启动数据库活动流
在启动数据库实例的活动流时,在审计策略中配置的每个数据库活动事件都会生成一个活动流事件。SQL 命令(例如 CONNECT
和 SELECT
)可生成访问事件。SQL 命令(例如 CREATE
和 INSERT
)可生成更改事件。
重要
打开 Oracle 数据库实例的活动流会清除现有的审计数据。还会撤消审计跟踪权限。启用数据流后,Oracle RDS 将无法再执行以下操作:
-
清除统一审计跟踪记录。
-
添加、删除或修改统一审计策略。
-
更新上次存档的时间戳。
要启动数据库活动流
-
通过以下网址打开 Amazon RDS 控制台:https://console.aws.amazon.com/rds/
。 -
在导航窗格中,选择 Databases (数据库)。
-
选择要对其启动活动流的 Amazon RDS 数据库实例。在多可用区部署中,仅在主实例上启动活动流。活动流会审计主实例和备用实例。
-
对于 Actions (操作),选择 Start activity stream (启动活动流)。
启动数据库活动流:
名称
窗口出现,其中名称
是您的 RDS 实例。 -
输入以下设置:
-
对于 Amazon KMS key,从 Amazon KMS keys 列表中选择一个密钥。
Amazon RDS 使用 KMS 密钥加密密钥,从而加密数据库活动。请选择原定设置密钥以外的 KMS 密钥。有关加密密钥和 Amazon KMS 的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的什么是 Amazon Key Management Service?。
-
对于数据库活动事件,选择启用引擎原生审计字段以包含引擎特定的审计字段。
-
选择 Immediately (立即)。
当您选择 Immediately (立即) 时,RDS 实例会立即重新启动。如果选择 During the next maintenance window (在下一维护时段内),RDS 实例不会立即重新启动。在这种情况下,数据库活动流不会启动,直到下一个维护时段。
-
-
选择 Start database activity stream(启动数据库活动流)。
数据库的状态显示活动流正在启动。
注意
如果您收到错误
You can't start a database activity stream in this configuration
,请检查 数据库活动流支持的数据库实例类,以了解您的RDS 实例是否正在使用受支持的实例类。
要为数据库实例启动数据库活动流,请使用 Amazon CLI 命令 配置数据库集群数据库。
-
--resource-arn
– 指定数据库实例的 Amazon Resource Name (ARN)。arn
-
--kms-key-id
– 指定用于加密数据库活动流中的消息的 KMS 密钥标识符。Amazon KMS 密钥标识符是密钥 ARN、密钥 ID、别名 ARN 或者 Amazon KMS key 的别名。key
-
--engine-native-audit-fields-included
– 包括数据流中引擎特定的审计字段。要排除这些字段,请指定--no-engine-native-audit-fields-included
(默认值)。
以下示例以异步模式启动数据库实例的数据库活动流。
对于 Linux、macOS 或 Unix:
aws rds start-activity-stream \ --mode async \ --kms-key-id
my-kms-key-arn
\ --resource-arnmy-instance-arn
\ --engine-native-audit-fields-included \ --apply-immediately
对于 Windows:
aws rds start-activity-stream ^ --mode async ^ --kms-key-id
my-kms-key-arn
^ --resource-arnmy-instance-arn
^ --engine-native-audit-fields-included ^ --apply-immediately
要为数据库实例启动数据库活动流,请使用 操作配置集群实例。
使用以下参数调用操作:
-
Region
-
KmsKeyId
-
ResourceArn
-
Mode
-
EngineNativeAuditFieldsIncluded