如何为 Amazon Aurora MySQL 兼容的数据库集群启用审计日志记录并将日志发布到 CloudWatch?

1 分钟阅读
0

为了满足合规性要求,我想在我的 Amazon Aurora MySQL 兼容版本数据库集群上启用审计日志记录,以便审计数据库活动。然后,我想将数据库日志发布到 Amazon CloudWatch,以便执行实时数据分析。

简短描述

使用 Amazon Aurora 的高级审计来记录和审计数据库事件。数据库事件可以包括连接、断开连接、查询的表或在 Aurora MySQL 兼容的数据库集群上发出的查询类型(DML、DDL 或 DCL)。有关日志文件中包含的信息类型的更多信息,请参阅审计日志详细信息

首先,在关联的自定义数据库集群参数组中激活高级审计参数。然后,您可以将高级审计日志发布到 CloudWatch。

**注意:**如果将 Amazon Relational Database Service (Amazon RDS) 用于 MySQL 或 MariaDB,请参阅 如何启用 Amazon RDS for MySQL 实例或 MariaDB 实例的审计日志记录并将日志发布到 CloudWatch?

解决方法

高级审计支持以下数据库容量类型:

  • Aurora 预调配
  • Aurora 预调配,支持 Aurora 并行查询
  • Aurora Serverless

注意:如果您使用的是 Amazon Aurora Serverless v1,请完成以下步骤以启用审计日志记录参数。但是,您无需将日志配置为发布到 CloudWatch,因为 Amazon Aurora Serverless v1 集群会自动上传这些类型的日志。要为 v1 集群配置日志上传,请修改数据库集群参数组中日志类型的值。

在集群参数组中启用高级审计参数

  1. 创建自定义数据库集群参数组
  2. 修改高级审计的参数
  3. 修改集群以将新的自定义数据库参数组与 Aurora MySQL 兼容的数据库集群相关联。

有关高级审计参数的详细信息,请参阅启用高级审计。这些参数是动态的,因此您无需重启数据库集群。将默认参数组更改为自定义参数组时,请手动重启数据库实例以应用新组。

将高级审计日志发布到 CloudWatch

  1. 打开 Amazon RDS 控制台
  2. 从导航窗格中选择 Databases(数据库)。
  3. 选择要将日志数据导出到 CloudWatch 的 Aurora MySQL 兼容的数据库集群。
  4. 选择 Modify(修改)。
  5. Log exports(日志导出)部分,选择 Audit log(审计日志)。
  6. 选择 Continue(继续)。
  7. 查看 Summary of modifications(修改摘要),然后选择 Modify cluster(修改集群)。

或者,您也可以将集群级数据库参数 server_audit_logs_upload 的值设置为 1,以将高级审计日志发布到 CloudWatch Logs。该参数的默认值为 0。您也可以使用 AWS 命令行界面 (AWS CLI) 通过运行如下所示的命令来启用 CloudWatch 日志导出:

aws rds modify-db-cluster --db-cluster-identifier <mydbcluster> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

启用审计日志记录并修改实例以导出日志后,审计日志中记录的事件将发送到 CloudWatch。然后,您可以在 CloudWatch 中监控日志事件

注意:除非您还使用 server_audit_events parameter 参数定义了一种或多种要审计的事件类型,否则审计数据不会出现在日志中。


相关信息

审计 Amazon Aurora 集群

对 Amazon Aurora MySQL 兼容的数据库集群使用高级审计

将 Amazon Aurora MySQL 日志发布到 Amazon CloudWatch Logs

相关视频

AWS 官方
AWS 官方已更新 3 年前