Comment puis-je activer la journalisation d’audit dans Amazon Redshift et Amazon Redshift Serverless ?

Lecture de 5 minute(s)

Je souhaite activer la journalisation d’audit pour mon cluster Amazon Redshift ou Amazon Redshift Serverless.

Brève description

Amazon Redshift stocke les journaux système dans des tables et des vues système avec une période de conservation pouvant aller jusqu'à sept jours. Ces journaux permettent de surveiller la sécurité des bases de données et de résoudre les problèmes de base de données.

Pour stocker les journaux pendant une durée plus longue, activez la fonctionnalité de journalisation d’audit d'Amazon Redshift. Les journaux peuvent être stockés dans des compartiments Amazon Simple Storage Service (Amazon S3) ou dans Amazon CloudWatch. CloudWatch inclut des fonctionnalités permettant de visualiser les données de journalisation d’audit.

Amazon Redshift consigne les informations dans les types de journaux suivants :

Journal de connexion - Journalise les tentatives d'authentification, les connexions et les déconnexions.
Journal utilisateur - Journalise les informations sur les modifications apportées aux définitions des utilisateurs de base de données.
Journal d'activité utilisateur - Journalise chaque requête avant son exécution dans la base de données.

Remarque : Pour les journaux d'activité utilisateur, assurez-vous de configurer les groupes de paramètres pour stocker correctement les journaux.

Résolution

Activer la journalisation d’audit dans un cluster provisionné par Amazon Redshift

Pour activer la journalisation d’audit dans un cluster provisionné par Amazon Redshift à l'aide de la console, procédez comme suit :

Ouvrez la console Amazon Redshift.
Dans le volet de navigation, sélectionnez Clusters, puis choisissez le cluster que vous souhaitez mettre à jour.
Choisissez l’onglet Propriétés.
Dans le panneau Configurations de base de données, sélectionnez Modifier, puis Modifier la journalisation d’audit.
Pour Modifier la journalisation d’audit, sélectionnez Activer, puis Compartiment S3 ou CloudWatch.
Si vous sélectionnez un compartiment S3, vous avez la possibilité de choisir un compartiment existant ou de créer un nouveau compartiment pour stocker les journaux d'audit de base de données.
Si vous sélectionnez CloudWatch, vous pouvez sélectionner l'un des types de journaux suivants : Journal de connexion, Journal utilisateur et Journal d’activité utilisateur.
Sélectionnez Enregistrer les modifications.

Pour activer la journalisation d’audit à l'aide de l'interface de ligne de commande AWS (AWS CLI), consultez enable-logging.

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes AWS CLI, consultez la section Résoudre les erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

L'exemple suivant montre comment utiliser la commande enable-logging pour activer la journalisation d’audit avec un compartiment S3 comme destination de journalisation d’audit :

aws redshift enable-logging --cluster-identifier redshift-cluster-1 --log-destination-type s3  --bucket-name mybucket --s3-key-prefix mybucket/test --region us-east-1

Vous obtiendrez une sortie de ce type :

{    “LoggingEnabled”: true,    “BucketName”: “mybucket”,    “S3KeyPrefix”: “mybucket/test/“,    “LastSuccessfulDeliveryTime”: “2022-09-14T12:04:42.558000+00:00"}

Remarque : Un retard d'affichage des journaux dans le compartiment S3 ou dans CloudWatch peut être observé. Vous pouvez vérifier la date et l’heure de dernière livraison réussie dans les propriétés du cluster pour vérifier quand la dernière livraison du journal a été effectuée.

Groupe de paramètres pour les journaux d'activité utilisateur

Pour consigner les journaux d'activité utilisateur, assurez-vous que le paramètre enable_user_activity_logging est défini sur vrai dans le groupe de paramètres de cluster associé au cluster Amazon Redshift.

Remarque : Lorsqu'un cluster Amazon Redshift est initialement créé, il est automatiquement associé au groupe de paramètres par défaut. Dans cette configuration, le paramètre enable_user_activity_logging est défini sur faux. Le groupe de paramètres par défaut lui-même ne peut pas être modifié directement.

Pour activer le paramètre enable_user_activity_logging, procédez comme suit :

Créez un nouveau groupe de paramètres.
Modifiez le groupe de paramètres pour définir le paramètre enable_user_activity_logging sur vrai.

Pour associer le nouveau groupe de paramètres au cluster, procédez comme suit :

Dans le volet de navigation, sélectionnez Clusters. Sélectionnez le cluster que vous souhaitez modifier.
Sélectionnez Propriétés.
Faites défiler la page jusqu'à la section Groupe de paramètres et sélectionnez Modifier.
Choisissez le nouveau groupe de paramètres dans la liste.
Sélectionnez Enregistrer les modifications.

Vous devrez peut-être redémarrer le cluster après avoir modifié les valeurs des paramètres d'un groupe de paramètres déjà associé à un cluster. Vous devrez peut-être également associer un groupe de paramètres différent à un cluster afin que les valeurs de paramètres mises à jour soient prises en compte. Les modifications ne sont pas appliquées si votre cluster est redémarré pendant la maintenance.

Si vous activez la journalisation d’audit mais que vous n'activez pas le paramètre enable_user_activity_logging dans le groupe de paramètres, la situation suivante se produit :

Les journaux d'audit de base de données stockent des informations uniquement pour le journal de connexions et le journal utilisateur
Le journal d'activité utilisateur n'est pas enregistré

Pour plus d'informations, consultez la section Groupes de paramètres Amazon Redshift.

Activer la journalisation d’audit pour Amazon Redshift Serverless

Pour activer la journalisation d’audit pour Amazon Redshift Serverless, procédez comme suit :

Ouvrez la console Amazon Redshift.
Dans le volet de navigation, sélectionnez Redshift Serverless, puis Tableau de bord sans serveur.
Sélectionnez l'espace de noms pour lequel vous souhaitez activer la journalisation d’audit.
Choisissez l'onglet Sécurité et chiffrement.
Dans Sécurité et chiffrement, sélectionnez Modifier.
Dans Exporter ces journaux, sélectionnez les journaux que vous souhaitez enregistrer dans CloudWatch. Vous pouvez sélectionner l'un des types de journaux suivants : Journal utilisateur,Journal de connexion et Journal d’activité utilisateur.
Sélectionnez Enregistrer les modifications.

Remarque : Amazon Redshift Serverless ne peut pas exporter les journaux vers des compartiments S3.

Pour plus d'informations sur la procédure de surveillance des journaux d'audit, consultez la section Journaliser des événements dans CloudWatch.

Informations connexes

Enregistrement d’audits de base de données

Journalisation d’audit pour Amazon Redshift Serverless

Sujets

Analytique

Balises

Amazon Redshift

Langue

Français

AWS OFFICIELA mis à jour il y a 4 mois

Aucun commentaire

Contenus pertinents

Création de tables SQL
yannick
demandé il y a 2 ans
Problème avec OpenSearch Serverless : Facturation continue malgré la suppression
Baptiste
demandé il y a 6 mois
Facturation persistante pour OpenSearch malgré la suppression de toutes les ressources et absence d’instance active
Réponse acceptée
Baptiste
demandé il y a 6 mois
Problème d'accès à une base de données logique dans une application laravel multi-tenant
PaulineE
demandé il y a 4 mois
Comment supprimer des factures la ligne "Amazon Simple Storage Service Requests-Tier1"
karrena
demandé il y a 4 mois
Comment puis-je utiliser les journaux pour vérifier l’activité de mon cluster de bases de données Amazon Redshift ?
AWS OFFICIELA mis à jour il y a un an
Comment analyser mes journaux d’audit à l’aide de Redshift Spectrum ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment obtenir des informations de facturation pour Amazon Redshift Serverless ?
AWS OFFICIELA mis à jour il y a 6 mois
Comment calculer les frais de requête Amazon Redshift Spectrum ?
AWS OFFICIELA mis à jour il y a un mois