent inclure les connexions, les déconnexions, les tables interrogées ou les types de requêtes émises (DML, DDL ou DCL) sur un cluster de bases de données Aurora compatible avec MySQL. Pour plus d'informations sur le type d'informations incluses dans les fichiers journaux, reportez-vous à la section Détails du journal d'audit.

Tout d'abord, activez les paramètres de l'Audit avancé sur le groupe de paramètres de cluster de bases de données personnalisé associé. Ensuite, vous pouvez publier les journaux de l'Audit avancé dans CloudWatch.

Remarque : si vous utilisez Amazon Relational Database Service (Amazon RDS) for MySQL ou MariaDB, reportez-vous à la section Comment activer la journalisation des audits pour une instance Amazon RDS for MySQL ou une instance MariaDB et publier les journaux dans CloudWatch ?

Résolution

L'Audit avancé prend en charge les types de capacité de base de données suivants :

  • Aurora provisionné
  • Aurora provisionné avec prise en charge des requêtes parallèles Aurora
  • Aurora sans serveur

Remarque : si vous utilisez Amazon Aurora sans serveur v1, procédez comme suit pour activer les paramètres de journalisation des audits. Toutefois, vous n'avez pas besoin de configurer les journaux de manière à les publier sur CloudWatch, car les clusters Amazon Aurora sans serveur v1 chargent automatiquement ces types de journaux. Pour configurer le téléchargement de journaux pour les clusters v1, modifiez la valeur des types de journaux dans le groupe de paramètres du cluster de bases de données.

Activer les paramètres d'Audit avancé sur le groupe de paramètres de cluster

  1. Créez un groupe de paramètres de cluster de bases de données personnalisé.
  2. Modifiez les paramètres d'Audit avancé.
  3. Modifiez le cluster de manière à associer le nouveau groupe de paramètres de bases de données personnalisé à votre cluster de base de données Aurora compatible avec MySQL.

Pour plus d'informations sur les paramètres d'Audit avancé, reportez-vous à la section Activer l'Audit avancé. Ces paramètres sont dynamiques. Par conséquent, vous ne devez pas redémarrer votre cluster de bases de données. Lorsque vous remplacez le groupe de paramètres par défaut par un groupe de paramètres personnalisé, redémarrez manuellement l'instance de base de données pour appliquer le nouveau groupe.

Publier les journaux de l'Audit avancé dans CloudWatch

  1. Ouvrez la console Amazon RDS.
  2. Sélectionnez Databases (Bases de données) dans le panneau de navigation.
  3. Sélectionnez le cluster de base de données Aurora compatible avec MySQL pour lequel vous souhaitez exporter des données de journaux vers CloudWatch.
  4. Sélectionnez Modify (Modifier).
  5. Dans la section Exportations des journaux, sélectionnez Journal d'audit.
  6. Cliquez sur Continue (Continuer).
  7. Consultez le Summary of modifications (Résumé des modifications), puis sélectionnez Modify cluster (Modifier le cluster).

Vous pouvez également publier des journaux de l'Audit avancé dans CloudWatch Logs en définissant la valeur correspondant au paramètre de bases de données au niveau du cluster server_audit_logs_upload sur 1. La valeur par défaut du paramètre est 0. Vous pouvez également utiliser l'interface de la ligne de commande AWS (AWS CLI) pour activer des exportations de journaux CloudWatch en exécutant une commande du type :

aws rds modify-db-cluster --db-cluster-identifier <mydbcluster> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

Après avoir activé la journalisation d'audit et modifié votre instance de manière à exporter des journaux, les événements consignés dans les journaux d'audit sont envoyés vers CloudWatch. Vous pouvez ensuite surveiller les événements du journal dans CloudWatch.

Remarque : les données d'audit n'apparaissent pas dans les journaux, sauf si vous définissez également un ou plusieurs types d'événements à auditer à l'aide du paramètre server_audit_events.


Informations connexes

Auditer un cluster Amazon Aurora

Utiliser l'Audit avancé avec un cluster de bases de données Amazon Aurora compatible avec MySQL

Publier les journaux Amazon Aurora MySQL dans Amazon CloudWatch Logs

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans