Registrar em log operações do Aurora DSQL usando a AWS CloudTrail - Amazon Aurora DSQL
Eventos de gerenciamentoEventos de dados

Registrar em log operações do Aurora DSQL usando a AWS CloudTrail

O Amazon Aurora DSQL é integrado ao AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, um perfil ou um AWS service (Serviço da AWS). Há dois tipos de evento no CloudTrail: de gerenciamento e de dados. Os eventos de gerenciamento são emitidos para auditar alterações na configuração de recursos da AWS. Os eventos de dados normalmente capturam o uso de recursos da AWS no plano de dados do serviço.

O CloudTrail captura todas as chamadas de API para o Aurora DSQL como eventos. O Aurora DSQL registra a atividade do console como eventos de gerenciamento. Ele também captura tentativas de conexão autenticadas com clusters como eventos de dados.

Usando as informações coletadas pelo CloudTrail, é possível determinar a solicitação feita para o Aurora DSQL, o endereço IP no qual a solicitação foi feita, quando ela foi feita, a identidade do usuário que a fez e detalhes adicionais.

O CloudTrail é habilitado por padrão em sua Conta da AWS quando você cria a conta e tem acesso ao Histórico de eventos do CloudTrail. O Histórico de eventos do CloudTrail fornece um registro visualizável, pesquisável, baixável e imutável dos últimos 90 dias de eventos de gerenciamento gravados em uma Região da AWS. Para obter mais informações, consulte Trabalhar com histórico de eventos do CloudTrail no Guia do usuário do AWS CloudTrail. Não há cobranças do CloudTrail pelo registro no Histórico de eventos.

Para criar um registro contínuo de eventos em sua conta da AWS, incluindo eventos para o Aurora DSQL, crie uma trilha ou um datastore de eventos do AWS CloudTrail Lake (uma solução centralizada de armazenamento e análise para eventos do AWS CloudTrail). Para ter mais informações sobre trilhas, consulte Working with CloudTrail trails. Para saber mais sobre como configurar e gerenciar datastores de eventos, consulte CloudTrail Lake event data stores.

Eventos de gerenciamento do Aurora DSQL no CloudTrail

Os eventos de gerenciamento do CloudTrail fornecem informações sobre operações de gerenciamento executadas em recursos na sua conta da AWS. Também são conhecidas como operações de ambiente de gerenciamento. Por padrão, o CloudTrail captura eventos de gerenciamento no Histórico de eventos.

O Amazon Aurora DSQL registra em log todas as operações do ambiente de gerenciamento como eventos de gerenciamento. Para ver uma lista de operações do ambiente de gerenciamento do Amazon Aurora DSQL que o Aurora DSQL registra em log no CloudTrail, consulte Aurora DSQL API reference.

Logs do ambiente de gerenciamento

O Amazon Aurora DSQL registra em log as operações a seguir do ambiente de gerenciamento do Aurora DSQL no CloudTrail como eventos de gerenciamento.

Logs de backup e restauração

O Amazon Aurora DSQL registra em log as operações de backup e restauração do Aurora DSQL a seguir no CloudTrail como eventos de gerenciamento.

  • StartBackupJob

  • StopBackupJob

  • GetBackupJob

  • StartRestoreJob

  • StopRestoreJob

  • GetRestoreJob

Para saber mais sobre como proteger clusters do Aurora DSQL usando o AWS Backup, consulte Backup e restauração para o Amazon Aurora DSQL.

Logs do AWS KMS

O Amazon Aurora DSQL registra em log as operações do AWS KMS a seguir no CloudTrail como eventos de gerenciamento.

  • GenerateDataKey

  • Decrypt

Para saber mais sobre como os logs do CloudTrail rastreiam as solicitações que o Aurora DSQL envia ao AWS KMS em seu nome, consulte Monitorar a interação do Aurora DSQL com o AWS KMS.

Eventos de dados do Aurora DSQL no CloudTrail

Os eventos de dados do CloudTrail normalmente fornecem informações sobre as operações aplicadas a um recurso ou realizadas em um recurso. Eles também são usados para capturar as operações do plano de dados do serviço. Eventos de dados geralmente são atividades de alto volume. Por padrão, o CloudTrail não registra eventos de dados em log. O Histórico de eventos do CloudTrail não registra eventos de dados.

Para obter mais informações sobre como registrar eventos de dados em log, consulte Registrar eventos de dados com o AWS Management Console e Registrar eventos de dados com a AWS Command Line Interface no Guia do usuário do AWS CloudTrail.

Há cobranças adicionais para eventos de dados. Para obter mais informações sobre os preços do CloudTrail, consulte Preços do AWS CloudTrail.

Para o Aurora DSQL, o CloudTrail captura qualquer tentativa de conexão feita a um cluster do Aurora DSQL como um evento de dados. A tabela a seguir lista os tipos de recurso do Aurora DSQL para os quais você pode registrar eventos de dados em log. A coluna Tipo de recurso (console) mostra o valor a ser escolhido na lista Tipo de recurso no console do CloudTrail. A coluna do valor resources.type mostra o valor de resources.type que você especificaria ao configurar seletores de eventos avançados usando a AWS CLI ou as APIs do CloudTrail. A coluna APIs de dados registradas no CloudTrail mostra as chamadas de API registradas no CloudTrail para o tipo de recurso.

Tipo de recurso (console) valor resources.type APIs de dados registradas no CloudTrail
Amazon Aurora DSQL

AWS::DSQL::Cluster

  • DbConnect

  • DbConnectAdmin

Você pode configurar seletores de eventos avançados para filtrar os campos eventName e resources.ARN e registrar em log somente os eventos de interesse. Para obter mais informações sobre esses campos, consulte AdvancedFieldSelector na Referência de API do AWS CloudTrail.

O exemplo a seguir mostra como usar a AWS CLI para configurar dsql-data-events-trail e receber eventos de dados referentes ao Aurora DSQL.

aws cloudtrail put-event-selectors \
--region us-east-1 \
--trail-name dsql-data-events-trail \
--advanced-event-selectors '[{
"Name": "Log DSQL Data Events",
    "FieldSelectors": [
       { "Field": "eventCategory", "Equals": ["Data"] },
       { "Field": "resources.type", "Equals": ["AWS::DSQL::Cluster"] } ]}]'