Memantau Amazon RDS dengan Aliran Aktivitas Basis Data - Layanan Basis Data Relasional Amazon
Ikhtisar

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memantau Amazon RDS dengan Aliran Aktivitas Basis Data

Dengan menggunakan Aliran Aktivitas Basis Data, Anda dapat memantau aliran aktivitas basis data secara waktu nyaris nyata.

Topik

Ikhtisar Aliran Aktivitas Basis Data

Sebagai seorang administrator basis data Amazon RDS, Anda perlu melindungi basis data Anda dan memenuhi persyaratan kepatuhan dan peraturan. Satu strateginya adalah mengintegrasikan aliran aktivitas basis data dengan alat pemantauan. Dengan cara ini, Anda memantau dan menyetel alarm untuk aktivitas audit di database cluster Anda.

Ancaman keamanan bersifat eksternal dan internal. Untuk melindungi terhadap ancaman internal, Anda dapat mengendalikan akses administrator ke aliran data dengan mengonfigurasikan fitur Aliran Aktivitas Basis Data. Amazon RDS DBAs tidak memiliki akses ke pengumpulan, transmisi, penyimpanan, dan pemrosesan aliran.

Cara kerja aliran aktivitas basis data

Amazon RDS Anda mendorong aktivitas ke aliran data Amazon Kinesis dalam waktu nyaris nyata. Aliran Kinesis dibuat secara otomatis. Dari Kinesis, Anda dapat mengonfigurasi AWS layanan seperti Amazon Data Firehose dan AWS Lambda menggunakan aliran dan menyimpan data.

penting

Penggunaan fitur aliran aktivitas basis data di Amazon Aurora adalah gratis, tetapi Amazon Kinesis mengenakan biaya untuk aliran data. Lihat informasi yang lebih lengkap di struktur harga Amazon Kinesis Data Streams.

Anda dapat mengonfigurasikan aplikasi untuk pengelolaan kepatuhan agar menggunakan aliran aktivitas basis data. Aplikasi-aplikasi ini dapat menggunakan aliran untuk menghasilkan peringatan dan aktivitas audit pada basis data.

Amazon RDS mendukung aliran aktivitas basis data dalam deployment multi-AZ. Dalam hal ini, aliran aktivitas basis data mengaudit baik instans utama maupun instans siaga.

Pengauditan di Oracle Database dan Microsoft SQL Server Database

Pengauditan adalah pemantauan dan pencatatan tindakan basis data yang dikonfigurasikan. Amazon RDS tidak menangkap aktivitas basis data secara default. Anda membuat dan mengelola sendiri kebijakan audit di basis data Anda.

Pengauditan terpadu di Oracle Database

Di sebuah basis data Oracle, kebijakan audit terpadu adalah grup setelan audit bernama yang dapat Anda gunakan untuk mengaudit sebuah aspek perilaku pengguna. Kebijakan dapat sesederhana mengaudit aktivitas seorang pengguna. Anda juga dapat membuat kebijakan audit yang rumit yang bersyarat.

Basis data Oracle menulis catatan audit, yang meliputi catatan audit SYS, ke Jejak audit terpadu. Misalnya, jika terjadi kesalahan selama pernyataan INSERT, pengauditan standar menunjukkan nomor kesalahan dan SQL yang dijalankan. Jejak audit berada dalam sebuah tabel hanya baca dalam skema AUDSYS. Untuk mengakses catatan ini, lakukan kueri tampilan kamus data UNIFIED_AUDIT_TRAIL.

Biasanya, Anda mengonfigurasikan aliran aktivitas basis data sebagai berikut:

  1. Buat kebijakan audit Oracle Database dengan menggunakan perintah CREATE AUDIT POLICY.

    Oracle Database menghasilkan catatan audit.

  2. Aktifkan kebijakan audit dengan menggunakan perintah AUDIT POLICY.

  3. Konfigurasikan aliran aktivitas basis data.

    Hanya aktivitas yang sesuai dengan kebijakan audit Oracle Database yang ditangkap dan dikirim ke aliran data Amazon Kinesis. Ketika aliran aktivitas basis data diaktifkan, administrator basis data Oracle tidak dapat mengubah kebijakan audit atau menghapus log audit.

Untuk mempelajari lebih lanjut kebijakan audit terpadu, lihat About Auditing Activities with Unified Audit Policies and AUDIT dalam Panduan Keamanan Oracle Database.

Pengauditan di Microsoft SQL Server

Database Activity Stream menggunakan SQLAudit fitur untuk mengaudit database SQL Server.

Instans RDS for SQL Server berisi unsur-unsur berikut:

  • Audit server – Audit server SQL mengumpulkan satu peristiwa tindakan tingkat server atau basis data, dan sekelompok tindakan untuk dipantau. Audit-audit tingkat server RDS_DAS_AUDIT dan RDS_DAS_AUDIT_CHANGES dikelola oleh RDS.

  • Spesifikasi audit server – Spesifikasi audit server mencatat peristiwa tingkat server. Anda dapat mengubah spesifikasi RDS_DAS_SERVER_AUDIT_SPEC. Spesifikasi ini terkait dengan audit serverRDS_DAS_AUDIT. Spesifikasi RDS_DAS_CHANGES_AUDIT_SPEC dikelola oleh RDS.

  • Spesifikasi audit basis data – Spesifikasi audit basis data mencatat peristiwa tingkat basis data. Anda dapat membuat spesifikasi audit basis data RDS_DAS_DB_<name> dan menautkannya dengan audit server RDS_DAS_AUDIT.

Anda dapat mengonfigurasikan aliran aktivitas basis data dengan menggunakan konsol atau CLI. Biasanya, Anda mengonfigurasikan aliran aktivitas basis data sebagai berikut:

  1. (Opsional) Buat spesifikasi audit basis data dengan perintah CREATE DATABASE AUDIT SPECIFICATION dan tautkan dengan audit server RDS_DAS_AUDIT.

  2. (Opsional) Ubah spesifikasi audit server dengan perintah ALTER SERVER AUDIT SPECIFICATION dan tentukan kebijakan.

  3. Aktifkan kebijakan audit basis data dan server. Misalnya:

    ALTER DATABASE AUDIT SPECIFICATION [<Your database specification>] WITH (STATE=ON)

    ALTER SERVER AUDIT SPECIFICATION [RDS_DAS_SERVER_AUDIT_SPEC] WITH (STATE=ON)

  4. Konfigurasikan aliran aktivitas basis data.

    Hanya aktivitas-aktivitas yang sesuai dengan kebijakan audit server dan basis data yang ditangkap dan dikirim ke aliran data Amazon Kinesis. Ketika aliran aktivitas basis data diaktifkan dan kebijakan dikunci, administrator basis data tidak dapat mengubah kebijakan audit atau menghapus log audit.

    penting

    Jika spesifikasi audit basis data untuk basis data tertentu diaktifkan dan kebijakan dalam keadaan terkunci, maka basis data tidak dapat didrop.

Lihat informasi yang lebih lengkap tentang audit SQL Server di SQL Server Audit Components dalam dokumentasi Microsoft SQL Server.

Bidang-bidang audit non-asli untuk Oracle Database dan SQL Server

Ketika Anda memulai aliran aktivitas basis data, setiap peristiwa basis data menghasilkan peristiwa aliran aktivitas yang terkait. Misalnya, pengguna basis data dapat menjalankan pernyataan-pernyataan SELECT dan INSERT. Basis data mengaudit kedua peristiwa ini dan mengirimkannya ke aliran data Amazon Kinesis.

Peristiwa-peristiwa disajikan dalam aliran sebagai objek JSON. Sebuah objek JSON berisi DatabaseActivityMonitoringRecord, yang berisi array databaseActivityEventList. Bidang-bidang yang telah ditetapkan dalam array mencakup class, clientApplication, dancommand.

Secara default, aliran aktivitas tidak mencakup bidang-bidang audit asli mesin. Anda dapat mengonfigurasikan Amazon RDS for Oracle dan SQL Server agar menyertakan bidang-bidang tambahan ini di dalam objek JSON engineNativeAuditFields.

Di Oracle Database, sebagian besar peristiwa dalam jejak audit terpadu memeta ke bidang-bidang dalam aliran aktivitas data RDS. Misalnya, bidang UNIFIED_AUDIT_TRAIL.SQL_TEXT dalam pengauditan terpadu memeta ke bidang commandText dalam aliran aktivitas basis data. Namun, bidang-bidang audit Oracle Database seperti OS_USERNAME tidak memeta ke bidang-bidang yang telah ditentukan dalam aliran aktivitas basis data.

Di SQL Server, sebagian besar bidang acara yang direkam oleh SQLAudit peta ke bidang dalam aliran aktivitas database RDS. Misalnya, bidang code dari sys.fn_get_audit_file dalam audit memeta ke bidang commandText dalam aliran aktivitas basis data. Namun, bidang-bidang audit basis data SQL Server seperti permission_bitmask tidak memeta ke bidang-bidang yang telah ditentukan dalam aliran aktivitas basis data.

Untuk informasi selengkapnya tentang databaseActivityEvent Daftar, lihatdatabaseActivityEventDaftar array JSON untuk aliran aktivitas database.

Penindasan grup parameter basis data

Biasanya, Anda mengaktifkan pengauditan terpadu di RDS for Oracle dengan melampirkan grup parameter. Namun, Aliran Aktivitas Basis Data memerlukan konfigurasi tambahan. Untuk meningkatkan pengalaman pelanggan Anda, Amazon RDS melakukan hal-hal berikut:

  • Jika Anda mengaktifkan aliran aktivitas, RDS for Oracle mengabaikan parameter-parameter pengauditan dalam grup parameter.

  • Jika Anda menonaktifkan aliran aktivitas, RDS for Oracle berhenti mengabaikan parameter-parameter pengauditan.

Aliran aktivitas basis data untuk SQL Server benar-benar independen terhadap parameter-parameter yang Anda tetapkan dalam opsi SQLAudit.

Mode asinkron untuk aliran aktivitas basis data

Aliran aktivitas di Amazon RDS selalu asinkron. Ketika sesi basis data menghasilkan peristiwa aliran aktivitas, sesi akan kembali dengan seketika ke aktivitas normal. Di latar belakang, Amazon RDS menjadikan peristiwa aliran aktivitas sebuah catatan yang durabel.

Jika kesalahan terjadi dalam tugas latar belakang, Amazon RDS akan menghasilkan peristiwa. Peristiwa ini menunjukkan awal dan akhir segala jendela waktu ketika catatan peristiwa aliran aktivitas mungkin telah hilang. Mode asinkron lebih memprioritaskan performa basis data daripada akurasi aliran aktivitas.

Persyaratan dan batasan untuk aliran aktivitas basis data

Dalam RDS, aliran aktivitas basis data memiliki persyaratan dan batasan berikut:

  • Amazon Kinesis diharuskan untuk aliran aktivitas basis data.

  • AWS Key Management Service (AWS KMS) diperlukan untuk aliran aktivitas database karena selalu dienkripsi.

  • Menerapkan enkripsi tambahan ke aliran data Amazon Kinesis Anda tidak kompatibel dengan aliran aktivitas database, yang sudah dienkripsi dengan kunci Anda. AWS KMS

  • Anda membuat dan mengelola sendiri kebijakan audit. Berbeda dengan Amazon Aurora, RDS for Oracle tidak menangkap aktivitas basis data secara default.

  • Anda membuat dan mengelola sendiri kebijakan atau spesifikasi audit. Berbeda dengan Amazon Aurora, Amazon RDS tidak menangkap aktivitas basis data secara default.

  • Dalam deployment Multi-AZ, mulai aliran aktivitas basis data hanya pada instans basis data utama. Aliran aktivitas mengaudit secara otomatis baik instans basis data utama maupun instans basis data siaga. Tidak ada langkah tambahan yang diperlukan selama failover.

  • Mengganti nama instans basis data tidak membuat aliran Kinesis baru.

  • CDBs tidak didukung untuk RDS untuk Oracle.

  • Replika baca tidak didukung.

Wilayah dan ketersediaan versi

Ketersediaan dan dukungan fitur bervariasi di antara versi-versi spesifik setiap mesin basis data, dan di antara Wilayah AWS. Lihat informasi yang lebih lengkap tentang ketersediaan versi dan Wilayah dengan aliran aktivitas basis data di Daerah yang Didukung dan engine DB untuk aliran aktivitas database di Amazon RDS.

Kelas-kelas instans basis data yang didukung untuk aliran aktivitas basis data

Untuk RDS for Oracle, Anda dapat menggunakan aliran aktivitas basis data dengan kelas-kelas instans basis data berikut:

  • db.m4.*large

  • db.m5.*large

  • db.m5d.*large

  • db.m6i.*large

  • db.r4.*large

  • db.r5.*large

  • db.r5.*large.tpc*.mem*x

  • db.r5b.*large

  • db.r5b.*large.tpc*.mem*x

  • db.r5d.*large

  • db.r6i.*large

  • db.r6i. * besar.tpc*.mem*x

  • db.x2idn.*large

  • db.x2iedn.*large

  • db.x2iezn.*large

  • db.z1d.*large

Untuk RDS for SQL Server, Anda dapat menggunakan aliran aktivitas basis data dengan kelas-kelas instans basis data berikut:

  • db.m4.*large

  • db.m5.*large

  • db.m5d.*large

  • db.m6i.*large

  • db.r4.*large

  • db.r5.*large

  • db.r5b.*large

  • db.r5d.*large

  • db.r6i.*large

  • db.x1e.*large

  • db.x2iedn.*large

  • db.z1d.*large

Lihat informasi yang lebih lengkap tentang jenis-jenis kelas instans di DB.