若要滿足合規性要求,我想要在 Amazon Aurora MySQL 相容版資料庫叢集上啟用稽核記錄功能,以稽核資料庫活動。然後,我想要將資料庫日誌發佈至 Amazon CloudWatch,以執行即時資料分析。
將進階稽核功能與 Amazon Aurora 搭配使用,以記錄和稽核資料庫事件。資料庫事件可以包括在 Aurora MySQL 相容資料庫叢集上的連線、中斷連線、查詢的表格或發出的查詢類型 (DML、DDL 或 DCL)。如需日誌檔中所包含資訊類型的詳細資訊,請參閱稽核日誌詳細資料。
首先,請啟動關聯的自訂資料庫叢集參數群組上的進階稽核參數。然後,您即可將進階稽核日誌發佈至 CloudWatch。
**注意事項:**如果您使用 Amazon Relational Database Service (Amazon RDS) for MySQL 或 MariaDB,請參閱 如何啟用 Amazon RDS for MySQL 執行個體或 MariaDB 執行個體的稽核記錄功能,並將日誌發佈至 CloudWatch?
進階稽核功能支援以下資料庫容量類型:
注意事項: 如果您使用的是 Amazon Aurora Serverless 第 1 版,請完成以下步驟以啟用稽核記錄參數。然而,您無需設定日誌即可發佈至 CloudWatch,因為 Amazon Aurora Serverless 第 1 版叢集會自動上傳這些類型的日誌。若要設定第 1 版叢集的日誌上傳,請修改資料庫叢集參數群組中日誌類型的值。
開啟叢集參數群組上的進階稽核參數
如需有關進階稽核參數的詳細資料,請參閱開啟進階稽核。這些是動態參數,因此您不需要重新啟動資料庫叢集。將預設參數群組變更為自訂參數群組時,請手動重新啟動資料庫執行個體以套用新的群組。
將進階稽核日誌發佈至 CloudWatch
或者,您可以將叢集層級資料庫參數 server_audit_logs_upload 的值設定為 1,以將進階稽核日誌發佈至 CloudWatch Logs。參數的預設值為 0。您還可以使用 AWS Command Line Interface (AWS CLI) 透過執行類似於以下內容的命令來啟用 CloudWatch 日誌匯出功能:
aws rds modify-db-cluster --db-cluster-identifier <mydbcluster> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'
啟用稽核記錄功能並修改執行個體以匯出日誌後,稽核日誌中記錄的事件將會傳送至 CloudWatch。然後,您即可在 CloudWatch 中監控日誌事件。
注意事項: 稽核資料不會出現在日誌中,除非您還使用 server_audit_events parameter 定義一個以上要稽核的事件類型。
稽核 Amazon Aurora 叢集
搭配使用進階稽核功能與 Amazon Aurora MySQL 相容資料庫叢集
將 Amazon Aurora MySQL 日誌發佈至 Amazon CloudWatch Logs