为了满足合规性要求,我想在我的 Amazon Aurora MySQL 兼容版本数据库集群上启用审计日志记录,以便审计数据库活动。然后,我想将数据库日志发布到 Amazon CloudWatch,以便执行实时数据分析。
使用 Amazon Aurora 的高级审计来记录和审计数据库事件。数据库事件可以包括连接、断开连接、查询的表或在 Aurora MySQL 兼容的数据库集群上发出的查询类型(DML、DDL 或 DCL)。有关日志文件中包含的信息类型的更多信息,请参阅审计日志详细信息。
首先,在关联的自定义数据库集群参数组中激活高级审计参数。然后,您可以将高级审计日志发布到 CloudWatch。
**注意:**如果将 Amazon Relational Database Service (Amazon RDS) 用于 MySQL 或 MariaDB,请参阅 如何启用 Amazon RDS for MySQL 实例或 MariaDB 实例的审计日志记录并将日志发布到 CloudWatch?
高级审计支持以下数据库容量类型:
注意:如果您使用的是 Amazon Aurora Serverless v1,请完成以下步骤以启用审计日志记录参数。但是,您无需将日志配置为发布到 CloudWatch,因为 Amazon Aurora Serverless v1 集群会自动上传这些类型的日志。要为 v1 集群配置日志上传,请修改数据库集群参数组中日志类型的值。
在集群参数组中启用高级审计参数
有关高级审计参数的详细信息,请参阅启用高级审计。这些参数是动态的,因此您无需重启数据库集群。将默认参数组更改为自定义参数组时,请手动重启数据库实例以应用新组。
将高级审计日志发布到 CloudWatch
或者,您也可以将集群级数据库参数 server_audit_logs_upload 的值设置为 1,以将高级审计日志发布到 CloudWatch Logs。该参数的默认值为 0。您也可以使用 AWS 命令行界面 (AWS CLI) 通过运行如下所示的命令来启用 CloudWatch 日志导出:
aws rds modify-db-cluster --db-cluster-identifier <mydbcluster> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'
启用审计日志记录并修改实例以导出日志后,审计日志中记录的事件将发送到 CloudWatch。然后,您可以在 CloudWatch 中监控日志事件。
注意:除非您还使用 server_audit_events parameter 参数定义了一种或多种要审计的事件类型,否则审计数据不会出现在日志中。
审计 Amazon Aurora 集群
对 Amazon Aurora MySQL 兼容的数据库集群使用高级审计
将 Amazon Aurora MySQL 日志发布到 Amazon CloudWatch Logs