Quero auditar a atividade do banco de dados para atender aos requisitos de conformidade da minha instância de banco de dados Amazon Relational Database Service (Amazon RDS) que está executando o MySQL ou o MariaDB. Em seguida, quero publicar os logs do banco de dados no Amazon CloudWatch. Como posso fazer isso?
Breve descrição
Para usar o MariaDB Audit Plugin para capturar eventos como conexões, desconexões, consultas ou tabelas consultadas, você deve fazer o seguinte:
Se você usa a Edição compatível com MySQL do Amazon Aurora, consulte Como posso habilitar o registro em log de auditoria para meu cluster de banco de dados compatível com o Aurora MySQL e publicar os logs no CloudWatch?
Resolução
Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), confirme se está executando uma versão recente da AWS CLI.
O Amazon RDS oferece suporte às configurações de opções do Audit Plugin nas seguintes versões para MySQL e MariaDB:
- Todas as versões do MySQL 5.7
- MySQL 5.7.16 e versões 5.7 posteriores
- MySQL 8.0.25 e versões 8.0 posteriores
- MariaDB 10.2 e posterior
Para obter mais informações sobre as versões com suporte, consulte Suporte ao MariaDB Audit Plugin e Opções para mecanismos de banco de dados MariaDB.
Adicionar e configurar o MariaDB Audit Plugin e associar a instância de banco de dados a um grupo de opções personalizado
1. Crie um grupo de opções personalizadas ou modifique um grupo de opções personalizadas existente.
2. Adicione a opção MariaDB Audit Plugin ao grupo de opções e defina as configurações da opção.
3. Aplique o grupo de opções à instância de banco de dados.
Para aplicar a opção a uma nova instância de banco de dados, configure essa instância para usar o grupo de opções recém-criado ao iniciar a instância de banco de dados. Para aplicar a opção a uma instância de banco de dados existente, modifique essa instância e anexe o novo grupo de opções. Para obter mais informações, consulte Modificar uma instância de banco de dados Amazon RDS.
Depois de configurar a instância de banco de dados com o MariaDB Audit Plugin, você não precisará reinicializá-la. Quando o grupo de opções está ativo, a auditoria começa imediatamente.
Observação: o Amazon RDS não oferece suporte à desativação do registro em log no MariaDB Audit Plugin. Para desativar o registro em log de auditoria, remova o plug-in do grupo de opções associado. Fazer isso reiniciará a instância automaticamente. Para limitar o tamanho da string de consulta em um registro, use a opção SERVER_AUDIT_QUERY_LOG_LIMIT.
Publicar logs de auditoria no CloudWatch
1. Abra o console do Amazon RDS.
2. Escolha Bancos de dados no painel de navegação.
3. Selecione a instância de banco de dados que você deseja usar para exportar dados de log para o CloudWatch.
4. Selecione Modificar.
5. Na seção Exportações de log, selecione Log de auditoria.
6. Escolha Continuar.
7. Examine o Resumo das modificações e escolha Modificar instância.
Você também pode usar a seguinte sintaxe de comando da AWS CLI para ativar as exportações de logs do CloudWatch:
aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'
Depois de ativar o registro em log de auditoria e modificar sua instância para exportar logs, os eventos registrados em logs de auditoria são enviados ao CloudWatch. Em seguida, você pode monitorar os eventos de log no CloudWatch.