Amazon Aurora MySQL と互換性のある DB クラスターの監査ログ記録を有効にして CloudWatch にログを発行するにはどうすればよいですか?

所要時間1分
0

コンプライアンス要件を満たすために、Amazon Aurora MySQL 互換エディション DB クラスターで監査ログ記録を有効にして、データベースのアクティビティを監査したいと考えています。その後、リアルタイムのデータ分析を実行できるように、DB ログを Amazon CloudWatch に公開したいと考えています。

簡単な説明

Amazon Aurora の高度な監査を利用して、データベースイベントを記録および監査します。データベースイベントには、Aurora MySQL 互換 DB クラスターでの接続、切断、クエリ済みテーブル、発行済みクエリの種類 (DML、DDL や DCL) が含まれます。ログファイルに含まれる情報の種類の詳細については、「監査ログの詳細」を参照してください。

最初に、関連付けられているカスタム DB クラスターパラメータグループの高度な監査パラメータを有効にします。その後、高度な監査ログを CloudWatch に公開できます。

注: MySQL または MariaDB 向けに Amazon Relational Database Service (Amazon RDS) を使用している場合は、「 Amazon RDS for MySQL インスタンスまたは MariaDB インスタンスの監査ログを有効にして、そのログを CloudWatch に公開する方法を教えてください」を参照してください。

解決方法

高度な監査は、次のデータベース容量タイプをサポートしています。

  • Aurora Provisioned
  • Aurora Provisioned with Aurora パラレルクエリサポート
  • Aurora Serverless

: Amazon Aurora Serverless v1 を使用している場合は、次の手順を実行して監査ログパラメータを有効にしてください。ただし、Amazon Aurora Serverless v1 クラスターはこれらのタイプのログを自動的にアップロードするため、CloudWatch に公開するログを設定する必要はありません。v1 クラスターのログアップロードを設定するには、DB クラスターパラメータグループのログタイプの値を変更します。

クラスターパラメータグループで高度な監査パラメータを使用できるようにする

  1. カスタム DB クラスターパラメータグループを作成します
  2. [Advanced Auditing] (高度な監査) のパラメータを変更します。
  3. 新しいカスタム DB パラメータグループを Aurora MySQL 互換 DB クラスターに関連付けるようにクラスターを変更します。

高度な監査パラメータの詳細については、「高度な監査の有効化」を参照してください。パラメータは動的なので、DB クラスターを再起動する必要はありません。デフォルトのパラメータグループをカスタムパラメータグループに変更した場合、DB インスタンスを手動で再起動して新しいグループを適用します。

高度な監査ログを CloudWatch に公開する

  1. Amazon RDS コンソールを開きます。
  2. ナビゲーションペインから [データベース] を選択します。
  3. ログデータを CloudWatch にエクスポートする Aurora MySQL 互換 DB クラスターを選択します。
  4. [変更] を選択します。
  5. [ログのエクスポート] セクションから、[監査ログ] を選択します。
  6. [続行] を選択します。
  7. [変更のサマリー] を確認して、[インスタンスの変更] を選択します。

または、クラスターレベルの DB パラメータ server_audit_logs_upload の値を 1 に設定して、高度な監査ログを CloudWatch Logs に発行できます。このパラメータのデフォルト値は 0 です。AWS コマンドラインインターフェイス (AWS CLI) を使用して、次のようなコマンドを実行して CloudWatch ログのエクスポートを有効にすることもできます。

aws rds modify-db-cluster --db-cluster-identifier <mydbcluster> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

監査ログを有効にしてインスタンスを変更してログをエクスポートすると、監査ログに記録されたイベントが CloudWatch に送信されます。その後、CloudWatch のログイベントをモニタリングできます。

: server_audit_events パラメータを使用して監査するイベントのタイプを 1 つ以上定義しない限り、監査データはログに表示されません。


関連情報

Amazon Aurora クラスターの監査

Amazon Aurora MySQL 互換 DB クラスターで高度な監査を使用する

Amazon CloudWatch Logs へ Amazon Aurora MySQL ログを発行する

AWS公式
AWS公式更新しました 3年前
コメントはありません

関連するコンテンツ