Comment puis-je activer la journalisation des audits pour une instance Amazon RDS MySQL ou MariaDB et publier les journaux dans CloudWatch ?

Date de la dernière mise à jour : 30/07/2019

Je souhaite contrôler l'activité de la base de données afin de répondre aux exigences de conformité liées à mon instance Amazon Relational Database Service (Amazon RDS) qui exécute MySQL ou MariaDB. Ensuite, je souhaite publier les journaux de base de données dans Amazon CloudWatch. Comment faire ?

Brève description

Vous pouvez utiliser le plug-in d'audit MariaDB pour capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. Tout d'abord, activez et configurez le plug-in d'audit MariaDB et associez l'instance de base de données à un groupe d'options personnalisées. Ensuite, vous pouvez publier les journaux dans CloudWatch.

Si vous utilisez Amazon Aurora pour MySQL, consultez Comment puis-je activer l'Audit avancé pour mon cluster de bases de données Amazon Aurora MySQL, puis publier les journaux dans CloudWatch ?

Résolution

Amazon RDS prend en charge les paramètres d'option du plug-in d'audit sur les versions de MySQL et MariaDB ci-dessous :

  • Toutes les versions MySQL 5.6
  • MySQL versions 5.7.16 et les versions ultérieures à la 5.7
  • MariaDB 10.0.24 et versions ultérieures

Activation du plug-in d'audit MariaDB sur votre groupe d'options personnalisées

  1. Créez un groupe d'options personnalisées ou modifiez un groupe d'options personnalisées existant.
  2. Ajoutez l'option de plug-in d'audit MariaDB au groupe d'options et configurez les paramètres d'option.
  3. Appliquez le groupe d'options à l'instance de base de données.

Pour appliquer l'option à une nouvelle instance de base de données, configurez l'instance de manière à utiliser le nouveau groupe d'options lorsque vous lancez l'instance de base de données. Pour appliquer l'option à une instance de base de données existante, modifiez l'instance de base de données pour y attacher le nouveau groupe d'options. Pour plus d'informations, consultez les sections Modification d'une instance de base de données exécutant le moteur de base de données MySQL ou Modification d'une instance de base de données exécutant le moteur de base de données MariaDB.

Une fois que vous avez configuré l'instance de base de données avec le plug-in d'audit MariaDB, vous n'avez pas besoin de redémarrer l'instance de base de données. Lorsque le groupe d'options est actif, l'audit commence immédiatement.

Remarque : Amazon RDS ne prend pas en charge la désactivation de la journalisation du plug-in d'audit MariaDB. Pour désactiver la journalisation d'audit, supprimez le plug-in du groupe d'options associé. Cela redémarre automatiquement l'instance. Pour limiter la longueur de la chaîne de requête dans un enregistrement, utilisez l'option SERVER_AUDIT_QUERY_LOG_LIMIT.

Publication de journaux d'audit dans CloudWatch

  1. Ouvrez la console Amazon RDS.
  2. Sélectionnez Bases de données dans le volet de navigation.
  3. Sélectionnez l'instance de base de données que vous souhaitez utiliser pour exporter les données des journaux vers CloudWatch.
  4. Sélectionnez Modifier.
  5. Dans la section Exportations des journaux, sélectionnez Journal d'audit.
  6. Sélectionnez Continuer.
  7. Examinez le Résumé de modifications, puis sélectionnez Modify instance (Modifier l'instance).

Vous pouvez également utiliser l'interface de ligne de commande AWS (CLI AWS) pour activer des exportations de journaux CloudWatch en exécutant une commande similaire à celle qui suit :

aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

Après avoir activé la journalisation d'audit et modifié votre instance pour exporter des journaux, les événements consignés dans les journaux d'audit sont envoyés vers CloudWatch. Ensuite, vous pouvez surveiller les événements de journaux dans CloudWatch


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?