Comment puis-je activer l'Audit avancé pour mon cluster de base de données Amazon Aurora MySQL, puis publier les journaux dans CloudWatch ?

Date de la dernière mise à jour : 30/07/2019

Afin de répondre aux exigences en matière de conformité, je souhaite activer la journalisation d'audit sur mon cluster de base de données Amazon Aurora MySQL en vue de contrôler l'activité de la base de données. Ensuite, je veux publier les journaux de base de données dans Amazon CloudWatch afin d'effectuer une analyse des données en temps réel. Comment faire ?

Brève description

Utilisez l'Audit avancé avec Amazon Aurora pour enregistrer et contrôler des événements de base de données tels que des connexions, des déconnexions, des tables interrogées ou des types de requêtes émises (DML, DDL ou DCL) sur un cluster de base de données Aurora MySQL. Pour de plus amples informations sur le type d'informations incluses dans les fichiers journaux, consultez la section Détails du journal d'audit.

Tout d'abord, activez les paramètres de l'Audit avancé sur le groupe de paramètres de cluster de base de données personnalisé associé. Ensuite, vous pouvez publier les journaux de l'Audit avancé dans CloudWatch.

Remarque : si vous utilisez Amazon Relational Database Service (Amazon RDS) pour MySQL ou MariaDB, consultez la section Comment puis-je activer la journalisation des audits pour une instance Amazon RDS MySQL ou MariaDB et publier les journaux dans CloudWatch ?.

Résolution

L'Audit avancé prend en charge les types de capacité de base de données suivants :

  • Aurora provisionné
  • Aurora provisionné avec prise en charge des requêtes parallèles Aurora et
  • Aurora sans serveur

Si vous utilisez Aurora sans serveur, vous devez activer les paramètres de journalisation d'audit, mais vous n'avez pas besoin d'activer l'exportation des journaux vers CloudWatch. Les clusters Aurora sans serveur téléchargent automatiquement les types de journaux que vous activez via les paramètres de configuration. Dès lors, vous activez ou désactivez les chargements de journaux pour les clusters Aurora sans serveur en modifiant la valeur des différents types de journaux dans le groupe de paramètres de cluster de base de données.

Activation des paramètres de l'Audit avancé sur le groupe de paramètres de cluster

  1. Créez un groupe de paramètres de cluster de base de données personnalisé.
  2. Modifiez les paramètres de l'Audit avancé.
  3. Modifiez le cluster pour associer le nouveau groupe de paramètres de base de données personnalisé à votre cluster de base de données Aurora MySQL.

Pour plus de détails sur les paramètres de l'Audit avancé, consultez la section Activation de l'Audit avancé. Ces paramètres sont dynamiques. Par conséquent, vous ne devez pas redémarrer votre cluster de base de données. Toutefois, lorsque vous passez du groupe de paramètres par défaut à un groupe personnalisé, vous devez redémarrer manuellement l'instance de base de données pour appliquer le nouveau groupe de paramètres de base de données.

Publication des journaux de l'Audit avancé dans CloudWatch

  1. Ouvrez la console Amazon RDS.
  2. Sélectionnez Bases de données dans le volet de navigation.
  3. Sélectionnez le cluster de base de données Aurora MySQL pour lequel vous voulez exporter des données de journaux vers CloudWatch.
  4. Sélectionnez Modifier.
  5. Dans la section Exportations des journaux, sélectionnez Journal d'audit.
  6. Sélectionnez Continuer.
  7. Examinez le résumé de modifications, puis sélectionnez Modifier le cluster.

Vous pouvez également publier des journaux de l'Audit avancé dans CloudWatch Logs en définissant la valeur correspondant au paramètre de base de données au niveau du cluster server_audit_logs_upload sur 1. La valeur par défaut du paramètre est 0. Vous pouvez également utiliser l'interface de ligne de commande AWS (CLI AWS) pour activer des exportations de journaux CloudWatch en exécutant une commande similaire à celle qui suit :

aws rds modify-db-cluster --db-cluster-identifier <mydbcluster> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

Après avoir activé la journalisation d'audit et modifié votre instance pour exporter des journaux, les événements consignés dans les journaux d'audit sont envoyés vers CloudWatch. Ensuite, vous pouvez surveiller les événements de journaux dans CloudWatch