Comment puis-je activer la journalisation des audits pour une instance Amazon RDS MySQL ou MariaDB et publier les journaux dans CloudWatch ?

Dernière mise à jour : 08/12/2020

Je souhaite contrôler l'activité de la base de données afin de répondre aux exigences de conformité liées à mon instance Amazon Relational Database Service (Amazon RDS) qui exécute MySQL ou MariaDB. Ensuite, je souhaite publier les journaux de base de données dans Amazon CloudWatch. Comment dois-je procéder ?

Brève description

Vous pouvez utiliser le plug-in d'audit MariaDB pour capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. Tout d'abord, activez et configurez le plug-in d'audit MariaDB et associez l'instance de base de données à un groupe d'options personnalisées. Ensuite, vous pouvez publier les journaux dans CloudWatch.

Si vous utilisez Amazon Aurora pour MySQL, consultez Comment puis-je activer l'Audit avancé pour mon cluster de bases de données Amazon Aurora MySQL, puis publier les journaux dans CloudWatch ?

Résolution

Remarque : si vous recevez des erreurs lors de l'exécution de commandes depuis l'interface de ligne de commande AWS (AWS CLI), assurez-vous d'utiliser la version la plus récente d'AWS CLI.

Amazon RDS prend en charge les paramètres d'option du plug-in d'audit sur les versions de MySQL et MariaDB ci-dessous :

  • Toutes les versions MySQL 5.6
  • MySQL versions 5.7.16 et les versions ultérieures à la 5.7
  • MariaDB 10.0.24 et versions ultérieures

Activation du plug-in d'audit MariaDB sur votre groupe d'options personnalisées

  1. Créez un groupe d'options personnalisées ou modifiez un groupe d'options personnalisées existant.
  2. Ajoutez l'option de plug-in d'audit MariaDB au groupe d'options et configurez les paramètres d'option.
  3. Appliquez le groupe d'options à l'instance de base de données.

Pour appliquer l'option à une nouvelle instance de base de données, configurez l'instance de manière à utiliser le nouveau groupe d'options lorsque vous lancez l'instance de base de données. Pour appliquer l'option à une instance de base de données existante, modifiez l'instance de base de données pour y attacher le nouveau groupe d'options. Pour plus d'informations, consultez les sections Modification d'une instance de base de données exécutant le moteur de base de données MySQL ou Modification d'une instance de base de données exécutant le moteur de base de données MariaDB.

Une fois que vous avez configuré l'instance de base de données avec le plug-in d'audit MariaDB, vous n'avez pas besoin de redémarrer l'instance de base de données. Lorsque le groupe d'options est actif, l'audit est immédiatement lancé.

Remarque : Amazon RDS ne prend pas en charge la désactivation de la journalisation du plug-in d'audit MariaDB. Pour désactiver la journalisation d'audit, supprimez le plug-in du groupe d'options associé. Cela redémarre automatiquement l'instance. Pour limiter la longueur de la chaîne de requête dans un enregistrement, utilisez l'option SERVER_AUDIT_QUERY_LOG_LIMIT.

Publier des journaux d'audit dans CloudWatch

  1. Ouvrez la console Amazon RDS.
  2. Sélectionnez Bases de données dans le volet de navigation.
  3. Sélectionnez l'instance de base de données que vous souhaitez utiliser pour exporter les données des journaux vers CloudWatch.
  4. Choisissez Modifier.
  5. Dans la section Exportations des journaux, sélectionnez Journal d'audit.
  6. Choisissez Continuer.
  7. Consultez le Résumé de modifications, puis sélectionnez Modifier l’instance.

Vous pouvez également utiliser l'interface de ligne de commande AWS (CLI AWS) pour activer des exportations de journaux CloudWatch en exécutant une commande similaire à celle qui suit :

aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

Après avoir activé la journalisation d'audit et modifié votre instance pour exporter des journaux, les événements consignés dans les journaux d'audit sont envoyés vers CloudWatch. Ensuite, vous pouvez surveiller les événements de journaux dans CloudWatch


Cet article vous a-t-il été utile ?


Besoin d'une facturation ou du support technique ?