Amazon Redshift와 Amazon Redshift 서버리스에서 감사 로깅을 켜려면 어떻게 해야 합니까?

간략한 설명

Amazon Redshift는 보존 기간이 최대 7일인 시스템 테이블 및 뷰에 시스템 로그를 저장합니다. 이러한 로그는 데이터베이스 보안을 모니터링하고 데이터베이스 문제를 해결하는 데 도움이 됩니다.

로그를 더 오랜 기간 동안 저장하려면 Amazon Redshift의 감사 로깅 기능을 켜십시오. 로그는 Amazon Simple Storage Service(S3) 버킷 또는 Amazon CloudWatch에 저장됩니다. Amazon CloudWatch에는 감사 로깅 데이터를 시각화하는 기능이 있습니다.

Amazon Redshift는 다음 유형의 로그에 정보를 기록합니다.

• 연결 로그 – 인증 시도 횟수, 연결 수, 연결 해제 수를 로그에 기록합니다.
• 사용자 로그 – 데이터베이스 사용자 정의 변경 사항에 대한 정보를 기록합니다.
• 사용자 활동 로그 – 데이터베이스에서 실행하기 전 각 쿼리를 기록합니다.

참고: 사용자 활동 로그의 경우 로그를 적절하게 저장하도록 파라미터 그룹을 설정해야 합니다.

해결 방법

Amazon Redshift가 프로비저닝된 클러스터에서 감사 로깅 활성화

콘솔을 사용하여 Amazon Redshift 프로비저닝 클러스터에서 감사 로깅을 활성화하려면 다음을 수행합니다.

1. Amazon Redshift 콘솔을 엽니다.
2. 탐색 창에서 클러스터 를 선택한 다음 업데이트하려는 클러스터를 선택합니다.
3. 속성 탭을 선택합니다.
4. 데이터베이스 구성 패널에서 편집을 선택한 다음 감사 로깅 편집을 선택합니다.
5. 감사 로깅 편집에서 켜기를 선택한 다음 S3 버킷 또는 CloudWatch를 선택합니다.
   S3 버킷을 선택하는 경우 기존 버킷을 선택하거나 데이터베이스 감사 로그를 저장할 새 버킷을 생성할 수 있습니다.
   CloudWatch를 선택한 경우 연결 로그, 사용자 로그 및 사용자 활동 로그 등의 로그 유형 중에서 선택할 수 있습니다.
6. 변경 사항 저장을 선택합니다.

AWS CLI를 사용하여 감사 로깅을 켜려면 로깅 활성화를 참조하십시오.
참고: AWS CLI 명령을 실행할 때 오류가 발생하는 경우 최신 버전의 AWS CLI를 사용하고 있는지 확인하세요.

다음은 Amazon S3 버킷을 감사 로깅 대상으로 삼아 감사 로깅을 켜기 위해 enable-logging 명령을 실행하는 예제입니다.

aws redshift enable-logging --cluster-identifier redshift-cluster-1 --log-destination-type s3  --bucket-name mybucket --s3-key-prefix mybucket/test --region us-east-1

출력은 다음과 유사합니다.

{    “LoggingEnabled”: true,    “BucketName”: “mybucket”,    “S3KeyPrefix”: “mybucket/test/“,    “LastSuccessfulDeliveryTime”: “2022-09-14T12:04:42.558000+00:00"}

참고: Amazon S3 버킷 또는 Amazon CloudWatch에 나타나는 로그가 지연될 수 있습니다. 클러스터 속성에서 마지막으로 성공한 전송 날짜 및 시간을 확인하여 로그 전달이 마지막으로 수행된 시간을 확인할 수 있습니다.

사용자 활동 로그의 파라미터 그룹

사용자 활동 로그를 기록하려면 Amazon Redshift 클러스터에 연결된 클러스터 파라미터 그룹에서 enable_user_activity_logging 파라미터가 true로 설정되어 있는지 확인하십시오.

enable_user_activity_logging 파라미터를 켜려면 다음과 같이 하십시오.

1. 새 파라미터 그룹을 생성합니다.
2. 파라미터 그룹을 수정하여 enable_user_activity_logging 파라미터를 true로 설정합니다.
3. 새 파라미터 그룹을 Amazon Redshift 클러스터에 연결하도록 클러스터를 수정합니다.

참고: enable_user_activity_logging 파라미터는 기본적으로 false로 설정되며 기본 파라미터 그룹을 수정할 수 없습니다.

파라미터 그룹에서 enable_user_activity_logging 파라미터를 사용하지 않고 감사 로깅을 켜면 다음과 같은 상황이 발생합니다.

• 데이터베이스 감사 로그에는 연결 로그 및 사용자 로그에 대한 정보만 저장됨
• 사용자 활동 로그가 저장되지 않음

Redshift 서버리스에 대한 감사 로깅 켜기

Amazon Redshift 서버리스에 대한 감사 로깅을 켜려면 다음과 같이 하십시오.

1. Amazon Redshift 콘솔을 엽니다.
2. 탐색 창에서 Redshift 서버리스를 선택한 다음 서버리스 대시보드를 선택합니다.
3. 감사 로깅을 활성화하려는 네임스페이스를 선택합니다.
4. 보안 및 암호화 탭을 선택합니다.
5. 보안 및 암호화에서 편집을 선택합니다.
6. 이 로그 내보내기에서 CloudWatch에 저장하려는 로그를 선택합니다. 연결 로그, 사용자 로그 및 사용자 활동 로그 등의 로그 유형 중에서 선택할 수 있습니다.
7. 변경 사항 저장을 선택합니다.

참고: Amazon Redshift 서버리스는 로그를 Amazon S3 버킷으로 내보낼 수 없습니다.

감사 로그 모니터링에 대한 자세한 내용은 CloudWatch의 로그 이벤트 모니터링을 참조하십시오.

---

관련 정보

데이터베이스 감사 로깅

Amazon Redshift 서버리스에 대한 감사 로깅