Amazon Redshift와 Amazon Redshift Serverless에서 감사 로깅을 켜려면 어떻게 해야 합니까?

간략한 설명

Amazon Redshift는 보존 기간이 최대 7일인 시스템 로그를 시스템 테이블 및 뷰에 저장합니다. 이러한 로그는 데이터베이스 보안을 모니터링하고 데이터베이스 문제를 해결하는 데 도움이 됩니다.

로그를 더 오래 저장하려면 Amazon Redshift의 감사 로깅 기능을 켜십시오. 로그는 Amazon Simple Storage Service(Amazon S3) 버킷 또는 Amazon CloudWatch에 저장할 수 있습니다. CloudWatch에는 감사 로깅 데이터를 시각화하는 기능이 있습니다.

Amazon Redshift는 다음과 같은 유형의 로그에 정보를 기록합니다.

• 연결 로그 - 인증 시도, 연결 및 연결 해제를 기록합니다.
• 사용자 로그 - 데이터베이스 사용자 정의 관련 변경 사항에 대한 정보를 기록합니다.
• 사용자 활동 로그 - 각 쿼리가 데이터베이스에서 실행되기 전에 해당 쿼리를 기록합니다.

참고: 사용자 활동 로그의 경우 로그를 제대로 저장하도록 파라미터 그룹을 설정해야 합니다.

해결 방법

Amazon Redshift로 프로비저닝된 클러스터에서 감사 로깅 켜기

콘솔을 사용하여 Amazon Redshift로 프로비저닝된 클러스터에서 감사 로깅을 켜려면 다음 단계를 완료하십시오.

1. Amazon Redshift 콘솔을 엽니다.
2. 탐색 창에서 클러스터를 선택한 다음, 업데이트하려는 클러스터를 선택합니다.
3. 속성 탭을 선택합니다.
4. 데이터베이스 구성 패널에서 편집을 선택한 다음, 감사 로깅 편집을 선택합니다.
5. 감사 로깅 편집에서 켜기를 선택한 다음, S3 버킷 또는 CloudWatch를 선택합니다.
   S3 버킷을 선택하면 기존 버킷을 선택하거나 데이터베이스 감사 로그를 저장하기 위한 새 버킷을 생성할 수 있는 옵션이 제공됩니다.
   CloudWatch를 선택하면 로그 유형 연결 로그, 사용자 로그 및 사용자 활동 로그 중에서 선택할 수 있습니다.
6. 변경 사항 저장을 선택합니다.

AWS Command Line Interface(AWS CLI)를 사용하여 감사 로깅을 켜려면 enable-logging을 참조하십시오.

참고: AWS CLI 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 문제 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

다음 예제는 enable-logging 명령을 사용하여 S3 버킷을 감사 로깅 대상으로 하여 감사 로깅을 켜는 방법을 보여줍니다.

aws redshift enable-logging --cluster-identifier redshift-cluster-1 --log-destination-type s3  --bucket-name mybucket --s3-key-prefix mybucket/test --region us-east-1

출력은 다음과 유사하게 표시됩니다.

{    “LoggingEnabled”: true,    “BucketName”: “mybucket”,    “S3KeyPrefix”: “mybucket/test/“,    “LastSuccessfulDeliveryTime”: “2022-09-14T12:04:42.558000+00:00"}

참고: S3 버킷 또는 CloudWatch에 표시되는 로그에서 지연이 있을 수 있습니다. 클러스터 속성에서 마지막으로 성공한 전송 날짜 및 시간을 확인하여 로그 전송이 마지막으로 수행된 시간을 확인할 수 있습니다.

사용자 활동 로그의 파라미터 그룹

사용자 활동 로그를 기록하려면 Amazon Redshift 클러스터에 연결된 클러스터 파라미터 그룹에서 enable_user_activity_logging 파라미터를 true로 설정해야 합니다.

참고: Amazon Redshift 클러스터는 처음 생성될 때 기본 파라미터 그룹과 자동으로 연결됩니다. 이 구성에서는 enable_user_activity_logging 파라미터가 false로 설정됩니다. 기본 파라미터 그룹 자체는 직접 수정할 수 없습니다.

enable_user_activity_logging 파라미터를 켜려면 다음 단계를 완료하십시오.

1. 새 파라미터 그룹을 생성합니다.
2. 파라미터 그룹을 수정하여 enable_user_activity_logging 파라미터를 true로 설정합니다.

새 파라미터 그룹을 클러스터에 연결하려면 다음 단계를 완료하십시오.

1. 탐색 창에서 클러스터를 선택합니다. 그런 다음, 수정할 클러스터를 선택합니다.
2. 속성을 선택합니다.
3. 파라미터 그룹 섹션으로 스크롤한 후 편집을 선택합니다.
4. 목록에서 새 파라미터 그룹을 선택합니다.
5. 변경 사항 저장을 선택합니다.

클러스터와 이미 연결된 파라미터 그룹의 파라미터 값을 수정한 후 클러스터를 재시작해야 할 수 있습니다. 또한 업데이트된 파라미터 값을 적용하려면 다른 파라미터 그룹을 클러스터와 연결해야 할 수도 있습니다. 유지 관리 중에 클러스터를 다시 시작하는 경우 변경 사항이 적용되지 않습니다.

감사 로깅을 켜고 파라미터 그룹의 enable_user_activity_logging 파라미터는 켜지 않으면 다음과 같은 문제가 발생합니다.

• 데이터베이스 감사 로그가 연결 로그 및 사용자 로그에 대한 정보만 저장합니다.
• 사용자 활동 로그는 저장되지 않습니다

자세한 내용은 Amazon Redshift 파라미터 그룹을 참조하십시오.

Amazon Redshift Serverless에 대한 감사 로깅 켜기

Amazon Redshift Serverless에 대한 감사 로깅을 켜려면 다음 단계를 완료하십시오.

1. Amazon Redshift 콘솔을 엽니다.
2. 탐색 창에서 Redshift Serverless를 선택한 다음, 서버리스 대시보드를 선택합니다.
3. 감사 로깅을 켜려는 네임스페이스를 선택합니다.
4. 보안 및 암호화 탭을 선택합니다.
5. 보안 및 암호화에서 편집을 선택합니다.
6. 이러한 로그 내보내기에서 CloudWatch에 저장할 로그를 선택합니다. 로그 유형 사용자 로그, 연결 로그 및 사용자 활동 로그 중에서 선택할 수 있습니다.
7. 변경 사항 저장을 선택합니다.

참고: Amazon Redshift Serverless는 로그를 S3 버킷으로 내보낼 수 없습니다.

감사 로그를 모니터링하는 방법에 대한 자세한 내용은 CloudWatch의 로그 이벤트를 참조하십시오.

관련 정보

데이터베이스 감사 로깅

Amazon Redshift Serverless에 대한 감사 로깅