¿Cómo puedo activar el registro de auditoría en Amazon Redshift y Amazon Redshift sin servidor?

Última actualización: 07-10-2022

Quiero activar el registro de auditoría para mi clúster de Amazon Redshift o Amazon Redshift sin servidor. ¿Cómo se puede hacer eso?

Descripción corta

Amazon Redshift almacena los registros del sistema en tablas y vistas del sistema con un periodo de retención de hasta siete días. Estos registros ayudan a supervisar la seguridad de la base de datos y a solucionar sus problemas.

Para almacenar los registros durante más tiempo, active la función de registro de auditoría de Amazon Redshift. Los registros se pueden almacenar en buckets de Amazon Simple Storage Service (Amazon S3) o en Amazon CloudWatch. Amazon CloudWatch tiene funciones para visualizar los datos del registro de auditoría.

Amazon Redshift registra la información en los siguientes tipos de registros:

  • Connection log (Registro de conexión): registra los intentos de autenticación, las conexiones y las desconexiones.
  • User log (Registro del usuario): registra información sobre los cambios en las definiciones del usuario de la base de datos.
  • User activity log (Registro de actividad del usuario): registra cada consulta antes de que se ejecute en la base de datos.

Nota: Para los registros de actividad del usuario, debe configurar los grupos de parámetros a fin de almacenar correctamente los registros.

Resolución

Activar el registro de auditoría en un clúster aprovisionado de Amazon Redshift

Para activar el registro de auditoría en un clúster aprovisionado de Amazon Redshift mediante la consola, haga lo siguiente:

  1. Abra la consola de Amazon Redshift.
  2. En el panel de navegación, elija Clusters (Clústeres) y, luego, elija el clúster que desea actualizar.
  3. Elija la pestaña Properties (Propiedades).
  4. En el panel Database configurations (Configuraciones de la base de datos), elija Edit (Editar) y, luego, elija Edit audit logging (Editar registro de auditoría).
  5. En Edit audit logging (Editar registro de auditoría), elija Turn on (Activar) y, luego, seleccione S3 bucket (Bucket de S3) o CloudWatch.
    Si selecciona S3 bucket (Bucket S3), tiene la opción de elegir un existing bucket (bucket existente) o Create new bucket (Crear un nuevo bucket) para almacenar los registros de auditoría de la base de datos.
    Si selecciona CloudWatch, puede seleccionar uno de los siguientes tipos de registro: Connection log (Registro de conexión), User log (Registro del usuario) y User activity log (Registro de actividad del usuario).
  6. Seleccione Save changes (Guardar cambios).

Para activar el registro de auditoría mediante la AWS CLI, consulte enable-logging.
Nota: Si recibe errores mientras ejecuta los comandos de AWS CLI, asegúrese de que está utilizando la versión más reciente de dicha interfaz.

El siguiente es un ejemplo de ejecución del comando enable-logging para activar el registro de auditoría con un bucket de Amazon S3 como su destino:

aws redshift enable-logging --cluster-identifier redshift-cluster-1 --log-destination-type s3  --bucket-name mybucket --s3-key-prefix mybucket/test --region us-east-1

La salida es similar a la siguiente:

{    “LoggingEnabled”: true,    “BucketName”: “mybucket”,    “S3KeyPrefix”: “mybucket/test/“,    “LastSuccessfulDeliveryTime”: “2022-09-14T12:04:42.558000+00:00"}

Nota: Puede haber un retraso en los registros que aparecen en el bucket de Amazon S3 o en Amazon CloudWatch. Puede verificar la fecha y hora de Last successful delivery (Ultima entrega exitosa) en las propiedades del clúster para comprobar cuándo se realizó la última entrega de registros.

Grupo de parámetros para registros de actividad del usuario

Para registrar los registros de actividad del usuario, asegúrese de que el parámetro enable_user_activity_logging esté configurado en true (verdadero) en el grupo de parámetros del clúster adjunto al clúster de Amazon Redshift.

Para activar el parámetro enable_user_activity_logging, haga lo siguiente:

  1. Cree un grupo de parámetros nuevo.
  2. Modifique el grupo de parámetros para establecer el parámetro enable_user_activity_logging en true (verdadero).
  3. Modifique el clúster para adjuntar el nuevo grupo de parámetros al clúster de Amazon Redshift.

Nota: El parámetro enable_user_activity_logging está establecido en false (falso) de forma predeterminada y no se puede modificar el grupo de parámetros predeterminado.

Si activa el registro de auditoría pero no el parámetro enable_user_activity_logging del grupo de parámetros, ocurre lo siguiente:

  • Los registros de auditoría de bases de datos almacenan información solo para el registro de conexión y el registro del usuario.
  • El registro de actividad del usuario no se almacena.

Activar el registro de auditoría para Redshift sin servidor

Para activar el registro de auditoría en Amazon Redshift sin servidor, haga lo siguiente:

  1. Abra la consola de Amazon Redshift.
  2. En el panel de navegación, elija Redshift Serverless (Redshift sin servidor) y, luego, elija el panel Serverless (sin servidor).
  3. Seleccione el espacio de nombres para el que desea activar el registro de auditoría.
  4. Seleccione la pestaña Security and Encryption (Cifrado y seguridad).
  5. En Security and Encryption (Cifrado y seguridad), seleccione Edit (Editar).
  6. En Export these logs (Exportar estos registros), seleccione los registros que desee guardar en CloudWatch. Puede seleccionar uno de los siguientes tipos de registro: Connection log (Registro de conexión), User log (Registro del usuario) y User activity log (Registro de actividad del usuario).
  7. Seleccione Save changes (Guardar cambios).

Nota: Amazon Redshift sin servidor no puede exportar registros a buckets de Amazon S3.

Para obtener más información sobre la supervisión de los registros de auditoría, consulte Supervisión de los eventos del registro en CloudWatch.


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?