Abilitazione dell'audit avanzato Visualizzazione dei log di audit Dettagli dei log di audit

Utilizzo del controllo avanzato con un cluster Amazon Aurora My DB SQL

Puoi utilizzare la funzionalità Advanced Auditing ad alte prestazioni di Amazon Aurora SQL My per controllare l'attività del database. A questo proposito, devi abilitare la raccolta dei registri di controllo impostando vari parametri del cluster di database. Quando l'audit avanzato è abilitato, puoi utilizzarlo per registrare qualsiasi combinazione di eventi supportati.

Puoi visualizzare o scaricare i registri di verifica per esaminare le informazioni di verifica per un'istanza database alla volta. Per farlo, puoi utilizzare le procedure in Monitoraggio dei file di log di Aurora.

Suggerimento

Per un cluster Aurora DB contenente più istanze database, potrebbe essere più conveniente esaminare i registri di verifica per tutte le istanze del cluster. A tale scopo, puoi utilizzare Logs. CloudWatch È possibile attivare un'impostazione a livello di cluster per pubblicare i dati del registro di SQL controllo Aurora My su un gruppo di log in. CloudWatch È quindi possibile visualizzare, filtrare e cercare i log di controllo tramite l' CloudWatch interfaccia. Per ulteriori informazioni, consulta Pubblicazione dei log MySQL di Amazon Aurora su Amazon Logs CloudWatch .

Abilitazione dell'audit avanzato

Utilizza i parametri descritti in questa sezione per abilitare e configurare l'audit avanzato per il cluster di database.

Utilizza il parametro server_audit_logging per abilitare o disabilitare Advanced Auditing.

Utilizza il parametro server_audit_events per specificare quali eventi registrare.

Utilizzare i parametri server_audit_incl_users e server_audit_excl_users per specificare chi deve essere controllato. Per impostazione predefinita, vengono verificati tutti gli utenti. Per informazioni dettagliate su come funzionano questi parametri quando uno o entrambi sono lasciati vuoti o gli stessi nomi utente sono specificati in entrambi, consulta server_audit_incl_users e server_audit_excl_users.

Configura l'audit avanzato impostando questi parametri nel gruppo di parametri utilizzato dal tuo cluster di database. È possibile utilizzare la procedura mostrata in Modifica dei parametri in un gruppo di parametri DB in per modificare i parametri del cluster DB utilizzando il AWS Management Console. Puoi usare il modify-db-cluster-parameter-group AWS CLI comando o l'RDSAPIoperazione M odifyDBCluster ParameterGroup Amazon per modificare i parametri del cluster DB a livello di codice.

La modifica di questi parametri non richiede un riavvio del cluster database quando il gruppo di parametri è già associato al cluster. Quando associ il gruppo di parametri al cluster per la prima volta, devi riavviare il cluster.

server_audit_logging

Abilita o disabilita l'audit avanzato. Il valore predefinito di questo parametro èOFF; impostalo su ON per abilitare Advanced Auditing.

Nessun dato di verifica viene visualizzato nei registri a meno che non si definiscano anche uno o più tipi di eventi da sottoporre a verifica utilizzando il parametro server_audit_events.

Per confermare che i dati di audit siano registrati per un'istanza database, verifica che alcuni file di log per quell'istanza abbiano i nomi del modulo audit/audit.log.other_identifying_information. Per visualizzare i nomi dei file di log, segui la procedura descritta in Visualizzazione ed elenco dei file di log del database.

server_audit_events

Contiene un elenco di eventi delimitati da virgola da registrare. Gli eventi devono essere in maiuscolo e non devono esserci spazi bianchi tra gli elementi dell'elenco (ad esempio,: CONNECT,QUERY_DDL. L'impostazione predefinita di questo parametro è una stringa vuota.

Puoi registrare qualsiasi combinazione dei seguenti eventi:

CONNECT— Registra sia le connessioni riuscite che quelle non riuscite e anche le disconnessioni. Questo evento include informazioni sull'utente.
QUERY— Registra tutte le interrogazioni in formato testo semplice, incluse quelle che hanno esito negativo a causa di errori di sintassi o di autorizzazione.

Suggerimento
Con questo tipo di evento attivato, i dati di verifica includono informazioni sul monitoraggio continuo e sul controllo dell’integrità eseguiti automaticamente da Aurora. Se sei interessato solo a particolari tipi di operazioni, puoi utilizzare i tipi di eventi più specifici. È inoltre possibile utilizzare l' CloudWatchinterfaccia per cercare nei log gli eventi relativi a database, tabelle o utenti specifici.
QUERY_ DCL — Simile all'QUERYevento, ma restituisce solo le interrogazioni del linguaggio di controllo dei dati (GRANTREVOKE, e così viaDCL).
QUERY_ DDL — Simile all'QUERYevento, ma restituisce solo le query del linguaggio di definizione dei dati (DDL) (CREATEALTER, e così via).
QUERY_ DML — Simile all'QUERYevento, ma restituisce solo le interrogazioni del linguaggio di manipolazione dei dati (DML) (INSERTUPDATE, e così via e anche). SELECT
TABLE— Registra le tabelle interessate dall'esecuzione delle query.

Nota

In Aurora non esiste alcun filtro che escluda determinate query dai log di controllo. Per escludere le SELECT interrogazioni, è necessario escludere tutte le istruzioni. DML

Se un determinato utente riporta queste SELECT interrogazioni interne nei log di controllo, puoi escluderlo impostando il parametro del cluster DB server_audit_excl_users. Tuttavia, se quell'utente viene utilizzato anche in altre attività e non può essere omesso, non esiste altra opzione per escludere le query. SELECT

server_audit_incl_users

Contiene l'elenco di nomi utente delimitati da virgole per gli utenti la cui attività è registrata. Non ci devono essere spazi bianchi tra gli elementi dell'elenco. Ad esempio: user_3,user_4. L'impostazione predefinita di questo parametro è una stringa vuota. La lunghezza massima è 1024 caratteri. I nomi utente specificati devono corrispondere ai valori nella colonna User della tabella mysql.user. Per ulteriori informazioni sui nomi utente, consulta Nomi utente e password degli account nella documentazione personale. SQL

Se server_audit_incl_users e server_audit_excl_users sono vuoti (impostazione predefinita), l'audit riguarderà tutti gli utenti.

Se aggiungi utenti a server_audit_incl_users e lasci vuoto server_audit_excl_users, saranno controllati solo quegli utenti.

Se aggiungi utenti a server_audit_excl_users e lasci vuoto server_audit_incl_users, saranno controllati tutti gli utenti, eccetto quelli elencati in server_audit_excl_users.

Se aggiungi gli stessi utenti a server_audit_excl_users e server_audit_incl_users, quegli utenti saranno controllati. Quando lo stesso utente è elencato in entrambe le impostazioni, a server_audit_incl_usersviene data una priorità maggiore.

Gli eventi di connessione e disconnessione non sono interessati da questa variabile; sono sempre registrati se specificato. Un utente è registrato anche se è specificato nel parametro server_audit_excl_users, perché server_audit_incl_users ha una priorità maggiore.

server_audit_excl_users

Contiene l'elenco di nomi utente delimitati da virgole per gli utenti la cui attività non è registrata. Non ci devono essere spazi bianchi tra gli elementi dell'elenco. Ad esempio: rdsadmin,user_1,user_2. L'impostazione predefinita di questo parametro è una stringa vuota. La lunghezza massima è 1024 caratteri. I nomi utente specificati devono corrispondere ai valori nella colonna User della tabella mysql.user. Per ulteriori informazioni sui nomi utente, consulta Nomi utente e password degli account nella documentazione personaleSQL.

Se server_audit_incl_users e server_audit_excl_users sono vuoti (impostazione predefinita), l'audit riguarderà tutti gli utenti.

Se aggiungi utenti a server_audit_excl_users e lasci vuoto server_audit_incl_users, solo quegli utenti elencati in server_audit_excl_users non saranno controllati, mentre tutti gli altri lo saranno.

Gli eventi di connessione e disconnessione non sono interessati da questa variabile; sono sempre registrati se specificato. Un utente è registrato se è anche specificato nel parametro server_audit_incl_users, in quanto tale impostazione è prioritaria rispetto a server_audit_excl_users.

Visualizzazione dei log di audit

Puoi visualizzare e scaricare i log di audit utilizzando la console. Nella pagina Databases (Database), scegliere l’istanza database per visualizzarne i dettagli, quindi scorrere verso la sezione Logs (Log). I registri di verifica prodotti dalla caratteristica Advanced Auditing hanno i nomi del modulo audit/audit.log.other_identifying_information.

Per scaricare un file di log, selezionare il file nella sezione Logs (Log), quindi scegliere Download (Scarica).

È inoltre possibile ottenere un elenco dei file di registro utilizzando il describe-db-log-files AWS CLI comando. È possibile scaricare il contenuto di un file di registro utilizzando la porzione download-db-log-file- AWS CLI comando. Per ulteriori informazioni, consulta Visualizzazione ed elenco dei file di log del database e Download di un file di log di database.

Dettagli dei log di audit

I file di registro sono rappresentati come file di variabili (CSV) separati da virgole in UTF formato -8. Le query sono inoltre racchiuse tra virgolette singole (').

Il registro di controllo viene archiviato separatamente nella memoria locale di ogni istanza Aurora My SQL DB. Ogni istanza distribuisce le scritture su quattro file di log alla volta. La dimensione massima di un file di registro è 100 MB. Quando viene raggiunto questo limite non configurabile, Aurora ruota il file e genera un nuovo file.

Suggerimento

Le voci dei log non sono in ordine sequenziale. Per ordinare le voci, utilizza il valore del timestamp. Per visualizzare gli ultimi eventi, potrebbe essere necessario esaminare tutti i file di log. Per una maggiore flessibilità nell'ordinamento e nella ricerca dei dati di registro, attiva l'impostazione per caricare i registri di controllo CloudWatch e visualizzarli utilizzando l'interfaccia. CloudWatch

Per visualizzare i dati di controllo con più tipi di campi e con output in JSON formato, puoi anche utilizzare la funzione Database Activity Streams. Per ulteriori informazioni, consulta Monitoraggio di Amazon Aurora tramite i flussi di attività del database.

I file dei log di audit includono le seguenti informazioni delimitate da virgola, in righe, nell'ordine specificato:

Campo	Descrizione
timestamp	Il timestamp Unix per l'evento registrato con una precisione al microsecondo.
serverhost	Il nome dell'istanza per cui l'evento viene registrato.
username	Il nome utente connesso dell'utente.
host	L'host da cui l'utente ha effettuato la connessione.
connectionid	Il numero di ID di connessione per l'operazione registrata.
queryid	Il numero di ID di query che può essere utilizzato per trovare gli eventi di tabella relazionale e le query correlate. Per gli eventi `TABLE`, vengono aggiunte più righe.
operation	Il tipo di operazione registrata. I valori possibili sono `CONNECT`, `QUERY`, `READ`, `WRITE`, `CREATE`, `ALTER`, `RENAME` e `DROP`.
database	Il database attivo, come impostato dal comando `USE`.
oggetto	Per gli eventi `QUERY`, questo valore indica la query eseguita dal database. Per gli eventi `TABLE`, indica il nome di tabella.
retcode	Il codice restituito dell'operazione di registrazione.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SQLcostrutti per interrogazioni parallele

Replica con Aurora MySQL