我想要稽核資料庫活動,以符合執行 MySQL 或 MariaDB 的 Amazon Relational Database Service (Amazon RDS) 資料庫執行個體的合規要求。然後,我想要將資料庫日誌發佈至 Amazon CloudWatch。我該如何操作?
簡短描述
若要使用 MariaDB 稽核外掛程式擷取事件 (例如連線、斷開連線、查詢或查詢的資料表),您必須執行以下操作:
如果您是使用 Amazon Aurora MySQL 相容版本,請參閱如何為 Aurora MySQL 相容資料庫叢集啟用稽核記錄,並將日誌發佈到 CloudWatch?
解決方案
**注意:**如果執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請確定您執行的是最新版本的 AWS CLI。
Amazon RDS 針對下列版本的 MySQL 和 MariaDB 支援稽核外掛程式選項設定:
- 所有 MySQL 5.7 版本
- MySQL 5.7.16 以及更高的 5.7 版本
- MySQL 8.0.25 以及更高的 8.0 版本
- MariaDB 10.2 以及更高版本
如需有關支援版本的詳細資訊,請參閱 MariaDB 稽核外掛程式支援以及 MariaDB 資料庫引擎選項。
新增並設定 MariaDB 稽核外掛程式,並將資料庫執行個體與自訂選項群組建立關聯
1. 建立自訂選項群組或修改現有的自訂選項群組。
2. 新增 MariaDB 稽核外掛程式選項至選項群組中,並設定選項設定。
3. 將選項群組套用至資料庫執行個體。
若要將選項套用至新的資料庫執行個體,請將執行個體設定為在啟動資料庫執行個體時,使用新建立的選項群組。若要將選項套用至現有的資料庫執行個體,請修改資料庫執行個體並附加新的選項群組。如需詳細資訊,請參閱修改 Amazon RDS 資料庫執行個體。
使用 MariaDB 稽核外掛程式設定資料庫執行個體之後,您不需要重新啟動資料庫執行個體。當選項群組處於啟用狀態時,即會立即開始稽核。
**注意:**Amazon RDS 不支援關閉 MariaDB 稽核外掛程式中的記錄功能。若要關閉稽核記錄,請從關聯的選項群組中移除外掛程式。這將會自動重新啟動執行個體。若要限制記錄中查詢字串的長度,請使用 SERVER_AUDIT_QUERY_LOG_LIMIT 選項。
將稽核日誌發佈至 CloudWatch
1. 開啟 Amazon RDS 主控台。
2. 從導覽窗格中選擇資料庫。
3. 選取您要用來將日誌資料匯出至 CloudWatch 的資料庫執行個體。
4. 選擇修改。
5. 從日誌匯出區段中,選取稽核日誌。
6. 選擇繼續。
7. 檢閱修改的摘要,然後選擇修改執行個體。
您也可以使用下列 AWS CLI 命令語法來啟用 CloudWatch 日誌匯出:
aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'
啟用稽核記錄並修改執行個體以匯出日誌後,稽核日誌中記錄的事件將會傳送至 CloudWatch。然後您便可以在 CloudWatch 中監控日誌事件。