¿Cómo puedo activar el registro de auditoría para una instancia de Amazon RDS para MySQL o MariaDB y publicar los registros en CloudWatch?

Descripción corta

Para capturar eventos como conexiones, desconexiones, consultas u otra actividad del servidor, agrega y configura el complemento de auditoría de MariaDB. A continuación, asocia la instancia de base de datos a un grupo de opciones personalizado. A continuación, publica los registros en CloudWatch.

Amazon RDS admite la configuración del complemento de auditoría de MariaDB en las siguientes versiones de MySQL y MariaDB:

• Todas las versiones de MySQL 5.7
• MySQL 8.0.25 y versiones a partir de la 8.0
• MariaDB 10.3 y posteriores

Si utilizas la edición de Amazon Aurora compatible con MySQL, consulta ¿Cómo puedo activar el registro de auditoría para mi clúster de base de datos de Amazon Aurora MySQL y publicar los registros en CloudWatch?

Resolución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Adición y configuración del complemento de auditoría de MariaDB y asociación de la instancia de base de datos a un grupo de opciones personalizado

Sigue estos pasos:

1. Crea un grupo de opciones personalizado o modifica un grupo de opciones personalizado existente.
2. Agrega la opción del complemento de auditoría de MariaDB al grupo de opciones y, a continuación, configura los ajustes de las opciones.
3. Para aplicar el grupo de opciones a la instancia de base de datos, realiza una de las siguientes acciones:
   Para una nueva instancia de base de datos, configúrala para que utilice el grupo de opciones que has creado al iniciar la instancia de base de datos.
   Para una instancia de base de datos existente, modifica la instancia de base de datos y, a continuación, adjunta el nuevo grupo de opciones.

Después de configurar la instancia de base de datos con el complemento de auditoría de MariaDB, no hay que reiniciarla. Cuando el grupo de opciones esté activo, la auditoría comienza inmediatamente.

Nota: Amazon RDS no admite la desactivación del registro en el complemento de auditoría de MariaDB. Para desactivar el registro de auditoría, elimina el complemento del grupo de opciones asociado para reiniciar automáticamente la instancia. Para limitar la longitud de la cadena de consulta de un registro, utiliza la opción SERVER_AUDIT_QUERY_LOG_LIMIT.

Publicación de registros de auditoría en CloudWatch

Puedes usar la consola de Amazon RDS o la AWS CLI para activar las exportaciones de registros de CloudWatch.

Para usar la consola de Amazon RDS, sigue estos pasos:

1. Abre la consola de Amazon RDS.
2. En el panel de navegación, selecciona Bases de datos.
3. Selecciona la instancia de base de datos que quieres utilizar para exportar los datos de registro a CloudWatch.
4. Selecciona Modificar.
5. En la sección Configuración de supervisión adicional, para Exportaciones de registros, elige Registro de auditoría.
6. Selecciona Continuar.
7. Revisa el Resumen de modificaciones y, a continuación, selecciona Modificar instancia de base de datos.
   Nota: Si eliges Aplicar inmediatamente, puede producirse un tiempo de inactividad.

Para usar la AWS CLI, ejecuta el comando modify-db-instance para activar las exportaciones de registros de CloudWatch:

aws rds modify-db-instance --db-instance-identifier db_instance --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

Nota: Sustituye db_instance por el nombre de tu instancia de base de datos.

Tras activar el registro de auditoría y modificar la instancia para exportar los registros, los eventos que se registren en los registros de auditoría se envían a CloudWatch. A continuación, puedes supervisar los eventos de registro en CloudWatch.

Información relacionada

Opciones para el motor de bases de datos de MariaDB

Conexión a la instancia de base de datos de MariaDB