Db2-Auditprotokollierung - Amazon Relational Database Service
Einrichtung der Db2-AuditprotokollierungVerwaltung der Db2-AuditprotokollierungAnzeigen von Audit-ProtokollenFehlerbehebung für die -Prüfungsprotokollierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Db2-Auditprotokollierung

Mit der Db2-Audit-Protokollierung zeichnet Amazon RDS Datenbankaktivitäten auf, darunter Benutzer, die sich an der Datenbank anmelden, und Abfragen, die in der Datenbank ausgeführt werden. RDS lädt die abgeschlossenen Audit-Logs mithilfe der von Ihnen angegebenen AWS Identity and Access Management (IAM) -Rolle in Ihren Amazon S3 S3-Bucket hoch.

Einrichtung der Db2-Audit-Protokollierung

Um die Audit-Protokollierung für eine Amazon RDS for Db2-Datenbank zu aktivieren, aktivieren Sie die DB2_AUDIT Option auf der RDS for Db2-DB-Instance. Konfigurieren Sie anschließend eine Überwachungsrichtlinie, um die Funktion für die jeweilige Datenbank zu aktivieren. Um die Option auf der DB-Instance RDS for Db2 zu aktivieren, konfigurieren Sie die Optionseinstellungen für die DB2_AUDIT Option. Dazu geben Sie die Amazon-Ressourcennamen (ARNs) für Ihren Amazon S3-Bucket und die IAM-Rolle mit Zugriffsberechtigungen für Ihren Bucket an.

Gehen Sie wie folgt vor, um die Db2-Auditprotokollierung für eine RDS for Db2-Datenbank einzurichten.

Schritt 1: Einen Amazon-S3-Bucket erstellen

Falls Sie dies noch nicht getan haben, erstellen Sie einen Amazon S3 S3-Bucket, in den Amazon RDS die Audit-Protokolldateien Ihrer RDS for Db2-Datenbank hochladen kann. Für den S3-Bucket, den Sie als Ziel für die Überwachungsdateien verwenden, gelten folgende Einschränkungen:

  • Er muss sich in derselben Datei AWS-Region wie Ihre RDS for Db2-DB-Instance befinden.

  • Er darf nicht öffentlich zugänglich sein.

  • Der Bucket-Eigentümer muss auch der Eigentümer der IAM-Rolle sein.

Informationen zum Erstellen eines Amazon S3 S3-Buckets finden Sie unter Erstellen eines Buckets im Amazon S3 S3-Benutzerhandbuch.

Nachdem Sie die Audit-Protokollierung aktiviert haben, sendet Amazon RDS die Protokolle automatisch von Ihrer DB-Instance an die folgenden Speicherorte:

  • Protokolle auf DB-Instance-Ebene — bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/

  • Protokolle auf Datenbankebene — bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/db_name/

Notieren Sie sich den Amazon-Ressourcennamen (ARN) für Ihren Bucket. Diese Informationen werden benötigt, um die nachfolgenden Schritte abzuschließen.

Schritt 2: Erstellen Sie eine IAM-Richtlinie

Erstellen Sie eine IAM-Richtlinie mit den erforderlichen Berechtigungen, um Audit-Protokolldateien von Ihrer DB-Instance in Ihren Amazon S3 S3-Bucket zu übertragen. Bei diesem Schritt wird davon ausgegangen, dass Sie über einen S3-Bucket verfügen.

Bevor Sie die Richtlinie erstellen, sollten Sie die folgenden Informationen sammeln:

  • Der ARN für deinen Bucket.

  • Der ARN für Ihren AWS Key Management Service (AWS KMS) -Schlüssel, wenn Ihr Bucket SSE-KMS Verschlüsselung verwendet.

Erstellen Sie eine IAM-Richtlinie, die die folgenden Berechtigungen umfasst:

"s3:ListBucket",
 "s3:GetBucketAcl",
 "s3:GetBucketLocation",
 "s3:PutObject",
 "s3:ListMultipartUploadParts",
 "s3:AbortMultipartUpload",
 "s3:ListAllMyBuckets"
Anmerkung

Amazon RDS benötigt die s3:ListAllMyBuckets Aktion intern, um zu überprüfen, ob dieselbe Person sowohl den S3-Bucket als auch die RDS for Db2-DB-Instance AWS-Konto besitzt.

Wenn Ihr Bucket SSE-KMS Verschlüsselung verwendet, geben Sie auch die folgenden Berechtigungen für Ihre IAM-Rolle und AWS KMS Ihren IAM-Schlüssel an.

Nehmen Sie die folgenden Berechtigungen in die Richtlinie für Ihre IAM-Rolle auf.

"kms:GenerateDataKey",
 "kms:Decrypt"

Nehmen Sie die folgenden Berechtigungen in die Schlüsselrichtlinie für Ihren AWS KMS Schlüssel auf. 111122223333Ersetzen Sie es durch Ihre Kontonummer und AROA123456789EXAMPLE durch Ihren IAM-Rollennamen.

{
  "Sid": "Allow RDS role to use the key",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:sts::111122223333:assumed-role/AROA123456789EXAMPLE/RDS-Db2Audit",
      "arn:aws:iam::111122223333:role/AROA123456789EXAMPLE"
    ]
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt"
  ],
  "Resource": "*"
}

Sie können eine IAM-Richtlinie erstellen, indem Sie das AWS Management Console oder das AWS Command Line Interface ()AWS CLI verwenden.

So erstellen Sie eine IAM-Richtlinie, die Amazon RDS Zugriff auf Ihren Amazon-S3-Bucket gewährt

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Wählen Sie Richtlinie erstellen und anschließend JSON aus.

  4. Filtern Sie unter Aktionen hinzufügen nach S3. Zugriff hinzufügen ListBucketGetBucketAcl, und GetBucketLocation.

  5. Wählen Sie unter Ressource hinzufügen die Option Hinzufügen aus. Wählen Sie unter Ressourcentyp die Option Bucket aus und geben Sie den Namen Ihres Buckets ein. Wählen Sie dann Ressource hinzufügen aus.

  6. Wählen Sie Neuen Kontoauszug hinzufügen aus.

  7. Filtern Sie unter Aktionen hinzufügen nach S3. Zugriff hinzufügen PutObjectListMultipartUploadParts, und AbortMultipartUpload.

  8. Wählen Sie unter Ressource hinzufügen die Option Hinzufügen aus. Wählen Sie für Ressourcentyp die Option Objekt und geben Sie einyour bucket name/*. Wählen Sie dann Ressource hinzufügen aus.

  9. Wählen Sie Neuen Kontoauszug hinzufügen aus.

  10. Filtern Sie unter Aktionen hinzufügen nach S3. Zugriff hinzufügen ListAllMyBuckets.

  11. Wählen Sie unter Ressource hinzufügen die Option Hinzufügen aus. Wählen Sie als Ressourcentyp die Option Alle Ressourcen aus. Wählen Sie dann Ressource hinzufügen aus.

  12. Wenn Sie Ihre eigenen KMS-Schlüssel zum Verschlüsseln der Daten verwenden:

    1. Wählen Sie Neue Aussage hinzufügen.

    2. Filtern Sie unter Aktionen hinzufügen nach KMS. Fügen Sie Zugriff hinzu GenerateDataKeyund Entschlüsseln.

    3. Wählen Sie unter Ressource hinzufügen die Option Hinzufügen aus. Wählen Sie als Ressourcentyp die Option Alle Ressourcen aus. Wählen Sie dann Ressource hinzufügen aus.

  13. Wählen Sie Weiter aus.

  14. Geben Sie unter Richtlinienname einen Namen für diese Richtlinie ein.

  15. (Optional) Geben Sie im Feld Description (Beschreibung) eine Beschreibung für diese Richtlinie ein.

  16. Wählen Sie Richtlinie erstellen aus.

So erstellen Sie eine IAM-Richtlinie, die Amazon RDS Zugriff auf Ihren Amazon-S3-Bucket gewährt

  1. Führen Sie den Befehl create-policy aus. Ersetzen Sie im folgenden Beispiel iam_policy_name und amzn-s3-demo-bucket durch einen Namen für Ihre IAM-Richtlinie und den Namen Ihres Amazon S3 S3-Ziel-Buckets.

    Für LinuxmacOS, oderUnix:

    aws iam create-policy \
    --policy-name iam_policy_name \
    --policy-document '{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "Statement1",
                "Effect": "Allow",
                "Action": [
                    "s3:ListBucket",
                    "s3:GetBucketAcl",
                    "s3:GetBucketLocation"
                ],
                "Resource": [
                    "arn:aws:s3:::amzn-s3-demo-bucket"
                ]
            },
            {
                "Sid": "Statement2",
                "Effect": "Allow",
                "Action": [
                    "s3:PutObject",
                    "s3:ListMultipartUploadParts",
                    "s3:AbortMultipartUpload"
                ],
                "Resource": [
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"
                ]
            },
            {
                "Sid": "Statement3",
                "Effect": "Allow",
                "Action": [
                    "s3:ListAllMyBuckets"
                ],
                "Resource": [
                    "*"
                ]
            },
            {
                "Sid": "Statement4",
                "Effect": "Allow",
                "Action": [
                    "kms:GenerateDataKey",
                    "kms:Decrypt"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
  }'

    Windows:

    aws iam create-policy ^
    --policy-name iam_policy_name ^
    --policy-document '{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "Statement1",
                "Effect": "Allow",
                "Action": [
                    "s3:ListBucket",
                    "s3:GetBucketAcl",
                    "s3:GetBucketLocation"
                ],
                "Resource": [
                    "arn:aws:s3:::amzn-s3-demo-bucket"
                ]
            },
            {
                "Sid": "Statement2",
                "Effect": "Allow",
                "Action": [
                    "s3:PutObject",
                    "s3:ListMultipartUploadParts",
                    "s3:AbortMultipartUpload"
                ],
                "Resource": [
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"
                ]
            },
            {
                "Sid": "Statement3",
                "Effect": "Allow",
                "Action": [
                    "s3:ListAllMyBuckets"
                ],
                "Resource": [
                    "*"
                ]
            },
            {
                "Sid": "Statement4",
                "Effect": "Allow",
                "Action": [
                    "kms:GenerateDataKey",
                    "kms:Decrypt"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
  }'

  2. Notieren Sie sich nach der Erstellung der Richtlinie den ARN der Richtlinie. Sie benötigen den ARN fürSchritt 3: Erstellen Sie eine IAM-Rolle und fügen Sie Ihre IAM-Richtlinie hinzu.

Informationen zum Erstellen einer IAM-Richtlinie finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch.

Schritt 3: Erstellen Sie eine IAM-Rolle und fügen Sie Ihre IAM-Richtlinie hinzu

Bei diesem Schritt wird davon ausgegangen, dass Sie die IAM-Richtlinie in erstellt haben. Schritt 2: Erstellen Sie eine IAM-Richtlinie In diesem Schritt erstellen Sie eine IAM-Rolle für Ihre RDS for Db2-DB-Instance und fügen dann Ihre IAM-Richtlinie der Rolle hinzu.

Sie können eine IAM-Rolle für Ihre DB-Instance mithilfe der Konsole oder der erstellen. AWS CLI

Um eine IAM-Rolle zu erstellen und ihr Ihre IAM-Richtlinie anzuhängen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie Create role (Rolle erstellen) aus.

  4. Wählen Sie unter Vertrauenswürdiger Entitätstyp die Option AWS-Service.

  5. Wählen Sie für Service oder Anwendungsfall RDS und dann RDS — Rolle zur Datenbank hinzufügen aus.

  6. Wählen Sie Weiter aus.

  7. Suchen Sie unter Berechtigungsrichtlinien nach dem Namen der IAM-Richtlinie, die Sie erstellt haben, und wählen Sie ihn aus.

  8. Wählen Sie Weiter aus.

  9. Geben Sie für Role name (Rollenname) einen Rollennamen ein.

  10. (Optional) Geben Sie unter Role description (Rollenbeschreibung) eine Beschreibung für die neue Rolle ein.

  11. Wählen Sie Rolle erstellen aus.

Um eine IAM-Rolle zu erstellen und ihr Ihre IAM-Richtlinie anzuhängen

  1. Führen Sie den Befehl create-role aus. Ersetzen Sie es im folgenden Beispiel iam_role_name durch einen Namen für Ihre IAM-Rolle.

    Für LinuxmacOS, oderUnix:

    aws iam create-role \
    --role-name iam_role_name \
    --assume-role-policy-document '{
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": "rds.amazonaws.com"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }'

    Windows:

    aws iam create-role ^
    --role-name iam_role_name ^
    --assume-role-policy-document '{
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": "rds.amazonaws.com"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }'

  2. Notieren Sie sich nach der Erstellung der Rolle den ARN dieser Rolle. Sie benötigen diesen ARN für den nächsten Schritt,Schritt 4: Konfigurieren Sie eine Optionsgruppe für die Db2-Auditprotokollierung.

  3. Führen Sie den Befehl attach-role-policy aus. Ersetzen Sie im folgenden Beispiel durch den iam_policy_arn ARN der IAM-Richtlinie, die Sie in Schritt 2: Erstellen Sie eine IAM-Richtlinie erstellt haben. iam_role_nameErsetzen Sie ihn durch den Namen der IAM-Rolle, die Sie gerade erstellt haben.

    Für LinuxmacOS, oderUnix:

    aws iam attach-role-policy \
   --policy-arn iam_policy_arn \
   --role-name iam_role_name

    Windows:

    aws iam attach-role-policy ^
   --policy-arn iam_policy_arn ^
   --role-name iam_role_name

Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer im IAM-Benutzerhandbuch.

Schritt 4: Konfigurieren Sie eine Optionsgruppe für die Db2-Auditprotokollierung

Das Hinzufügen der Db2-Audit-Logging-Option zu einer RDS for Db2-DB-Instance sieht wie folgt aus:

  1. Erstellen Sie eine neue Optionsgruppe oder kopieren oder ändern Sie eine bestehende Optionsgruppe.

  2. Fügen Sie alle erforderlichen Optionen hinzu und konfigurieren Sie diese.

  3. Ordnen Sie die Optionsgruppe der DB-Instance zu.

Nachdem Sie die Db2-Audit-Logging-Option hinzugefügt haben, müssen Sie Ihre DB-Instance nicht neu starten. Sobald die Optionsgruppe aktiv ist, können Sie Überwachungen erstellen und Audit-Protokolle in Ihrem S3-Bucket speichern.

Um die Db2-Auditprotokollierung in der Optionsgruppe einer DB-Instance hinzuzufügen und zu konfigurieren

  1. Wählen Sie eine der folgenden Optionen aus:

    • Verwenden einer vorhandenen Optionsgruppe.

    • Erstellen Sie eine benutzerdefinierte DB-Optionsgruppe und verwenden Sie diese Optionsgruppe. Weitere Informationen finden Sie unter Erstellen einer Optionsgruppe.

  2. Fügen Sie der Optionsgruppe die Option DB2_AUDIT hinzu und konfigurieren Sie die Optionseinstellungen. Weitere Informationen über das Hinzufügen von Optionen finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.

    • Geben Sie für IAM_ROLE_ARN den ARN der IAM-Rolle ein, in der Sie erstellt haben. Schritt 3: Erstellen Sie eine IAM-Rolle und fügen Sie Ihre IAM-Richtlinie hinzu

    • Geben Sie für S3_BUCKET_ARN den ARN des S3-Buckets ein, der für Ihre Db2-Audit-Logs verwendet werden soll. Der Bucket muss sich in derselben Region befinden wie Ihre RDS for Db2-DB-Instance. Die Richtlinie, die mit der von Ihnen eingegebenen IAM-Rolle verknüpft ist, muss die erforderlichen Operationen auf dieser Ressource zulassen.

  3. Wenden Sie die Optionsgruppe auf eine neue oder vorhandene DB-Instance an. Wählen Sie eine der folgenden Optionen aus:

    • Wenn Sie eine neue DB-Instance erstellen, weisen Sie die Optionsgruppe beim Start der Instance zu.

    • Weisen Sie bei einer bestehenden DB-Instance die Optionsgruppe zu, indem Sie die Instance ändern und die neue Optionsgruppe anhängen. Weitere Informationen finden Sie unter Ändern einer Amazon RDS DB-Instance.

Schritt 5: Konfigurieren Sie die Überwachungsrichtlinie

Um die Überwachungsrichtlinie für Ihre RDS for Db2-Datenbank zu konfigurieren, stellen Sie mithilfe des Master-Benutzernamens und des Master-Passworts für Ihre RDS for Db2-DB-Instance eine Verbindung zur rdsadmin Datenbank her. Rufen Sie dann die rdsadmin.configure_db_audit gespeicherte Prozedur mit dem DB-Namen Ihrer Datenbank und den entsprechenden Parameterwerten auf.

Im folgenden Beispiel wird eine Verbindung mit der Datenbank hergestellt und eine Überwachungsrichtlinie für die Kategorien AUDIT, testdb CHECKING, OBJMAINT, SECMAINT, SYSADMIN und VALIDATE konfiguriert. Der Statuswert BOTH protokolliert Erfolge und Fehlschläge und ist standardmäßig. ERROR TYPE NORMAL Weitere Hinweise zur Verwendung dieser gespeicherten Prozedur finden Sie unterrdsadmin.configure_db_audit.

db2 "connect to rdsadmin user master_user using master_password"
db2 "call rdsadmin.configure_db_audit('testdb', 'ALL', 'BOTH', ?)"

Schritt 6: Überprüfen Sie die Audit-Konfiguration

Um sicherzustellen, dass Ihre Audit-Richtlinie korrekt eingerichtet ist, überprüfen Sie den Status Ihrer Audit-Konfiguration.

Um die Konfiguration zu überprüfen, stellen Sie mit dem Master-Benutzernamen und dem Master-Passwort für Ihre RDS for Db2-DB-Instance eine Verbindung zur rdsadmin Datenbank her. Führen Sie dann die folgende SQL-Anweisung mit dem DB-Namen Ihrer Datenbank aus. Im folgenden Beispiel lautet der DB-Nametestdb.

db2 "select task_id, task_type, database_name, lifecycle,
    varchar(bson_to_json(task_input_params), 500) as task_params,
    cast(task_output as varchar(500)) as task_output
    from table(rdsadmin.get_task_status(null,'testdb','CONFIGURE_DB_AUDIT'))"
    
Sample Output
 
TASK_ID              TASK_TYPE            DATABASE_NAME       LIFECYCLE
-------------------- -------------------- --------------- -------------
                   2  CONFIGURE_DB_AUDIT            DB2DB       SUCCESS

... continued ...
TASK_PARAMS                                
-------------------------------------------------------- 
{ "AUDIT_CATEGORY" : "ALL", "CATEGORY_SETTING" : "BOTH" }            

... continued ...
                                        TASK_OUTPUT
---------------------------------------------------
2023-12-22T20:27:03.029Z Task execution has started.

2023-12-22T20:27:04.285Z Task execution has completed successfully.

Verwaltung der Db2-Auditprotokollierung

Nachdem Sie die Db2-Auditprotokollierung eingerichtet haben, können Sie die Überwachungsrichtlinie für eine bestimmte Datenbank ändern oder die Auditprotokollierung auf Datenbankebene oder für die gesamte DB-Instance deaktivieren. Sie können auch den Amazon S3 S3-Bucket ändern, in den Ihre Protokolldateien hochgeladen werden.

Änderung einer Db2-Audit-Richtlinie

Um die Überwachungsrichtlinie für eine bestimmte RDS for Db2-Datenbank zu ändern, führen Sie die rdsadmin.configure_db_audit gespeicherte Prozedur aus. Mit dieser gespeicherten Prozedur können Sie die Kategorien, Kategorieeinstellungen und die Fehlertypkonfiguration der Überwachungsrichtlinie ändern. Weitere Informationen finden Sie unter rdsadmin.configure_db_audit.

Ändern Sie den Speicherort Ihrer Protokolldateien

Gehen Sie wie folgt vor, um den Amazon S3 S3-Bucket zu ändern, in den Ihre Protokolldateien hochgeladen werden:

  • Ändern Sie die aktuelle Optionsgruppe, die an Ihre RDS for Db2-DB-Instance angehängt ist — Aktualisieren Sie die S3_BUCKET_ARN Einstellung für die DB2_AUDIT Option, sodass sie auf den neuen Bucket verweist. Stellen Sie außerdem sicher, dass Sie die IAM-Richtlinie aktualisieren, die der IAM-Rolle zugeordnet ist, die in der IAM_ROLE_ARN Einstellung in der angehängten Optionsgruppe angegeben ist. Diese IAM-Richtlinie muss Ihrem neuen Bucket die erforderlichen Zugriffsberechtigungen gewähren. Informationen zu den in der IAM-Richtlinie erforderlichen Berechtigungen finden Sie unter. Eine IAM-Richtlinie erstellen

  • Hängen Sie Ihre RDS for Db2-DB-Instance an eine andere Optionsgruppe an — Ändern Sie Ihre DB-Instance, um die ihr zugeordnete Optionsgruppe zu ändern. Stellen Sie sicher, dass die neue Optionsgruppe mit den richtigen S3_BUCKET_ARN IAM_ROLE_ARN AND-Einstellungen konfiguriert ist. Informationen zur Konfiguration dieser Einstellungen für die DB2_AUDIT Option finden Sie unterKonfigurieren Sie eine Optionsgruppe.

Wenn Sie die Optionsgruppe ändern, stellen Sie sicher, dass Sie die Änderungen sofort übernehmen. Weitere Informationen finden Sie unter Ändern einer Amazon RDS DB-Instance.

Deaktivieren der Db2-Auditprotokollierung

Gehen Sie wie folgt vor, um die Db2-Auditprotokollierung zu deaktivieren:

  • Deaktivieren Sie die Audit-Protokollierung für die RDS for Db2-DB-Instance — Ändern Sie Ihre DB-Instance und entfernen Sie die Optionsgruppe mit der DB2_AUDIT Option daraus. Weitere Informationen finden Sie unter Ändern einer Amazon RDS DB-Instance.

  • Deaktivieren Sie die Audit-Protokollierung für eine bestimmte Datenbank — Beenden Sie die Audit-Protokollierung und entfernen Sie die Audit-Richtlinie, indem Sie rdsadmin.disable_db_audit mit dem DB-Namen Ihrer Datenbank aufrufen. Weitere Informationen finden Sie unter rdsadmin.disable_db_audit.

    db2 "call rdsadmin.disable_db_audit(
    'db_name',
    ?)"

Anzeigen von Audit-Protokollen

Nachdem Sie die Db2-Audit-Protokollierung aktiviert haben, warten Sie mindestens eine Stunde, bevor Sie sich die Audit-Daten in Ihrem Amazon S3 S3-Bucket ansehen. Amazon RDS sendet die Protokolle automatisch von Ihrer RDS for Db2-DB-Instance an die folgenden Speicherorte:

  • Protokolle auf DB-Instance-Ebene — bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/

  • Protokolle auf Datenbankebene — bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/db_name/

Der folgende Beispiel-Screenshot der Amazon S3 S3-Konsole zeigt eine Liste von Ordnern für RDS für Protokolldateien auf DB2-DB-Instance-Ebene.

Amazon S3 S3-Konsole mit ausgewählter Registerkarte „Objekte“, die eine Liste von Ordnern für RDS für Db2-Protokolldateien auf DB-Instance-Ebene anzeigt.

Der folgende Beispiel-Screenshot der Amazon S3 S3-Konsole zeigt Protokolldateien auf Datenbankebene für die RDS for Db2-DB-Instance.

Amazon S3 S3-Konsole mit ausgewählter Registerkarte „Objekte“, in der Protokolldateien auf Datenbankebene für die RDS for Db2-DB-Instance angezeigt werden.

Fehlerbehebung bei der Db2-Audit-Protokollierung

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme mit der Db2-Auditprotokollierung zu beheben.

Die Überwachungsrichtlinie kann nicht konfiguriert werden

Wenn beim Aufrufen der gespeicherten Prozedur ein Fehler rdsadmin.configure_db_audit zurückgegeben wird, kann es sein, dass die Optionsgruppe mit der DB2_AUDIT Option nicht mit der DB-Instance RDS for Db2 verknüpft ist. Ändern Sie die DB-Instance, um die Optionsgruppe hinzuzufügen, und versuchen Sie dann erneut, die gespeicherte Prozedur aufzurufen. Weitere Informationen finden Sie unter Ändern einer Amazon RDS DB-Instance.

Keine Daten im Amazon S3 S3-Bucket

Wenn Protokolldaten im Amazon S3 S3-Bucket fehlen, überprüfen Sie Folgendes:

  • Der Amazon S3 S3-Bucket befindet sich in derselben Region wie Ihre RDS for Db2-DB-Instance.

  • Die Rolle, die Sie in der IAM_ROLE_ARN Optionseinstellung angegeben haben, ist mit den erforderlichen Berechtigungen zum Hochladen von Protokollen in Ihren Amazon S3 S3-Bucket konfiguriert. Weitere Informationen finden Sie unter Eine IAM-Richtlinie erstellen.

  • Die Einstellungen ARNs für die S3_BUCKET_ARN Optionen IAM_ROLE_ARN und sind in der Optionsgruppe, die Ihrer RDS for Db2-DB-Instance zugeordnet ist, korrekt. Weitere Informationen finden Sie unter Konfigurieren Sie eine Optionsgruppe.

Sie können den Aufgabenstatus Ihrer Audit-Logging-Konfiguration überprüfen, indem Sie eine Verbindung zur Datenbank herstellen und eine SQL-Anweisung ausführen. Weitere Informationen finden Sie unter Überprüfen Sie die Audit-Konfiguration.

Sie können auch Ereignisse überprüfen, um mehr darüber zu erfahren, warum Protokolle möglicherweise fehlen. Informationen zum Anzeigen von Ereignissen finden Sie unterProtokolle, Ereignisse und Streams in der RDS Amazon-Konsole anzeigen.