Amazon Aurora MySQL DB クラスターの監査ログ記録を有効にして CloudWatch にログを発行するにはどうすればよいですか?
最終更新日: 2022 年 1 月 21 日
コンプライアンス要件を満たすために、Amazon Aurora MySQL 互換エディション DB クラスターで監査ログ記録を有効にして、データベースのアクティビティを監査したいと考えています。その後、リアルタイムのデータ分析を実行できるように、DB ログを Amazon CloudWatch に公開したいと考えています。これを行うにはどうすればよいですか?
簡単な説明
Aurora MySQL DB クラスターでの接続、切断、クエリされたテーブル、公開されたクエリの種類 (DML、DDL、または DCL) などのデータベースイベントを記録および監査するには、Amazon Aurora の高度な監査を使用します。ログファイルに含まれる情報の種類の詳細については、「監査ログの詳細」を参照してください。
最初に、関連付けられているカスタム DB クラスターパラメータグループの高度な監査パラメータを有効にします。その後、高度な監査ログを CloudWatch に公開できます。
注意: MySQL または MariaDB 向けに Amazon Relational Database Service (Amazon RDS) を使用している場合は、 Amazon RDS for MySQL インスタンスまたは MariaDB インスタンスの監査ログを有効にして、そのログを CloudWatch に公開する方法を教えてくださいを参照してください。解決方法
高度な監査は、次のデータベース容量タイプをサポートしています。
- Aurora Provisioned
- Aurora Provisioned with Aurora パラレルクエリサポート
- Aurora Serverless
Aurora Serverless を使用する場合は、監査ログ記録パラメータを有効にする必要がありますが、CloudWatch へのログのエクスポートを有効にする必要はありません。Aurora Serverless クラスターは、設定パラメータで有効にしたログの種類を自動的にアップロードします。DB クラスターパラメータグループのさまざまなログタイプの値を変更して、Aurora Serverless クラスターのログアップロードを有効または無効にします。
クラスターパラメータグループで高度な監査パラメータを使用できるようにする
- カスタム DB クラスターのパラメータグループを作成します。
- [Advanced Auditing] (高度な監査) のパラメータを変更します。
- 新しいカスタム DB パラメータグループを Aurora MySQL DB クラスターに関連付けるようにクラスターを変更します。
高度な監査パラメータの詳細については、「高度な監査の有効化」を参照してください。パラメータは動的なので、DB クラスターを再起動する必要はありません。ただし、パラメータグループをデフォルトからカスタムパラメータグループに変更した場合は、新しい DB パラメータグループを適用するために DB インスタンスを手動で再起動する必要があります。
高度な監査ログを CloudWatch に公開する
- Amazon RDS コンソールを開きます。
- ナビゲーションペインから [Databases] (データベース) を選択します。
- ログデータを CloudWatch にエクスポートする Aurora MySQL DB クラスターを選択します。
- [Modify] (変更) を選択します。
- [ログのエクスポート] セクションから、[監査ログ] を選択します。
- [Continue] (続行) を選択します。
- [Summary of modifications] (変更の概要) を確認して、[Modify cluster] (クラスターの変更) を選択します。
または、クラスターレベルの DB パラメータ server_audit_logs_upload の値を 1 に設定して、高度な監査ログを CloudWatch Logs に発行できます。このパラメータのデフォルト値は 0 です。AWS Command Line Interface (AWS CLI) を使用して、次のようなコマンドを実行して CloudWatch ログのエクスポートを有効にすることもできます。
aws rds modify-db-cluster --db-cluster-identifier <mydbcluster> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'
監査ログを有効にしてインスタンスを変更してログをエクスポートすると、監査ログに記録されたイベントが CloudWatch に送信されます。その後、CloudWatch のログイベントをモニタリングできます。