如何為 Amazon RDS for MySQL 或 Amazon RDS for MariaDB 執行個體啟用稽核記錄，並將日誌發佈至 CloudWatch？

簡短描述

若要使用 MariaDB 稽核外掛程式擷取事件 (例如連線、斷開連線、查詢或查詢的資料表)，您必須執行以下操作：

• 新增並設定 MariaDB 稽核外掛程式，並將資料庫執行個體與自訂選項群組建立關聯。
• 將日誌發佈至 CloudWatch。

如果您是使用 Amazon Aurora MySQL 相容版本，請參閱如何為 Aurora MySQL 相容資料庫叢集啟用稽核記錄，並將日誌發佈到 CloudWatch？

解決方案

**注意：**如果執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤，請確定您執行的是最新版本的 AWS CLI。

Amazon RDS 針對下列版本的 MySQL 和 MariaDB 支援稽核外掛程式選項設定：

• 所有 MySQL 5.7 版本
• MySQL 5.7.16 以及更高的 5.7 版本
• MySQL 8.0.25 以及更高的 8.0 版本
• MariaDB 10.2 以及更高版本

如需有關支援版本的詳細資訊，請參閱 MariaDB 稽核外掛程式支援以及 MariaDB 資料庫引擎選項。

新增並設定 MariaDB 稽核外掛程式，並將資料庫執行個體與自訂選項群組建立關聯

1.    建立自訂選項群組或修改現有的自訂選項群組。

2.    新增 MariaDB 稽核外掛程式選項至選項群組中，並設定選項設定。

3.    將選項群組套用至資料庫執行個體。

若要將選項套用至新的資料庫執行個體，請將執行個體設定為在啟動資料庫執行個體時，使用新建立的選項群組。若要將選項套用至現有的資料庫執行個體，請修改資料庫執行個體並附加新的選項群組。如需詳細資訊，請參閱修改 Amazon RDS 資料庫執行個體。

使用 MariaDB 稽核外掛程式設定資料庫執行個體之後，您不需要重新啟動資料庫執行個體。當選項群組處於啟用狀態時，即會立即開始稽核。

**注意：**Amazon RDS 不支援關閉 MariaDB 稽核外掛程式中的記錄功能。若要關閉稽核記錄，請從關聯的選項群組中移除外掛程式。這將會自動重新啟動執行個體。若要限制記錄中查詢字串的長度，請使用 SERVER_AUDIT_QUERY_LOG_LIMIT 選項。

將稽核日誌發佈至 CloudWatch

1.    開啟 Amazon RDS 主控台。

2.    從導覽窗格中選擇資料庫。

3.    選取您要用來將日誌資料匯出至 CloudWatch 的資料庫執行個體。

4.    選擇修改。

5.    從日誌匯出區段中，選取稽核日誌。

6.    選擇繼續。

7.    檢閱修改的摘要，然後選擇修改執行個體。

您也可以使用下列 AWS CLI 命令語法來啟用 CloudWatch 日誌匯出：

aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

啟用稽核記錄並修改執行個體以匯出日誌後，稽核日誌中記錄的事件將會傳送至 CloudWatch。然後您便可以在 CloudWatch 中監控日誌事件。

---