Come posso abilitare la registrazione di controllo per un'istanza Amazon RDS per MySQL o MariaDB e pubblicare i log su CloudWatch?

Breve descrizione

Per utilizzare MariaDB Audit Plugin per acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate, devi fare quanto segue:

• Aggiungi e configura il MariaDB Audit Plugin e associa l'istanza DB a un gruppo di opzioni personalizzato.
• Pubblica i log su CloudWatch.

Se utilizzi Amazon Aurora MySQL Compatible Edition, vedi Come posso abilitare la registrazione di controllo per il mio cluster di database compatibile con Aurora MySQL e pubblicare i log su CloudWatch?

Risoluzione

Nota: se visualizzi errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), conferma di utilizzare una versione recente dell'interfaccia della linea di comando AWS.

Amazon RDS supporta le impostazioni delle le impostazioni dell’opzione Audit Plugin Audit Plugin nelle seguenti versioni per MySQL e MariaDB:

• Tutte le versioni di MySQL 5.7
• MySQL 5.7.16 e versioni successive 5.7
• MySQL 8.0.25 e versioni 8.0 successive
• MariaDB 10.2 e versioni successive

Per ulteriori informazioni sulle versioni supportate, vedere Supporto del plugin MariaDB Audit e Opzioni per i motori del database MariaDB.

Aggiungi e configura il MariaDB Audit Plugin e associa l'istanza DB a un gruppo di opzioni personalizzato

1. Crea un gruppo di opzioni personalizzato o modifica un gruppo di opzioni personalizzato esistente.

2. Aggiungi l'opzione MariaDB Audit Plugin al gruppo di opzioni e configura le impostazioni delle opzioni.

3. Applica il gruppo di opzioni all'istanza database.

Per applicare l'opzione a una nuova istanza database, configura l'istanza in modo che utilizzi il gruppo di opzioni appena creato al suo avvio. Per applicare l'opzione a un'istanza database esistente, modificate quest’ultima e collegate il nuovo gruppo di opzioni. Per ulteriori informazioni, consulta Modifica di un'istanza database Amazon RDS.

Dopo aver configurato l'istanza database con il MariaDB Audit Plugin, non è necessario riavviarla. Quando il gruppo di opzioni è attivo, il controllo inizia immediatamente.

Nota: Amazon RDS non supporta la disattivazione della registrazione nel MariaDB Audit Plugin. Per disattivare la registrazione di controllo, rimuovi il plugin dal gruppo di opzioni associato. In questo modo l'istanza viene riavviata automaticamente. Per limitare la lunghezza della stringa di query in un record, utilizzare l'opzione SERVER_AUDIT_QUERY_LOG_LIMIT.

Pubblica registri di controllo su CloudWatch

1. Apri la console Amazon RDS.

2. Scegli Database dal riquadro di navigazione.

3. Seleziona l'istanza database che desideri utilizzare per esportare i dati di registro su CloudWatch.

4. Scegli Modifica.

5. Dalla sezione Esportazioni dei log, seleziona Registro degli Audit.

6. Scegli Continua.

7. Controlla il Riepilogo delle modifiche, quindi scegli Modifica istanza.

Puoi anche utilizzare la seguente sintassi dei comandi dell'interfaccia a riga di comando di AWS per attivare le esportazioni dei log di CloudWatch:

aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

Dopo aver attivato la registrazione di controllo e aver modificato l'istanza per esportare i log, gli eventi registrati nei log di controllo vengono inviati a CloudWatch. Quindi, puoi monitorare gli eventi di registro in CloudWatch.