Amazon RDS for MySQL 또는 MariaDB 인스턴스에 대한 감사 로깅을 활성화하고 CloudWatch에 로그를 게시하려면 어떻게 해야 합니까?

간략한 설명

MariaDB 감사 플러그인을 사용하여 연결, 연결 해제, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처하려면 다음을 수행해야 합니다.

• MariaDB 감사 플러그인을 추가 및 구성하고 DB 인스턴스를 사용자 지정 옵션 그룹에 연결합니다.
• CloudWatch에 로그를 게시합니다.

Amazon Aurora MySQL 호환 버전을 사용하는 경우 Amazon Aurora MySQL DB 클러스터에 대한 감사 로깅을 활성화하고 CloudWatch에 로그를 게시하려면 어떻게 해야 하나요?를 참조하세요.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하는 경우 최신 버전의 AWS CLI를 사용하고 있는지 확인하세요.

Amazon RDS는 다음과 같은 버전의 MySQL 및 MariaDB에서 감사 플러그인 옵션 설정을 지원합니다.

• 모든 MySQL 5.7 버전
• MySQL 5.7.16 이상 5.7 버전
• MySQL 8.0.25 이상 8.0 버전
• MariaDB 10.2 이상

지원되는 버전에 대한 자세한 내용은 MariaDB 감사 플러그인 지원 및 MariaDB 데이터베이스 엔진을 위한 옵션을 참조하세요.

MariaDB 감사 플러그인을 추가 및 구성하고 DB 인스턴스를 사용자 지정 옵션 그룹에 연결

1.    사용자 지정 옵션 그룹을 생성하거나 기존의 사용자 지정 옵션 그룹을 수정합니다.

2.    MariaDB 감사 플러그인 옵션을 옵션 그룹에 추가하고 옵션 설정을 구성합니다.

3.    옵션 그룹을 DB 인스턴스에 적용합니다.

새 DB 인스턴스에 옵션을 적용하려면 DB 인스턴스를 시작할 때 새로 생성된 옵션 그룹을 사용하도록 인스턴스를 구성합니다. 기존 DB 인스턴스에 옵션을 적용하려면 DB 인스턴스를 수정하고 새 옵션 그룹을 연결합니다. 자세한 내용은 Amazon RDS DB 인스턴스 수정을 참조하세요.

MariaDB 감사 플러그인을 사용하여 DB 인스턴스를 구성한 후 DB 인스턴스를 재부팅할 필요가 없습니다. 옵션 그룹이 활성화되는 즉시 감사가 시작됩니다.

참고: Amazon RDS는 MariaDB 감사 플러그인의 로깅 해제를 지원하지 않습니다. 감사 로깅을 끄려면 연결된 옵션 그룹에서 플러그인을 제거하세요. 그러면 인스턴스가 자동으로 다시 시작됩니다. 레코드에서 쿼리 문자열의 길이를 제한하려면 SERVER_AUDIT_QUERY_LOG_LIMIT 옵션을 사용합니다.

CloudWatch에 감사 로그 게시

1.    Amazon RDS 콘솔을 엽니다.

2.    탐색 창에서 **데이터베이스(Databases)**를 선택합니다.

3.    로그 데이터를 CloudWatch로 내보낼 때 사용할 DB 인스턴스를 선택합니다.

4.    [수정]을 선택합니다.

5.    로그 내보내기(Log exports) 섹션에서 **감사 로그(Audit log)**를 선택합니다.

6.    [게속]을 선택합니다.

7.    **수정 요약(Summary of modifications)**을 검토하고 **인스턴스 수정(Modify instance)**을 선택합니다.

다음 AWS CLI 명령 구문을 사용하여 CloudWatch 로그 내보내기를 켤 수도 있습니다.

aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

감사 로깅을 켜고 로그를 내보내도록 인스턴스를 수정한 후에는 감사 로그에 기록된 이벤트가 CloudWatch로 전송됩니다. 그런 다음에는 CloudWatch에서 로그 이벤트를 모니터링할 수 있습니다.