Amazon RDS MySQL または MariaDB インスタンスの監査ログを有効にして、そのログを CloudWatch に公開する方法を教えてください。
最終更新日: 2020 年 12 月 8 日
MySQL または MariaDB を実行している Amazon Relational Database Service (Amazon RDS) DB インスタンスのコンプライアンス要件を満たすために、データベースのアクティビティを監査したいです。次に、DB ログを Amazon CloudWatch に公開したいです。これを行うにはどうすればよいですか?
簡単な説明
MariaDB 監査プラグインを使用して、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャすることができます。まず、MariaDB 監査プラグインを有効にして設定し、DB インスタンスをカスタムオプショングループに関連付けます。次に、ログを CloudWatch に公開できます。
Amazon Aurora for MySQL を使用している場合は、「Amazon Aurora MySQL DB クラスターの高度な監査を有効にしてから、そのログを CloudWatch に公開する方法を教えてください」 を参照してください。
解決方法
注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、最新の AWS CLI バージョンを使用していることを確認してください。
Amazon RDS は、MySQL と MariaDB の次のバージョンで監査プラグインのオプション設定をサポートしています。
- MySQL 5.6 の全バージョン
- MySQL 5.7.16 と 5.7 以降のバージョン
- MariaDB 10.0.24 以降のバージョン
カスタムオプショングループで MariaDB 監査プラグインを有効にする
- カスタムオプショングループを作成するか、既存のカスタムオプショングループを変更します。
- オプショングループに MariaDB 監査プラグインオプションを追加して、オプション設定を構成します。
- オプショングループを DB インスタンスに適用します。
新しい DB インスタンスにオプションを適用するには、DB インスタンスを起動したときに新しく作成されたオプショングループを使用するようにインスタンスを設定します。既存の DB インスタンスにオプションを適用するには、DB インスタンスを変更して新しいオプショングループをアタッチします。詳細については、「MySQL データベースエンジンを実行している DB インスタンスを変更する」や「MariaDB データベースエンジンを実行している DB インスタンスを変更する」を参照してください。
MariaDB 監査プラグインを使用して DB インスタンスを設定した後は、DB インスタンスを再起動する必要はありません。オプショングループがアクティブになると、監査がただちに開始されます。
注: Amazon RDS は、MariaDB 監査プラグインでのログ記録の無効化をサポートしていません。監査ログを無効にするには、関連付けられているオプショングループからプラグインを削除します。これにより、インスタンスが自動的に再起動します。レコード内のクエリ文字列の長さを制限するには、SERVER_AUDIT_QUERY_LOG_LIMIT オプションを使用します。
CloudWatch へ監査ログを公開する
- Amazon RDS コンソールを開きます。
- ナビゲーションペインから [データベース] を選択します。
- ログデータを CloudWatch にエクスポートするために使用する DB インスタンスを選択します。
- [変更] を選択します。
- [ログのエクスポート] セクションから、[監査ログ] を選択します。
- [続行] を選択します。
- [変更のサマリー] を確認して、[インスタンスの変更] を選択します。
AWS CLI を使用して、次のようなコマンドを実行して CloudWatch ログのエクスポートを有効にすることもできます。
aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'
監査ログを有効にしてインスタンスを変更してログをエクスポートすると、監査ログに記録されたイベントが CloudWatch に送信されます。その後、CloudWatch のログイベントを監視できます。
関連情報
MariaDB 監査プラグインについての MariaDB ドキュメント