Comment puis-je activer la journalisation des audits pour mon cluster de bases de données Amazon Aurora MySQL et publier les journaux dans CloudWatch ?

Date de la dernière mise à jour : 21/01/2022

Afin de répondre aux exigences en matière de conformité, je souhaite activer la journalisation des audits sur mon cluster de bases de données Amazon Aurora édition compatible avec MySQL afin d'auditer l'activité des bases de données. Ensuite, je veux publier les journaux de base de données dans Amazon CloudWatch de sorte à effectuer l'analyse des données en temps réel. Comment puis-je procéder ?

Brève description

Utilisez l'Audit avancé avec Amazon Aurora pour enregistrer et auditer les événements de bases de données, tels que les connexions, les déconnexions, les tables interrogées ou les types de requêtes émises (DML, DDL ou DCL) sur un cluster de base de données Aurora MySQL. Pour de plus amples informations sur le type d'informations incluses dans les fichiers journaux, consultez la section Détails du journal d'audit.

Tout d'abord, activez les paramètres de l'Audit avancé sur le groupe de paramètres de cluster de base de données personnalisé associé. Ensuite, vous pouvez publier les journaux de l'Audit avancé dans CloudWatch.

Remarque : si vous utilisez Amazon Relational Database Service (Amazon RDS) for MySQL ou MariaDB, consultez Comment puis-je activer la journalisation des audits pour une instance Amazon RDS for MySQL ou une instance MariaDB et publier les journaux dans CloudWatch ?

Résolution

L'Audit avancé prend en charge les types de capacité de base de données suivants :

  • Aurora provisionné
  • Aurora provisionné avec prise en charge des requêtes parallèles Aurora et
  • Aurora sans serveur

Si vous utilisez Aurora sans serveur, vous devez activer les paramètres de journalisation des audits, mais vous n'avez pas besoin d'activer l'exportation des journaux vers CloudWatch. Les clusters Aurora sans serveur chargent automatiquement les types de journaux que vous activez via les paramètres de configuration. Activez ou désactivez les chargements de journaux pour les clusters Aurora sans serveur en modifiant la valeur des différents types de journaux dans le groupe de paramètres du cluster de bases de données.

Activation des paramètres de l'Audit avancé sur le groupe de paramètres de cluster

  1. Créez un groupe de paramètres de cluster de bases de données personnalisé.
  2. Modifiez les paramètres de l'Audit avancé.
  3. Modifiez le cluster pour associer le nouveau groupe de paramètres de base de données personnalisé à votre cluster de base de données Aurora MySQL.

Pour plus de détails sur les paramètres de l'Audit avancé, consultez la section Activation de l'Audit avancé. Ces paramètres sont dynamiques. Par conséquent, vous ne devez pas redémarrer votre cluster de base de données. Toutefois, lorsque vous passez du groupe de paramètres par défaut à un groupe personnalisé, vous devez redémarrer manuellement l'instance de base de données pour appliquer le nouveau groupe de paramètres de base de données.

Publication des journaux de l'Audit avancé dans CloudWatch

  1. Ouvrez la console Amazon RDS.
  2. Sélectionnez Bases de données dans le panneau de navigation.
  3. Sélectionnez le cluster de base de données Aurora MySQL pour lequel vous voulez exporter des données de journaux vers CloudWatch.
  4. Choisissez Modifier.
  5. Dans la section Exportations des journaux, sélectionnez Journal d'audit.
  6. Choisissez Continuer.
  7. Examinez le Résumé des modifications, puis sélectionnez Modifier le cluster.

Vous pouvez également publier des journaux de l'Audit avancé dans CloudWatch Logs en définissant la valeur correspondant au paramètre de base de données au niveau du cluster server_audit_logs_upload sur 1. La valeur par défaut du paramètre est 0. Vous pouvez également utiliser l'interface de ligne de commande AWS (CLI AWS) pour activer des exportations de journaux CloudWatch en exécutant une commande similaire à celle qui suit :

aws rds modify-db-cluster --db-cluster-identifier <mydbcluster> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

Après avoir activé la journalisation d'audit et modifié votre instance pour exporter des journaux, les événements consignés dans les journaux d'audit sont envoyés vers CloudWatch. Ensuite, vous pouvez contrôler les événements du journal dans CloudWatch.