Como posso habilitar a criação de logs de auditoria para uma instância do Amazon RDS para MySQL ou MariaDB e publicar os logs no CloudWatch?
Quero auditar a atividade do banco de dados para atender aos requisitos de conformidade da minha instância de banco de dados Amazon Relational Database Service (Amazon RDS) que está executando o MySQL ou o MariaDB. Em seguida, quero publicar os logs do banco de dados no Amazon CloudWatch. Como posso fazer isso?
Breve descrição
Para usar o MariaDB Audit Plugin para capturar eventos como conexões, desconexões, consultas ou tabelas consultadas, você deve fazer o seguinte:
- Adicionar e configurar o MariaDB Audit Plugin e associar a instância de banco de dados a um grupo de opções personalizado.
- Publicar os logs no CloudWatch.
Se você usa a Edição compatível com MySQL do Amazon Aurora, consulte Como posso habilitar o registro em log de auditoria para meu cluster de banco de dados compatível com o Aurora MySQL e publicar os logs no CloudWatch?
Resolução
Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), confirme se está executando uma versão recente da AWS CLI.
O Amazon RDS oferece suporte às configurações de opções do Audit Plugin nas seguintes versões para MySQL e MariaDB:
- Todas as versões do MySQL 5.7
- MySQL 5.7.16 e versões 5.7 posteriores
- MySQL 8.0.25 e versões 8.0 posteriores
- MariaDB 10.2 e posterior
Para obter mais informações sobre as versões com suporte, consulte Suporte ao MariaDB Audit Plugin e Opções para mecanismos de banco de dados MariaDB.
Adicionar e configurar o MariaDB Audit Plugin e associar a instância de banco de dados a um grupo de opções personalizado
1. Crie um grupo de opções personalizadas ou modifique um grupo de opções personalizadas existente.
2. Adicione a opção MariaDB Audit Plugin ao grupo de opções e defina as configurações da opção.
3. Aplique o grupo de opções à instância de banco de dados.
Para aplicar a opção a uma nova instância de banco de dados, configure essa instância para usar o grupo de opções recém-criado ao iniciar a instância de banco de dados. Para aplicar a opção a uma instância de banco de dados existente, modifique essa instância e anexe o novo grupo de opções. Para obter mais informações, consulte Modificar uma instância de banco de dados Amazon RDS.
Depois de configurar a instância de banco de dados com o MariaDB Audit Plugin, você não precisará reinicializá-la. Quando o grupo de opções está ativo, a auditoria começa imediatamente.
Observação: o Amazon RDS não oferece suporte à desativação do registro em log no MariaDB Audit Plugin. Para desativar o registro em log de auditoria, remova o plug-in do grupo de opções associado. Fazer isso reiniciará a instância automaticamente. Para limitar o tamanho da string de consulta em um registro, use a opção SERVER_AUDIT_QUERY_LOG_LIMIT.
Publicar logs de auditoria no CloudWatch
1. Abra o console do Amazon RDS.
2. Escolha Bancos de dados no painel de navegação.
3. Selecione a instância de banco de dados que você deseja usar para exportar dados de log para o CloudWatch.
4. Selecione Modificar.
5. Na seção Exportações de log, selecione Log de auditoria.
6. Escolha Continuar.
7. Examine o Resumo das modificações e escolha Modificar instância.
Você também pode usar a seguinte sintaxe de comando da AWS CLI para ativar as exportações de logs do CloudWatch:
aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'
Depois de ativar o registro em log de auditoria e modificar sua instância para exportar logs, os eventos registrados em logs de auditoria são enviados ao CloudWatch. Em seguida, você pode monitorar os eventos de log no CloudWatch.
Vídeos relacionados
Conteúdo relevante
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há 3 anos