Comment activer la journalisation d'audit pour une instance Amazon RDS for MySQL ou MariaDB et publier les journaux dans CloudWatch ?

Brève description

Pour utiliser le plugin d'audit MariaDB pour capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées, procédez comme suit :

• Ajoutez et configurez le plugin d'audit MariaDB et associez l'instance de base de données à un groupe d'options personnalisées.
• Publiez les journaux dans CloudWatch.

Si vous utilisez Amazon Aurora, édition compatible avec MySQL, consultez Comment puis-je activer la journalisation des audits pour mon cluster de bases de données Aurora, édition compatible avec MySQL, et publier les journaux dans CloudWatch ?

Solution

Remarque : si vous recevez des erreurs lors de l'exécution des commandes de l'interface de la ligne de commande AWS (AWS CLI), assurez-vous d'exécuter une version récente d'AWS CLI.

Amazon RDS prend en charge les paramètres d'option du plugin d'audit sur les versions de MySQL et MariaDB ci-dessous :

• Toutes les versions MySQL 5.7
• MySQL 5.7.16 et versions 5.7 ultérieures
• MySQL 8.0.25 et versions 8.0 ultérieures
• MariaDB 10.2 et ultérieures

Pour en savoir plus sur les versions prises en charge, consultez les rubriques Prise en charge du plugin d'audit MariaDB et Options pour le moteur de base de données MariaDB.

Ajouter et configurer le plugin d'audit MariaDB et associer l'instance de base de données à un groupe d'options personnalisées

1.    Créez un groupe d'options personnalisées ou modifiez un groupe d'options personnalisées existant.

2.    Ajoutez l'option de plugin d'audit MariaDB au groupe d'options et configurez les paramètres d'option.

3.    Appliquez le groupe d'options à l'instance de base de données.

Pour appliquer l'option à une nouvelle instance de base de données, configurez l'instance de manière à utiliser le nouveau groupe d'options lorsque vous lancez l'instance de base de données. Pour appliquer l'option à une instance de base de données existante, modifiez l'instance de base de données pour y associer le nouveau groupe d'options. Pour plus d'informations, consultez Modification d'une instance de base de données Amazon RDS.

Une fois que vous avez configuré l'instance de base de données avec le plugin d'audit MariaDB, vous n'avez pas besoin de redémarrer l'instance de base de données. Lorsque le groupe d'options est actif, l'audit commence immédiatement.

Remarque : Amazon RDS ne prend pas en charge la désactivation de la journalisation du plugin d'audit MariaDB. Pour désactiver la journalisation d'audit, supprimez le plugin du groupe d'options associé. Cela redémarre automatiquement l'instance. Pour limiter la longueur de la chaîne de requête dans un enregistrement, utilisez l'option SERVER_AUDIT_QUERY_LOG_LIMIT.

Publier des journaux d'audit dans CloudWatch

1.    Ouvrez la console Amazon RDS.

2.    Sélectionnez Bases de données dans le panneau de navigation.

3.    Sélectionnez l'instance de base de données que vous souhaitez utiliser pour exporter les données des journaux vers CloudWatch.

4.    Choisissez Modifier.

5.    Dans la section Exportations des journaux, sélectionnez Journal d'audit.

6.    Sélectionnez Continuer.

7.    Consultez le Résumé de modifications, puis sélectionnez Modifier l'instance.

Vous pouvez également utiliser la syntaxe de commande AWS CLI suivante pour activer les exportations de journaux CloudWatch :

aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

Après avoir activé la journalisation d'audit et modifié votre instance pour exporter des journaux, les événements consignés dans les journaux d'audit sont envoyés vers CloudWatch. Ensuite, vous pouvez surveiller les événements du journal dans CloudWatch.