Como posso ativar o registro em log de auditoria para uma instância do Amazon RDS para MySQL ou MariaDB e publicar os logs no CloudWatch?

Breve descrição

Para captar eventos como conexões, desconexões, consultas ou outras atividades do servidor, adicione e configure o plug-in MariaDB Audit. Em seguida, associe a instância de banco de dados a um grupo de opções personalizado. Feito isso, publique os logs no CloudWatch.

O Amazon RDS oferece suporte às configurações de opções do plug-in MariaDB Audit nas seguintes versões para MySQL e MariaDB:

• Todas as versões do MySQL 5.7
• MySQL 8.0.25 e versões 8.0 posteriores
• MariaDB 10.3 e posterior

Se você usa a edição compatível com MySQL do Amazon Aurora, consulte Como ativar o log de auditoria do meu cluster de banco de dados MySQL do Amazon Aurora e publicar os logs no CloudWatch?

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Adicione e configure o plug-in MariaDB Audit e associe a instância de banco de dados a um grupo de opções personalizado

Conclua as etapas a seguir:

1. Crie um grupo de opções personalizado ou modifique um grupo de opções personalizado existente.
2. Adicione a opção do plug-in MariaDB Audit ao grupo de opções e defina as configurações da opção.
3. Para aplicar o grupo de opções à instância de banco de dados, execute uma das seguintes ações:
   Para uma nova instância de banco de dados, configure essa instância para usar o grupo de opções recém-criado ao executar a instância de banco de dados.
   Para uma instância de banco de dados existente, modifique a instância de banco de dados e anexe o novo grupo de opções.

Depois de configurar a instância de banco de dados com o plug-in MariaDB Audit, você não precisará reiniciá-la. Quando o grupo de opções está ativo, a auditoria começa imediatamente.

Observação: o Amazon RDS não oferece suporte à desativação do registro em log no plug-in MariaDB Audit. Para desativar o registro em log de auditoria, remova o plug-in do grupo de opções associado para reiniciar automaticamente a instância. Para limitar o tamanho da string de consulta em um registro, use a opção SERVER_AUDIT_QUERY_LOG_LIMIT.

Publique logs de auditoria no CloudWatch

É possível usar o console do Amazon RDS ou a AWS CLI para ativar as exportações de log do CloudWatch.

No console do Amazon RDS, conclua as seguintes etapas:

1. Abra o console do Amazon RDS.
2. No painel de navegação, selecione Bancos de dados.
3. Selecione a instância de banco de dados que você deseja usar para exportar dados de log para o CloudWatch.
4. Selecione Modificar.
5. Na seção Configurações adicionais de monitoramento, em Exportações de log, clique em Log de auditoria.
6. Selecione Continuar.
7. Examine o Resumo das modificações e selecione Modificar instância de banco de dados.
   Observação: um tempo de inatividade pode ocorrer quando você seleciona Aplicar imediatamente.

Para usar a AWS CLI, execute o comando modify-db-instance para ativar as exportações de log do CloudWatch:

aws rds modify-db-instance --db-instance-identifier db_instance --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

Observação: substitua db_instance pelo nome da sua instância de banco de dados.

Depois de ativar o registro em log de auditoria e modificar sua instância para exportar logs, os eventos registrados em logs de auditoria são enviados ao CloudWatch. Em seguida, é possível monitorar os eventos de logs no CloudWatch.

Informações relacionadas

Opções para o mecanismo de banco de dados do MariaDB

Conectar-se à instância de banco de dados do MariaDB