使用進階稽核與 Amazon Aurora MySQL 資料庫叢集搭配

您可以使用 Amazon Aurora MySQL 的高效能「進階稽核」功能來稽核資料庫活動。若要這麼做，您需要設定幾個資料庫叢集參數以便收集稽核日誌。進階稽核啟用時，您可將它用來記錄任意組合的支援事件。

您可以檢視或下載稽核日誌，一次檢閱一個資料庫執行個體的稽核資訊。若要執行此操作，您可以使用監控 Amazon Aurora 日誌檔案中說明的程序。

啟用進階稽核

使用本節所述的參數來啟用和設定資料庫叢集的進階稽核。

使用 server_audit_logging 參數來啟用或停用進階日誌。

使用 server_audit_events 參數來指定要記錄的事件。

使用 server_audit_incl_users 和 server_audit_excl_users 參數來指定要受到稽核的使用者。預設情況下，所有使用者會受到稽核。如需當一或兩個參數保留空白，或在兩者中指定了相同的使用者名稱時，這些參數如何運作的詳細資訊，請參閱 server_audit_incl_users和 server_audit_excl_users。

在資料庫叢集使用的參數群組中設定這些參數，以設定進階稽核。您可以依照修改 Amazon Aurora 中的資料庫參數群組中的參數所示的程序，使用 AWS Management Console修改資料庫叢集參數。您可以使用 modify-db-cluster-parameter-group AWS CLI 命令或 ModifyDBClusterParameterGroup Amazon RDS API 操作，以程式設計方式來修改資料庫叢集參數。

如果參數群組已與您的叢集建立關聯，不需要重新啟動資料庫叢集即可修改這些參數。首次為參數群組與叢集建立關聯時，需要重新啟動叢集。

server_audit_logging

啟用或停用進階稽核。此參數預設為 OFF；設為 ON 即可啟用進階稽核。

日誌中不會顯示任何稽核資料，除非您使用 server_audit_events 參數定義了一或多個要稽核的事件類型。

若要確認已為資料庫執行個體記錄稽核資料，請檢查該執行個體的部分日誌檔案的名稱格式是否為 audit/audit.log.other_identifying_information。若要查看日誌檔案的名稱，請依照檢視並列出資料庫日誌檔案中的程序操作。

server_audit_events

包含要記錄之事件的逗號分隔清單。事件必須以全部大寫指定，且清單元素之間不能有空格，例如：CONNECT,QUERY_DDL。此參數預設為空字串。

您可以記錄下列事件的任意組合：

server_audit_incl_users

包含其活動受到記錄之使用者的使用者名稱之逗號分隔清單。清單元素之間不能有空格，例如：user_3,user_4。此參數預設為空字串。長度上限為 1024 個字元。指定的使用者名稱必須符合 User 資料表的 mysql.user 欄的對應值。如需使用者名稱的詳細資訊，請參閱 MySQL 文件中的帳戶使用者名稱和密碼。

如果 server_audit_incl_users 和 server_audit_excl_users 都空白 (預設值)，則所有使用者都會受到稽核。

如果您將使用者新增至 server_audit_incl_users，並將 server_audit_excl_users 保留空白，則只有那些使用者會受到稽核。

如果您使用者新增至 server_audit_excl_users，並將 server_audit_incl_users 保留空白，則除了 server_audit_excl_users 中列出的使用者以外，其餘所有使用者都會受到稽核。

如果將相同的使用者同時新增至 server_audit_excl_users 和 server_audit_incl_users，則這些使用者會受到稽核。當同一個使用者在兩個設定中都有列出時，server_audit_incl_users 的優先順序較高。

連接和中斷連接事件不受此變數所影響；只要指定就一定會加以記錄。即使 server_audit_excl_users 參數中有指定某個使用者，還是會記錄該使用者，因為 server_audit_incl_users 的優先順序較高。

server_audit_excl_users

包含其活動不受記錄之使用者的使用者名稱之逗號分隔清單。清單元素之間不能有空格，例如：rdsadmin,user_1,user_2。此參數預設為空字串。長度上限為 1024 個字元。指定的使用者名稱必須符合 User 資料表的 mysql.user 欄的對應值。如需使用者名稱的詳細資訊，請參閱 MySQL 文件中的帳戶使用者名稱和密碼。

如果 server_audit_incl_users 和 server_audit_excl_users 都空白 (預設值)，則所有使用者都會受到稽核。

如果您將使用者新增至 server_audit_excl_users，並將 server_audit_incl_users 保留空白，則只有 server_audit_excl_users 中列出的使用者不會受到稽核，其他所有使用者都會受到稽核。

如果將相同的使用者同時新增至 server_audit_excl_users 和 server_audit_incl_users，則這些使用者會受到稽核。當同一個使用者在兩個設定中都有列出時，server_audit_incl_users 的優先順序較高。

連接和中斷連接事件不受此變數所影響；只要指定就一定會加以記錄。如果 server_audit_incl_users 參數中有指定某個使用者，則也會記錄該使用者，因為此設定的優先順序高於 server_audit_excl_users。

檢視稽核日誌

您可以使用主控台來檢視和下載稽核日誌。在 Database (資料庫) 頁面上，選擇資料庫執行個體以顯示其詳細資訊，然後捲動至 Logs (日誌) 區段。進階稽核功能產生的稽核日誌名稱格式為 audit/audit.log.other_identifying_information。

若要下載日誌檔案，請在 Logs (日誌) 區段中選取該檔案，然後選擇 Download (下載)。

您也可以使用 describe-db-log-files AWS CLI 命令來取得日誌檔案清單。您可以使用 download-db-log-file-portion AWS CLI 命令來下載日誌檔案的內容。如需更多詳細資訊，請參閱 檢視並列出資料庫日誌檔案 及 下載資料庫日誌檔案。

稽核日誌詳細資訊

日誌檔案以 UTF-8 格式的逗號分隔變數 (CSV) 檔案表示。查詢也會包在單引號 (') 中。

稽核記錄分別存放在每個 Aurora MySQL 資料庫執行個體的本機儲存區中。每個執行個體一次將寫入分發到四個日誌檔案。日誌檔案大小上限為 100 MB。達到此無法設定的限制時，Aurora 會旋轉檔案並產生一個新檔案。

稽核日誌檔案的每一列依指定順序包含以下逗號分隔的資訊：