如何为 Amazon Aurora MySQL 兼容的数据库集群启用审计日志记录并将日志发布到 CloudWatch?
为了满足合规性要求,我想在我的 Amazon Aurora MySQL 兼容版本数据库集群上启用审计日志记录,以便审计数据库活动。然后,我想将数据库日志发布到 Amazon CloudWatch,以便执行实时数据分析。
简短描述
使用 Amazon Aurora 的高级审计来记录和审计数据库事件。数据库事件可以包括连接、断开连接、查询的表或在 Aurora MySQL 兼容的数据库集群上发出的查询类型(DML、DDL 或 DCL)。有关日志文件中包含的信息类型的更多信息,请参阅审计日志详细信息。
首先,在关联的自定义数据库集群参数组中激活高级审计参数。然后,您可以将高级审计日志发布到 CloudWatch。
**注意:**如果将 Amazon Relational Database Service (Amazon RDS) 用于 MySQL 或 MariaDB,请参阅 如何启用 Amazon RDS for MySQL 实例或 MariaDB 实例的审计日志记录并将日志发布到 CloudWatch?
解决方法
高级审计支持以下数据库容量类型:
- Aurora 预调配
- Aurora 预调配,支持 Aurora 并行查询
- Aurora Serverless
注意:如果您使用的是 Amazon Aurora Serverless v1,请完成以下步骤以启用审计日志记录参数。但是,您无需将日志配置为发布到 CloudWatch,因为 Amazon Aurora Serverless v1 集群会自动上传这些类型的日志。要为 v1 集群配置日志上传,请修改数据库集群参数组中日志类型的值。
在集群参数组中启用高级审计参数
- 创建自定义数据库集群参数组。
- 修改高级审计的参数。
- 修改集群以将新的自定义数据库参数组与 Aurora MySQL 兼容的数据库集群相关联。
有关高级审计参数的详细信息,请参阅启用高级审计。这些参数是动态的,因此您无需重启数据库集群。将默认参数组更改为自定义参数组时,请手动重启数据库实例以应用新组。
将高级审计日志发布到 CloudWatch
- 打开 Amazon RDS 控制台。
- 从导航窗格中选择 Databases(数据库)。
- 选择要将日志数据导出到 CloudWatch 的 Aurora MySQL 兼容的数据库集群。
- 选择 Modify(修改)。
- 在 Log exports(日志导出)部分,选择 Audit log(审计日志)。
- 选择 Continue(继续)。
- 查看 Summary of modifications(修改摘要),然后选择 Modify cluster(修改集群)。
或者,您也可以将集群级数据库参数 server_audit_logs_upload 的值设置为 1,以将高级审计日志发布到 CloudWatch Logs。该参数的默认值为 0。您也可以使用 AWS 命令行界面 (AWS CLI) 通过运行如下所示的命令来启用 CloudWatch 日志导出:
aws rds modify-db-cluster --db-cluster-identifier <mydbcluster> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'
启用审计日志记录并修改实例以导出日志后,审计日志中记录的事件将发送到 CloudWatch。然后,您可以在 CloudWatch 中监控日志事件。
注意:除非您还使用 server_audit_events parameter 参数定义了一种或多种要审计的事件类型,否则审计数据不会出现在日志中。
相关信息
相关内容
- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
