Como posso habilitar a criação de logs de auditoria para uma instância do Amazon RDS para MySQL ou MariaDB e publicar os logs no CloudWatch?

Breve descrição

Para usar o MariaDB Audit Plugin para capturar eventos como conexões, desconexões, consultas ou tabelas consultadas, você deve fazer o seguinte:

• Adicionar e configurar o MariaDB Audit Plugin e associar a instância de banco de dados a um grupo de opções personalizado.
• Publicar os logs no CloudWatch.

Se você usa a Edição compatível com MySQL do Amazon Aurora, consulte Como posso habilitar o registro em log de auditoria para meu cluster de banco de dados compatível com o Aurora MySQL e publicar os logs no CloudWatch?

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), confirme se está executando uma versão recente da AWS CLI.

O Amazon RDS oferece suporte às configurações de opções do Audit Plugin nas seguintes versões para MySQL e MariaDB:

• Todas as versões do MySQL 5.7
• MySQL 5.7.16 e versões 5.7 posteriores
• MySQL 8.0.25 e versões 8.0 posteriores
• MariaDB 10.2 e posterior

Para obter mais informações sobre as versões com suporte, consulte Suporte ao MariaDB Audit Plugin e Opções para mecanismos de banco de dados MariaDB.

Adicionar e configurar o MariaDB Audit Plugin e associar a instância de banco de dados a um grupo de opções personalizado

1.    Crie um grupo de opções personalizadas ou modifique um grupo de opções personalizadas existente.

2.    Adicione a opção MariaDB Audit Plugin ao grupo de opções e defina as configurações da opção.

3.    Aplique o grupo de opções à instância de banco de dados.

Para aplicar a opção a uma nova instância de banco de dados, configure essa instância para usar o grupo de opções recém-criado ao iniciar a instância de banco de dados. Para aplicar a opção a uma instância de banco de dados existente, modifique essa instância e anexe o novo grupo de opções. Para obter mais informações, consulte Modificar uma instância de banco de dados Amazon RDS.

Depois de configurar a instância de banco de dados com o MariaDB Audit Plugin, você não precisará reinicializá-la. Quando o grupo de opções está ativo, a auditoria começa imediatamente.

Observação: o Amazon RDS não oferece suporte à desativação do registro em log no MariaDB Audit Plugin. Para desativar o registro em log de auditoria, remova o plug-in do grupo de opções associado. Fazer isso reiniciará a instância automaticamente. Para limitar o tamanho da string de consulta em um registro, use a opção SERVER_AUDIT_QUERY_LOG_LIMIT.

Publicar logs de auditoria no CloudWatch

1.    Abra o console do Amazon RDS.

2.    Escolha Bancos de dados no painel de navegação.

3.    Selecione a instância de banco de dados que você deseja usar para exportar dados de log para o CloudWatch.

4.    Selecione Modificar.

5.    Na seção Exportações de log, selecione Log de auditoria.

6.    Escolha Continuar.

7.    Examine o Resumo das modificações e escolha Modificar instância.

Você também pode usar a seguinte sintaxe de comando da AWS CLI para ativar as exportações de logs do CloudWatch:

aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

Depois de ativar o registro em log de auditoria e modificar sua instância para exportar logs, os eventos registrados em logs de auditoria são enviados ao CloudWatch. Em seguida, você pode monitorar os eventos de log no CloudWatch.