Comment activer la journalisation des audits dans Amazon Redshift et Amazon Redshift Serverless ?

Lecture de 5 minute(s)
0

Je veux activer la journalisation des audits pour mon cluster Amazon Redshift ou Amazon Redshift Serverless. Comment procéder ?

Brève description

Amazon Redshift stocke les journaux système dans des affichages et des tables système avec une période de conservation pouvant aller jusqu'à sept jours. Ces journaux permettent de surveiller la sécurité de base de données et résoudre les problèmes qui y sont liés.

Afin de stocker les journaux sur une période plus longue, activez la fonctionnalité de journalisation des audits d'Amazon Redshift. Les journaux peuvent être stockés dans des compartiments Amazon Simple Storage Service (Amazon S3) ou Amazon CloudWatch. Amazon CloudWatch dispose de fonctionnalités permettant de visualiser les données de journalisation des audits.

Amazon Redshift effectue la journalisation des informations dans les types de journaux suivants :

  • Journal de connexion – journalisation des tentatives d'authentification, des connexions et des déconnexions.
  • Journal utilisateur – journalisation des informations relatives aux modifications apportées aux définitions d'utilisateur de base de données.
  • Journal d'activité utilisateur – journalisation de chaque requête avant qu'elle ne soit exécutée sur la base de données.

Remarque : pour les journaux d'activité utilisateur, veillez à configurer les groupes de paramètres de manière à stocker correctement les journaux.

Solution

Activation de la journalisation des audits dans un cluster alloué Amazon Redshift

Afin d'activer la journalisation des audits dans un cluster alloué Amazon Redshift à l'aide de la console, procédez comme suit :

  1. Ouvrez la console Amazon Redshift.
  2. Dans le volet de navigation, sélectionnez Clusters, puis le cluster que vous souhaitez mettre à jour.
  3. Sélectionnez l'onglet Properties (Propriétés).
  4. Dans le panneau Database configurations (Configurations de base de données), cliquez sur Edit (Modifier), puis sur Edit audit logging (Modifier la journalisation d'audit).
  5. Pour Edit audit logging (Modifier la journalisation d'audit), cliquez sur Turn On (Activer), puis sélectionnez S3 bucket (Compartiment S3) ou CloudWatch.
    Si vous sélectionnez S3 bucket, vous avez la possibilité de sélectionner existing bucket (compartiment existant) ou Create new bucket (Créer un nouveau compartiment) pour stocker les journaux d'audit de base de données.
    Si vous sélectionnez CloudWatch, vous pouvez sélectionner l'un des types de journaux suivants : Connection log (Journal de connexion), User log (Journal utilisateur) et User activity log (Journal d'activité utilisateur).
  6. Cliquez sur Save changes (Enregistrer les modifications).

Afin d'activer la journalisation des audits à l'aide de l'AWS CLI, veuillez consulter la section enable-logging.
Remarque : si vous recevez des erreurs lors de l'exécution de commandes AWS CLI, vérifiez que vous utilisez la version la plus récente de l'AWS CLI.

Voici un exemple d'exécution de la commande enable-logging pour activer la journalisation des audits avec un compartiment Amazon S3 comme destination de journalisation des audits :

aws redshift enable-logging --cluster-identifier redshift-cluster-1 --log-destination-type s3  --bucket-name mybucket --s3-key-prefix mybucket/test --region us-east-1

Le résultat est similaire à ce qui suit :

{    “LoggingEnabled”: true,    “BucketName”: “mybucket”,    “S3KeyPrefix”: “mybucket/test/“,    “LastSuccessfulDeliveryTime”: “2022-09-14T12:04:42.558000+00:00"}

Remarque : un retard dans l'affichage des journaux dans le compartiment Amazon S3 ou Amazon CloudWatch est possible. Vous pouvez vérifier la date et l'heure de la dernière livraison réussie dans les propriétés de cluster pour vérifier le moment de la dernière livraison de journaux.

Groupe de paramètres pour les journaux d'activité utilisateur

Afin d'enregistrer les journaux d'activité utilisateur, assurez-vous que le paramètre enable_user_activity_logging est défini sur true (vrai) dans le groupe de paramètres de cluster attaché au cluster Amazon Redshift.

Afin d'activer le paramètre enable_user_activity_logging**,** procédez comme suit :

  1. Créez un nouveau groupe de paramètres.
  2. Modifiez le groupe de paramètres de manière à définir le paramètre enable_user_activity_logging sur true (vrai).
  3. Modifiez le cluster afin d'attacher le nouveau groupe de paramètres au cluster Amazon Redshift.

Remarque : par défaut, le paramètre enable_user_activity_logging est défini sur false (faux) et vous ne pouvez pas modifier le groupe de paramètres par défaut.

Si vous activez la journalisation des audits mais pas le paramètre enable_user_activity_logging dans le groupe de paramètres, les événements suivants se produisent :

  • Les journaux d'audit de base de données stockent des informations uniquement pour le journal de connexion et le journal utilisateur
  • Le journal d'activité utilisateur n'est pas stocké

Activation de la journalisation des audits pour Redshift Serverless

Afin d'activer la journalisation des audits pour Amazon Redshift Serverless, procédez comme suit :

  1. Ouvrez la console Amazon Redshift.
  2. Dans le volet de navigation, sélectionnez Redshift Serverless, puis Serverless dashboard (Tableau de bord sans serveur).
  3. Sélectionnez le Namespace (Espace de noms) pour lequel vous voulez activer la journalisation des audits.
  4. Cliquez sur l'onglet Security and Encryption (Sécurité et chiffrement).
  5. Pour Security and Encryption (Sécurité et chiffrement), cliquez sur Edit (Modifier).
  6. Dans Export these logs (Exporter ces journaux), sélectionnez les journaux que vous voulez enregistrer dans CloudWatch. Vous pouvez sélectionner l'un des types de journaux suivants : User log (Journal utilisateur), Connection log (Journal de connexion) et User activity log (Journal d'activité utilisateur).
  7. Cliquez sur Save changes (Enregistrer les modifications).

Remarque : il n'est pas possible d'exporter des journaux depuis Amazon Redshift Serverless vers des compartiments Amazon S3.

Pour plus d'informations sur la surveillance des journaux d'audit, veuillez consulter la section Surveillance des événements du journal dans CloudWatch.


Informations connexes

Journalisation des audits de base de données

Journalisation d'audit pour Amazon Redshift Serverless

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an