Amazon Relational Database Service
用户指南 (API Version 2014-10-31)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

将审核日志数据从 Amazon Aurora 导出到 Amazon CloudWatch Logs

您可以配置 Amazon Aurora 数据库群集以将审核日志事件导出到 Amazon CloudWatch Logs 中的日志组。您可以使用此功能对数据库群集上观察到的审核事件进行实时分析,并使用 CloudWatch 创建警报和查看指标。您可以使用 CloudWatch Logs 在高持久性存储中存储您的日志数据。您可以更改日志保留设置,以便自动删除存在时间超过此设置的所有日志事件。CloudWatch Logs 代理支持您轻松快速地将已轮换和未轮换的日志文件从主机移动到日志服务。然后,您可以按需访问原始日志数据。

注意

将审核日志数据从 Aurora 导出到 CloudWatch Logs 可能会在 CloudWatch Logs 上产生数据提取和存档存储费用。您只需为 CloudWatch Logs 提供的免费套餐之外的导出审核日志数据付费。

向 Aurora 提供对 Amazon CloudWatch Logs 的访问权限

您必须先向 Aurora 数据库群集提供对 CloudWatch Logs 的访问权限,然后才能将审核日志导出到 Amazon CloudWatch Logs。要授予权限,请创建一个具有必需权限的 AWS AWS Identity and Access Management (IAM) 角色,然后将该角色与数据库群集关联。有关如何允许 Aurora 数据库群集代表您与 CloudWatch Logs 进行通信的详细信息和说明,请参阅授权 Amazon Aurora 代表您访问其他 AWS 服务

注意

您必须将 aws_default_logs_role 数据库群集参数设置为新 IAM 角色的 Amazon 资源名称 (ARN)。如果未为 aws_default_logs_role 指定 IAM 角色,则日志不会流式传输到 CloudWatch。如果指定的角色没有必需权限,我们会通过事件报告该情况。

有关数据库群集参数的更多信息,请参阅数据库群集和数据库实例参数

在 Aurora 数据库群集中允许将审核日志导出到 Amazon CloudWatch Logs

要开始将审核日志导出到 Amazon CloudWatch Logs,您需要先启用高级审计。有关启用高级审计的更多信息,请参阅启用高级审计

在启用高级审计并定义将审计的事件后,您可通过设置以下群集级数据库参数来允许将审核日志导出到 CloudWatch Logs 日志:

server_audit_logs_upload

允许或禁止审核日志导出。此参数默认为 0;将其设置为 1 可允许审核日志导出。

您可采用与配置高级审计相同的方式配置将到 CloudWatch Logs 的审核日志导出,方法是在您的数据库群集使用的参数组中设置这些参数。您可以使用 修改数据库参数组中的参数 中所示的过程,通过 AWS 管理控制台来修改数据库群集参数。您可以使用 modify-db-cluster-parameter-group AWS CLI 命令或 ModifyDBClusterParameterGroup Amazon RDS API 命令,以编程方式修改数据库群集参数。修改这些参数无需重新启动数据库群集。

注意

您可以使用审核日志详细信息中包括的 serverhost 字段来标识每个事件的数据库实例。事件的完整内容将导出到 CloudWatch Logs。有关 serverhost 字段的更多信息,请参阅审计日志详细信息

在您的数据库实例终止后,CloudWatch Logs 事件将保留。可以使用 CloudWatch Logs 管理控制台、AWS CLI 或 CloudWatch Logs API 为每个日志组配置日志保留期。

有关 CloudWatch Logs 的更多信息,请参阅什么是 Amazon CloudWatch Logs?

加密支持

CloudWatch Logs 使用其默认的 AWS Key Management Service (AWS KMS) 加密密钥自动对审核日志数据进行传输加密和静态加密。目前,您无法在 CloudWatch Logs 中指定用于加密审核日志数据的自定义 AWS KMS 密钥。

在 Amazon CloudWatch 中监控审核日志事件

启用此功能后,您可以在 Amazon CloudWatch Logs 中监控审核日志事件。将自动在以下前缀下为 Aurora 数据库群集创建一个新的日志组,其中cluster-name 表示数据库群集名称:

/aws/rds/cluster/cluster-name

如果存在具有指定名称的日志组,则 Aurora 将使用该日志组为 Aurora 数据库群集导出审核日志数据。您可以使用自动化配置 (例如 AWS CloudFormation) 创建具有预定义日志保留期、指标筛选器和客户访问权限的日志组。否则,将自动使用默认日志保留期 (Never Expire) 在 CloudWatch Logs 上创建一个新的日志组。您可以使用 CloudWatch Logs 管理控制台、AWS CLI 或 CloudWatch Logs API 更改日志保留期。有关在 CloudWatch Logs 中更改日志保留期的更多信息,请参阅更改 CloudWatch Logs 中的日志数据保留

将使用不同的日志流将来自一个数据库群集中所有数据库实例的所有审核事件推送到此日志组。您可以使用 CloudWatch Logs 控制台、AWS CLI 或 CloudWatch Logs API 在数据库群集的日志事件中搜索信息。有关搜索和筛选日志数据的更多信息,请参阅搜索和筛选日志数据

注意

如果禁止导出审核日志数据,则 Aurora 不会删除现有日志组或日志流。现有审核日志数据在 CloudWatch Logs 中仍可用 (具体取决于日志保留),并且您仍将产生存储审核日志数据费用。您可以使用 CloudWatch Logs 管理控制台、AWS CLI 或 CloudWatch Logs API 删除日志流和日志组。