Amazon RDS MySQL 또는 MariaDB 인스턴스에 대해 감사 로깅을 활성화하고 CloudWatch에 로그를 게시하려면 어떻게 해야 하나요?

최종 업데이트 날짜: 2020년 12월 8일

MySQL 또는 MariaDB를 실행하는 Amazon Relational Database Service(Amazon RDS) DB 인스턴스에 대한 규정 준수 요구 사항을 충족하기 위해 데이터베이스 활동에 대한 감사를 수행하려고 합니다. 그런 다음 DB 로그를 Amazon CloudWatch에 게시하려고 합니다. 어떻게 해야 하나요?

간략한 설명

MariaDB 감사 플러그인을 사용하여 이벤트(예: 연결, 연결 해제, 쿼리 또는 쿼리된 테이블)를 캡처할 수 있습니다. 먼저, MariaDB 감사 플러그인을 활성화 및 구성하고 DB 인스턴스를 사용자 지정 옵션 그룹에 연결합니다. 그런 다음 CloudWatch에 로그를 게시할 수 있습니다.

Amazon Aurora for MySQL을 사용하는 경우 Amazon Aurora MySQL DB 클러스터에 대해 고급 감사를 활성화하고 CloudWatch에 로그를 게시하려면 어떻게 해야 합니까?를 참조하세요.

해결 방법

참고: AWS 명령줄 인터페이스(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.

Amazon RDS는 다음과 같은 버전의 MySQL 및 MariaDB에서 감사 플러그인 옵션 설정을 지원합니다.

  • 모든 MySQL 5.6 버전
  • MySQL 5.7.16 이상 5.7 버전
  • MariaDB 10.0.24 이상 버전

사용자 지정 옵션 그룹에서 MariaDB 감사 플러그인 활성화

  1. 사용자 지정 옵션 그룹을 생성하거나 기존의 사용자 지정 옵션 그룹을 수정합니다.
  2. MariaDB 감사 플러그인 옵션을 옵션 그룹에 추가하고 옵션 설정을 구성합니다.
  3. 옵션 그룹을 DB 인스턴스에 적용합니다.

새 DB 인스턴스에 옵션을 적용하려면 DB 인스턴스를 시작할 때 새로 생성된 옵션 그룹을 사용하도록 인스턴스를 구성합니다. 기존 DB 인스턴스에 옵션을 적용하려면 DB 인스턴스를 수정하고 새 옵션 그룹을 연결합니다. 자세한 내용은 MySQL 데이터베이스 엔진을 실행 중인 DB 인스턴스 수정 또는 MariaDB 데이터베이스 엔진을 실행 중인 DB 인스턴스 수정을 참조하세요.

MariaDB 감사 플러그인을 사용하여 DB 인스턴스를 구성한 후 DB 인스턴스를 재부팅할 필요가 없습니다. 옵션 그룹이 활성화되는 즉시 감사가 시작됩니다.

참고: Amazon RDS는 MariaDB 감사 플러그인의 로깅 해제를 지원하지 않습니다. 감사 로깅을 비활성화하려면 연결된 옵션 그룹에서 플러그인을 제거하십시오. 그러면 인스턴스가 자동으로 다시 시작됩니다. 레코드에서 쿼리 문자열의 길이를 제한하려면 SERVER_AUDIT_QUERY_LOG_LIMIT 옵션을 사용합니다.

CloudWatch에 감사 로그 게시

  1. Amazon RDS 콘솔을 엽니다.
  2. 탐색 창에서 [데이터베이스(Databases)]를 선택합니다.
  3. 로그 데이터를 CloudWatch로 내보낼 때 사용할 DB 인스턴스를 선택합니다.
  4. [수정(Modify)]을 선택합니다.
  5. [로그 내보내기(Log exports)] 섹션에서 [감사 로그(Audit log)]를 선택합니다.
  6. [계속(Continue)]을 선택합니다.
  7. [수정 요약(Summary of modifications)]을 검토하고 [인스턴스 수정(Modify instance)]을 선택합니다.

AWS CLI에서 다음과 유사한 명령을 실행하여 CloudWatch 로그 내보내기를 활성화할 수도 있습니다.

aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

감사 로깅을 활성화하고 로그를 내보내도록 인스턴스를 수정한 후에는 감사 로그에 기록된 이벤트가 CloudWatch로 전송됩니다. 그런 다음에는 CloudWatch에서 로그 이벤트를 모니터링할 수 있습니다. 


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요합니까?