Como faço para ativar o logging de auditoria no Amazon Redshift e no Amazon Redshift sem servidor?

Breve descrição

O Amazon Redshift armazena logs do sistema em tabelas e visualizações do sistema com um período de retenção de até sete dias. Esses logs ajudam a monitorar a segurança do banco de dados e solucionar problemas do banco de dados.

Para armazenar os logs por mais tempo, ative o log de auditoria atributo do Amazon Redshift. Os logs podem ser armazenados em buckets do Amazon Simple Storage Service (Amazon S3) ou no Amazon CloudWatch. O CloudWatch tem atributos para visualizar dados de logging de auditoria.

O Amazon Redshift registra informações nos seguintes tipos de logs:

• Log de conexão - Registra tentativas de autenticação, conexões e desconexões.
• Log de usuário - Registra informações sobre alterações nas definições do usuário do banco de dados.
• Log de atividades do usuário - Registra cada consulta antes de ser executada no banco de dados.

Observação: Para logs de atividades do usuário, certifique-se de configurar os grupos de parâmetros para armazenar logs adequadamente.

Resolução

Ative o logging de auditoria em um cluster provisionado pelo Amazon Redshift

Para ativar o logging de auditoria em um cluster provisionado pelo Amazon Redshift usando o console, conclua as seguintes etapas:

1. Abra o console do Amazon Redshift.
2. No painel de navegação, escolha Clusters, e em seguida, escolha o cluster que você deseja atualizar.
3. Escolha o guia Propriedades.
4. No Painel de configurações do banco de dados, escolha Editar e, em seguida, escolha Editar logging de auditoria.
5. Em Editar logging de auditoria, escolha Ativar e selecione S3 bucket ou CloudWatch.
   Se você selecionar o bucket do S3, terá a opção de escolher um bucket existente ou Criar um novo bucket para armazenar os logs de auditoria do banco de dados.
   Se você selecionar o CloudWatch, será possível selecionar entre os seguintes tipos de log: Log de conexão, Log de usuário e Log de atividades do usuário.
6. Escolha Salvar alterações.

Para ativar o registro em log de auditoria com a AWS Command Line Interface (AWS CLI), consulte enable-logging.

Observação: se você receber erros ao executar comandos da AWS CLI, consulte Solucionar erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

O exemplo a seguir mostra como usar o comando enable-logging para ativar o logging de auditoria com um bucket do S3 como destino do logging de auditoria:

aws redshift enable-logging --cluster-identifier redshift-cluster-1 --log-destination-type s3  --bucket-name mybucket --s3-key-prefix mybucket/test --region us-east-1

A saída é semelhante ao seguinte:

{    “LoggingEnabled”: true,    “BucketName”: “mybucket”,    “S3KeyPrefix”: “mybucket/test/“,    “LastSuccessfulDeliveryTime”: “2022-09-14T12:04:42.558000+00:00"}

Observação: Pode haver um atraso nos logs que aparecem no bucket do S3 ou no CloudWatch. É possível verificar a Data e a hora da última entrega bem-sucedida nas propriedades do cluster para verificar quando foi a última vez que a entrega do log foi realizada.

Grupo de parâmetros para logs de atividades do usuário

Para registrar os logs de atividades do usuário, certifique-se de que o parâmetro enable_user_activity_logging esteja definido como verdadeiro no grupo de parâmetros do cluster vinculado ao cluster do Amazon Redshift.

Observação: Quando um cluster do Amazon Redshift é criado inicialmente, ele é automaticamente associado ao grupo de parâmetros padrão. Nessa configuração, o parâmetro enable_user_activity_logging é definido como false. O grupo de parâmetros padrão em si não pode ser modificado diretamente.

Para ativar o parâmetro enable_user_activity_logging conclua as seguintes etapas:

1. Crie um novo grupo de parâmetros.
2. Modifique o grupo de parâmetros para definir o parâmetro enable_user_activity_logging como true.

Para associar o novo grupo de parâmetros ao cluster, conclua as seguintes etapas:

1. No painel de navegação, escolha Clusters. Selecione o cluster que você deseja modificar.
2. Escolha Propriedades.
3. Role para baixo até a seção Grupo de parâmetros e escolha Editar.
4. Escolha o novo grupo de parâmetros na lista.
5. Escolha Salvar alterações.

Talvez seja necessário reiniciar o cluster depois de modificar os valores dos parâmetros em um grupo de parâmetros que já está associado a um cluster. Talvez você também precise associar um grupo de parâmetros diferente a um cluster para que os valores de parâmetros atualizados entrem em vigor. As alterações não serão aplicadas se o cluster for reiniciado durante a manutenção.

Se você ativar o registro de auditoria, mas não o parâmetro enable_user_activity_logging no grupo de parâmetros, acontecerá o seguinte:

• Os logs de auditoria do banco de dados armazenam informações somente para o log de conexão e o log do usuário
• O log de atividades do usuário não está armazenado

Para obter mais informações, consulte grupos de parâmetros do Amazon Redshift.

Ativar o logging de auditoria para o Amazon Redshift sem servidor

Para ativar o logging de auditoria para o Amazon Redshift sem servidor, conclua as seguintes etapas:

1. Abra o console do Amazon Redshift.
2. No painel de navegação, escolha Redshift sem servidor e, em seguida, escolha Painel sem servidor.
3. Selecione o Namespace para o qual você deseja ativar o logging de auditoria.
4. Escolha o guia Security and Encryption.
5. Em Segurança e criptografia, escolha Editar.
6. Em Exportar esses logs, selecione os logs que você deseja salvar no CloudWatch. É possível selecionar entre os seguintes tipos de logs: Log de user, Log de conexão e Log de atividade de usuário.
7. Escolha Salvar alterações.

Observação:O Amazon Redshift sem servidor não pode exportar logs para buckets do S3.

Para obter mais informações sobre como monitorar os logs de auditoria, consulte Log de eventos no CloudWatch.

Informações relacionadas

Log de auditoria do banco de dados

Log de auditoria para Amazon Redshift sem servidor