Come posso attivare la registrazione di controllo per il mio cluster di database compatibile con Amazon Aurora MySQL e pubblicare i log su CloudWatch?

Breve descrizione

Usa Audit avanzato con Amazon Aurora per registrare e controllare gli eventi del database. Gli eventi del database possono includere connessioni, disconnessioni, tabelle con query e tipi di query emessi (DML, DDL o DCL) su un cluster di database compatibile con Aurora MySQL. Per ulteriori informazioni sul tipo di informazioni incluse nei file di log, consulta Dettagli del log di controllo.

Innanzitutto, attiva i parametri Advanced Auditing sul gruppo di parametri del cluster di database personalizzato associato. Quindi, puoi pubblicare i log Advanced Auditing su CloudWatch.

Nota: se utilizzi Amazon Relational Database Service (Amazon RDS) per MySQL o MariaDB, consulta Come posso attivare la registrazione di controllo per un'istanza Amazon RDS per MySQL o MariaDB e pubblicare i log su CloudWatch?

Soluzione

Audit avanzato supporta i seguenti tipi di capacità del database:

• Aurora Provisioned
• Aurora Provisioned con supporto per query parallele Aurora
• Aurora serverless

Nota: se utilizzi Amazon Aurora serverless v1, completa i seguenti passaggi per attivare i parametri di registrazione dei controlli. Tuttavia, non è necessario configurare i log per la pubblicazione su CloudWatch, poiché i cluster Amazon Aurora serverless v1 caricano automaticamente questi tipi di log. Per configurare i caricamenti dei log per i cluster v1, modifica il valore dei tipi di log nel gruppo di parametri del cluster di database.

Attivazione dei parametri Audit avanzato nel gruppo di parametri del cluster

1. Creare un gruppo di parametri del cluster di database personalizzato.
2. Modificare i parametri per Audit avanzato.
3. Modifica il cluster per associare il nuovo gruppo di parametri di database personalizzato al tuo cluster di database compatibile con Aurora MySQL.

Per informazioni dettagliate sui parametri di Audit avanzato, consulta Attivazione di Audit avanzato. Questi parametri sono dinamici, quindi non è necessario riavviare il cluster di database. Quando modifichi il gruppo di parametri predefinito in un gruppo di parametri personalizzato, riavvia manualmente l'istanza database per applicare il nuovo gruppo.

Pubblicazione dei log di Audit avanzato su CloudWatch

1. Apri la console Amazon RDS.
2. Scegli Database dal riquadro di navigazione.
3. Seleziona il cluster di database compatibile con Aurora MySQL da cui desideri esportare i dati di log su CloudWatch.
4. Scegli Modifica.
5. Dalla sezione Esportazioni dei log, seleziona Log di controllo.
6. Scegli Continua.
7. Controlla il Riepilogo delle modifiche, quindi scegli Modifica cluster.

In alternativa, puoi pubblicare i log di Audit avanzato sui Log di CloudWatch impostando il valore per il parametro di database a livello di cluster server_audit_logs_upload su 1. Il valore predefinito per il parametro è 0. È possibile anche utilizzare l'Interfaccia della linea di comando AWS (AWS CLI) per attivare le esportazioni dei log di CloudWatch eseguendo un comando simile al seguente:

aws rds modify-db-cluster --db-cluster-identifier <mydbcluster> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

Dopo aver attivato la registrazione di controllo e aver modificato l'istanza per esportare i log, gli eventi registrati nei log di controllo vengono inviati a CloudWatch. Quindi, puoi monitorare i log eventi in CloudWatch.

Nota: i dati di controllo non vengono visualizzati nei log a meno che non si definiscano anche uno o più tipi di eventi da controllare utilizzando il parametro server_audit_events.

Informazioni correlate

Audit di un cluster Amazon Aurora

Utilizzo di Audit avanzato con un cluster di database compatibile con Amazon Aurora MySQL

Pubblicazione dei log MySQL di Amazon Aurora su File di log Amazon CloudWatch