Amazon RDS for SQL Server DB インスタンスの監査 - AWS 規範ガイダンス
前提条件サポートバージョンC2 監査モードの使用監査の作成と表示モニタリング

Amazon RDS for SQL Server DB インスタンスの監査

このセクションでは、Amazon RDS 上の SQL Server の監査オプション (監査の作成、監査ログの表示、結果のモニタリングなど) について説明します。

前提条件

サポートバージョン

  • Amazon RDS for SQL Server 2014 では、すべてのエディションでサーバーレベルの監査がサポートされています。Enterprise Edition では、データベースレベルの監査もサポートされています。

  • SQL サーバー 2016 (13.x) SP1 以降では、すべてのエディションでサーバーレベルとデータベースレベルの両方の監査がサポートされています。

  • Amazon RDS は現在、中東 (バーレーン) を除くすべての AWS リージョンで SQL Server Audit をサポートしています。最新情報については、Amazon RDS ドキュメントの「SQL Server Audit のサポート」を参照してください。

C2 監査モードの使用

C2 監査モードは、Amazon RDS for SQL Server DB パラメータグループのパラメータです。デフォルトでは無効となっています。パラメータ値を 1 に更新することで有効にできます。C2 監査モードを有効にすると、ユーザーログイン、ストアドプロシージャ呼び出し、オブジェクトの作成と削除などのイベントが監査されます。このモードは、すべて監査するか何も監査しないため、大量のデータが生成させる可能性があります。

重要

Microsoft は、SQL Server の将来のバージョンで C2 監査モードを削除する予定です。この機能を使用しないことをお勧めします。

監査の作成と表示

Amazon RDS for SQL Server データベースは、監査と監査仕様の作成を伴う組み込みの SQL Server 監査メカニズムを使用して監査できます。 

  • 監査ログは、S3 バケットへアクセスするための必要な権限を持つ IAM ロールを使用して、S3 バケットにアップロードされます。 

  • オプショングループを作成する際に、IAM ロール、S3 バケット、圧縮、保持期間を選択できます。最大保持期間は 35 日です。

  • オプショングループを作成し、新規または既存の Amazon RDS for SQL Server DB インスタンスにアタッチします。  監査ログは D:\rdsdbdata\SQLAudit に格納されます。 

  • SQL Server が監査ログファイルへの書き込みを完了した時点、またはファイルがサイズ制限に達した時点で、そのファイルが S3 バケットにアップロードされます。

  • 保持設定が有効になっている場合、Amazon RDS は、このファイルを保持フォルダ (D:\rdsdbdata\SQLAudit\transmitted) に移動します。監査ログファイルがアップロードされるまで、監査レコードは DB インスタンスに維持されます。 

  • 監査レコードを見つけるには、dbo.rds_fn_get_audit_file をクエリします。 

マルチ AZ インスタンスでは、データベース監査仕様オブジェクトがすべてのノードにレプリケートされます。  サーバー監査とサーバー監査の仕様はすべてのノードにレプリケートされないため、手動で作成する必要があります。

オプショングループの設定

Amazon RDS for SQL Server DB インスタンスで SQL Server 監査を実行するオプショングループを設定するには、次の手順に従います。詳細な手順については、Amazon RDS ドキュメントの「SQL Server Audit」を参照してください。

  • 新しいオプショングループを作成します。

  • オプショングループに SQLSERVER_AUDIT オプションを追加します。

  • S3 送信先の場合は、新しいバケットを作成するか、監査ログの既存のバケットを選択します。

  • IAM ロールの場合は、新しいロールを作成するか、必要なポリシーを持つ既存のロールを選択します。詳細については、IAM ドキュメントの「SQL Server Audit の IAM ロールを手動で作成する」を参照してください。

  • [追加情報] を展開し、[圧縮を有効化] を選択して、監査ログを圧縮します (推奨)。

  • DB インスタンスの監査ログを保持するには、[保有の有効化] を選択し、保持期間 (最大 35 日間) を指定します。

  • 新規または既存の Amazon RDS for SQL Server DB インスタンスに、オプショングループを適用します。

    • 新しい DB インスタンスの場合は、インスタンスを起動するときにオプショングループを適用します。

    • 既存の DB インスタンスの場合は、インスタンスを変更してから、オプショングループをアタッチします。

監査の作成

サーバー監査を作成するには、次のスクリプトを使用します。このスクリプトは、指定したファイルパスに監査ファイルを作成します。構文、引数、例については、Microsoft SQL Server のドキュメントを参照してください。エラーを回避するには、Amazon RDS ドキュメントに記載されている制限のリストを確認してください。

--Creating the server audit
 use master
 GO
 CREATE SERVER AUDIT [Audit-<<servername>>]
 TO FILE  ( FILEPATH = N'D:\rdsdbdata\SQLAudit', MAXSIZE = 2 MB, RESERVE_DISK_SPACE = OFF)
 WITH ( QUEUE_DELAY = 1000, ON_FAILURE = CONTINUE)
 GO
-- Enabling the server audit  
 ALTER SERVER AUDIT [Audit-<<servername>>] WITH (STATE = ON) ;
 GO

監査仕様の作成

サーバー監査を作成した後、次のコードを使用してサーバー監査仕様を作成することで、サーバーレベルのイベントを記録できます。この仕様によって、サーバー監査中にチェックされる内容が決まります。構文、引数、例については、Microsoft SQL Server のドキュメントを参照してください。次の仕様では、失敗したログインアクションを監査し、サーバーオブジェクトの作成、変更、削除を追跡します。アクションのリストについては、Microsoft SQL Server ドキュメントを参照してください。

--Creating server audit specification
 USE [master]
 GO
 CREATE SERVER AUDIT SPECIFICATION [Audit-Spec-<<servername>>]
 FOR SERVER AUDIT  [Audit-<<servername>>]
 ADD (FAILED_LOGIN_GROUP), ADD (SERVER_OBJECT_CHANGE_GROUP)
 GO
--Enables the audit 
 ALTER SERVER AUDIT [Audit-<<servername>>]  
 WITH (STATE = ON);  
 GO

次のコードを使用すると、データベースレベルのイベントを記録するデータベース監査仕様を作成できます。この例では、INSERT アクションを監査します。構文、引数、その他の例については、Microsoft SQL Server のドキュメントを参照してください。

--Creating database audit specification
 USE [<<DBName>>]
 GO
 
 CREATE DATABASE AUDIT SPECIFICATION [DatabaseAuditSpecification-<<DBName>>]
 FOR SERVER AUDIT [Audit-<<ServerName>>]
 ADD (INSERT ON DATABASE::[<<DBName>>] BY [dbo])
 WITH (STATE = ON)
 GO

監査ログの表示

次のクエリを使用して、監査ログを確認できます。監査ログは、Amazon S3 にアップロードされるまで DB インスタンスに保持されます。SQLSERVER_AUDIT オプションの保持を有効にすると、Amazon RDS はファイルを保持用フォルダ (D:\rdsdbdata\SQLAudit\transmitted) に移動します。

また、保持用フォルダの監査レコードを表示するには、フィルタを D:\rdsdbdata\SQLAudit\transmitted\*.sqlaudit に変更します。

--Viewing audit logs
SELECT   * 
	FROM     msdb.dbo.rds_fn_get_audit_file
	             ('D:\rdsdbdata\SQLAudit\*.sqlaudit'
	             , default
	             , default )
--Viewing audit logs in retention folder
SELECT   * 
	FROM     msdb.dbo.rds_fn_get_audit_file
	             ('D:\rdsdbdata\SQLAudit\transmitted\*.sqlaudit'
	             , default
	             , default )

SQL Server データベースを監査するための追加オプションについては、以下の AWS および Microsoft のドキュメントで説明されています。

モニタリング

RDS のデータベースアクティビティストリームを使用すると、SQL Server Audit イベントを Imperva、McAfee、IBM のデータベースアクティビティ監視ツールと統合できます。詳細については、Amazon RDS ドキュメントの「Microsoft SQL Server の監査」を参照してください。