如何為 Amazon RDS for MySQL 或 Amazon RDS for MariaDB 執行個體啟用稽核記錄，並將日誌發佈至 CloudWatch？

簡短說明

若要擷取連線、中斷連線、查詢或其他伺服器活動等事件，請新增並設定 MariaDB Audit Plugin。然後，將資料庫執行個體與自訂選項群組建立關聯。接著，您可以將日誌發佈到 CloudWatch。

Amazon RDS 支援以下版本的 MySQL 和 MariaDB 上的 MariaDB Audit Plugin 選項設定：

• 所有 MySQL 5.7 版本
• MySQL 8.0.25 以及更高的 8.0 版本
• MariaDB 10.3 以及更高版本

如果您使用 Amazon Aurora MySQL-Compatible Edition，請參閱如何為我的 Amazon Aurora MySQL 資料庫叢集啟用稽核記錄，並將日誌發佈到 CloudWatch？

解決方法

**注意：**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息，請參閱對 AWS CLI 錯誤進行疑難排解。此外，請確定您使用的是最新的 AWS CLI 版本。

新增並設定 MariaDB Audit Plugin，然後將資料庫執行個體與自訂選項群組建立關聯

請完成下列步驟：

1. 建立自訂選項群組，或修改現有自訂選項群組。
2. 將 MariaDB Audit Plugin 選項新增到選項群組，然後設定選項設定。
3. 若要將選項群組套用到資料庫執行個體，請採取以下其中一種操作：
   對於新的資料庫執行個體，將執行個體設定為在啟動資料庫執行個體時，請使用新建立的選項群組。
   對於現有的資料庫執行個體，請修改資料庫執行個體，然後附加新的選項群組。

在使用 MariaDB Audit Plugin 設定資料庫執行個體後，您不需要重新啟動資料庫執行個體。當選項群組啟用時，稽核會立即開始。

**注意：**Amazon RDS 不支援在 MariaDB Audit Plugin 中關閉記錄。若要關閉稽核記錄，請從關聯的選項群組移除外掛程式，以自動重新啟動執行個體。若要限制記錄中查詢字串的長度，請使用 SERVER_AUDIT_QUERY_LOG_LIMIT 選項。

將稽核日誌發佈到 CloudWatch

您可以使用 Amazon RDS 主控台或 AWS CLI 啟用 CloudWatch 日誌匯出。

若若要使用 Amazon RDS 主控台，請完成以下步驟：

1. 開啟 Amazon RDS console (Amazon RDS 主控台)。
2. 在導覽窗格中，選擇 Databases (資料庫)。
3. 選取您要用於將日誌資料匯出到 CloudWatch 的資料庫執行個體。
4. 選擇 Modify (修改)。
5. 在 Additional monitoring settings (其他監控設定) 區段中，於 Log exports (日誌匯出) 選擇 Audit log (稽核日誌)。
6. 選擇 Continue (繼續)。
7. 檢閱 Summary of modifications (修改摘要)，然後選擇 Modify DB instance (修改資料庫執行個體)。
   **注意：**選擇 Apply immediately (立即套用) 時可能會發生停機。

若要使用 AWS CLI，請執行 modify-db-instance 命令以啟用 CloudWatch 日誌匯出：

aws rds modify-db-instance --db-instance-identifier db_instance --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

**注意：**將 db_instance 替換為您的資料庫執行個體名稱。

啟用稽核記錄並修改執行個體以匯出日誌後，稽核記錄中記錄的事件會傳送到 CloudWatch。接著，您可以在 CloudWatch 監控日誌事件。

相關資訊

MariaDB 資料庫引擎選項

連線至您的 MariaDB 資料庫執行個體