数据库活动流概览 - Amazon Relational Database Service
数据库活动流的工作原理Oracle 数据库和 Microsoft SQL Server 数据库中的审计数据库活动流的异步模式数据库活动流的要求和限制区域和版本可用性数据库活动流支持的数据库实例类
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

数据库活动流概览

作为 Amazon RDS 数据库管理员,您需要保障数据库的安全,并满足合规性和法规要求。一种策略是集成数据库活动流与监控工具。通过这种方式,您可以在数据库中监控审计活动并设置告警。

安全威胁既可以来自外部,也可以来自内部。要防范内部威胁,您可以通过配置数据库活动流功能控制管理员对数据流的访问。Amazon RDS 数据管理员无权收集、传输、存储和处理流。

数据库活动流的工作原理

Amazon RDS 会近乎实时地将活动推送到 Amazon Kinesis 数据流。系统将自动创建 Kinesis 流。在 Kinesis 中,您可以配置 Amazon 服务(如 Amazon Data Firehose)和 Amazon Lambda 来使用 Kinesis 流并存储数据。

重要

使用 Amazon RDS 中的数据库活动流功能是免费的,但 Amazon Kinesis 会针对数据流收费。有关更多信息,请参阅 Amazon Kinesis Data Streams 定价

您可以为合规性管理配置应用程序,以使用数据库活动流。这些应用程序可以使用流生成警报,并审计数据库上的活动。

Amazon RDS 在多可用区部署中支持数据库活动流。在这种情况下,数据库活动流会审计主实例和备用实例。

Oracle 数据库和 Microsoft SQL Server 数据库中的审计

审计是监控和记录已配置的数据库操作。Amazon RDS 在原定设置情况下不捕获数据库活动。您可自行在数据库中创建和管理审核策略。

Oracle 数据库中的统一审计

在 Oracle 数据库中,统一审核策略是一组已命名的审核设置,可用于审核某个方面的用户行为。策略可以是简单的审计单个用户的活动。您还可以创建使用条件的复杂审核策略。

Oracle 数据库将审计记录(包括 SYS 审计记录)写入统一审计跟踪。例如,如果在 INSERT 语句期间发生错误,标准审计会指示错误编号和所运行的 SQL。审计跟踪位于 AUDSYS 架构的只读表中。要访问这些记录,请查询 UNIFIED_AUDIT_TRAIL 数据词典视图。

通常,您可以按如下方式配置数据库活动流:

  1. 使用 CREATE AUDIT POLICY 命令创建 Oracle 数据库审核策略。

    Oracle 数据库会生成审计记录。

  2. 使用 AUDIT POLICY 命令激活审核策略。

  3. 配置数据库活动流。

    仅捕获与 Oracle 数据库审核策略匹配的活动,并将其发送到 Amazon Kinesis 数据流。启用数据库活动流后,Oracle 数据库管理员无法更改审核策略或删除审核日志。

要了解有关统一审核策略的更多信息,请参阅 Oracle Database 安全指南中的关于使用统一审核策略和审核审核活动

Microsoft SQL Server 中的审计

数据库活动流使用 SQLAudit 功能审计 SQL Server 数据库。

RDS for SQL Server 实例包含以下各项功能:

  • 服务器审计 – SQL Server 审计收集服务器或数据库级操作的单个实例以及一组要监视的操作。服务器级审计 RDS_DAS_AUDITRDS_DAS_AUDIT_CHANGES 由 RDS 管理。

  • 服务器审计规范 - 服务器审计规范记录服务器级别的事件。您可以修改 RDS_DAS_SERVER_AUDIT_SPEC 规范。该规范链接到服务器审计 RDS_DAS_AUDITRDS_DAS_CHANGES_AUDIT_SPEC 规范由 RDS 管理。

  • 数据库审计规范 - 数据库审计规范记录数据库级别的事件。您可以创建数据库审计规范 RDS_DAS_DB_<name> 并将其链接到 RDS_DAS_AUDIT 服务器审计。

您可以使用控制台或 CLI 配置数据库活动流。通常,您可以按如下方式配置数据库活动流:

  1. (可选)使用 CREATE DATABASE AUDIT SPECIFICATION 命令创建数据库审计规范并将其链接到 RDS_DAS_AUDIT 服务器审计。

  2. (可选)使用 ALTER SERVER AUDIT SPECIFICATION 命令修改服务器审计规范并定义策略。

  3. 激活数据库和服务器审核策略。例如:

    ALTER DATABASE AUDIT SPECIFICATION [<Your database specification>] WITH (STATE=ON)

    ALTER SERVER AUDIT SPECIFICATION [RDS_DAS_SERVER_AUDIT_SPEC] WITH (STATE=ON)

  4. 配置数据库活动流。

    仅捕获与服务器和数据库审核策略匹配的活动,并将其发送到 Amazon Kinesis 数据流。启用数据库活动流且锁定策略后,数据库管理员无法更改审核策略或删除审核日志。

    重要

    如果启用了特定数据库的数据库审计规范并且策略处于锁定状态,则无法删除该数据库。

有关 SQL Server 审计的更多信息,请参阅《Microsoft SQL Server 文档》中的 SQL Server 审计组件

Oracle 数据库和 SQL Server 的非原生审计字段

启动数据库活动流时,每个数据库事件都会生成相应的活动流事件。例如,数据库用户可能会运行 SELECTINSERT 语句。数据库会审计这些事件并将结果发送到 Amazon Kinesis 数据流。

活动流中的事件表示为 JSON 对象。JSON 对象包含一个 DatabaseActivityMonitoringRecord,其中包含一个 databaseActivityEventList 数组。数组中的预定义字段包括 classclientApplicationcommand

默认情况下,活动流不包括原生引擎审计字段。您可以配置 Amazon RDS for Oracle 和 SQL Server,使其在 engineNativeAuditFields JSON 对象中包含这些额外的字段。

在 Oracle 数据库中,统一审计跟踪中的大多数事件都映射到 RDS 数据活动流中的字段。例如,统一审计中的 UNIFIED_AUDIT_TRAIL.SQL_TEXT 字段映射到数据库活动流中的 commandText 字段。但是,Oracle 数据库审计字段(如 OS_USERNAME)不映射到数据库活动流中的预定义字段。

在 SQL Server 中,SQLAudit 记录的大多数事件字段都映射到 RDS 数据库活动流中的字段。例如,来自审计中 sys.fn_get_audit_filecode 字段映射到数据库活动流中的 commandText 字段。但是,SQL Server 数据库审计字段(如 permission_bitmask)不映射到数据库活动流中的预定义字段。

有关 databaseActivityEventList 的更多信息,请参阅databaseActivityEventList JSON 数组

数据库参数组覆盖

通常,您可以通过附加参数组来打开 RDS for Oracle 中的统一审计。但是,数据库活动流需要额外的配置。为了改善您的客户体验,Amazon RDS 执行以下操作:

  • 如果激活活动流,RDS for Oracle 将忽略参数组中的审计参数。

  • 如果停用活动流,RDS for Oracle 将停止忽略审计参数。

SQL Server 的数据库活动流与您在 SQL 审计选项中设置的任何参数均无关。

数据库活动流的异步模式

Amazon RDS 中的活动流始终是异步的。当数据库会话生成活动流事件时,会话将立即返回到正常活动。在后台,Amazon RDS 使活动流事件成为持久记录。

如果后台任务出错,则 Amazon RDS 将生成事件。此事件指示活动流事件记录可能已丢失的任何时间段的开始和结束时间。异步模式可提高数据库性能,而不是活动流的准确性。

数据库活动流的要求和限制

RDS 中,数据库活动流具有以下要求和限制:

  • 数据库活动流需要使用 Amazon Kinesis。

  • 数据库活动流需要使用 Amazon Key Management Service (Amazon KMS),因为这些活动流始终是加密的。

  • 对 Amazon Kinesis 数据流应用额外加密与数据库活动流不兼容,因为数据库活动流已使用 Amazon KMS 密钥进行了加密。

  • 您可自行创建和管理审核策略。与 Amazon Aurora 不同,RDS for Oracle 默认不捕获数据库活动。

  • 您可自行创建和管理审核策略或规范。与 Amazon Aurora 不同,Amazon RDS 在原定设置情况下不捕获数据库活动。

  • 在多可用区部署中,仅在主数据库实例上启动数据库活动流。该活动流会自动审计主数据库实例和备用数据库实例。故障转移期间无需执行其他步骤。

  • 重命名数据库实例不会创建新的 Kinesis 流。

  • RDS for Oracle 不支持 CDB。

  • 不支持只读副本。

区域和版本可用性

功能可用性和支持因每个数据库引擎的特定版本以及 Amazon Web Services 区域而异。有关适用于数据库活动流的版本和区域可用性的更多信息,请参阅数据库活动流

数据库活动流支持的数据库实例类

对于 RDS for Oracle,您可以将数据库活动流与以下数据库实例类一起使用:

  • db.m4.*large

  • db.m5.*large

  • db.m5d.*large

  • db.m6i.*large

  • db.r4.*large

  • db.r5.*large

  • db.r5.*large.tpc*.mem*x

  • db.r5b.*large

  • db.r5b.*large.tpc*.mem*x

  • db.r5d.*large

  • db.r6i.*large

  • db.x2idn.*large

  • db.x2iedn.*large

  • db.x2iezn.*large

  • db.z1d.*large

对于 RDS for SQL Server,您可以将数据库活动流与以下数据库实例类一起使用:

  • db.m4.*large

  • db.m5.*large

  • db.m5d.*large

  • db.m6i.*large

  • db.r4.*large

  • db.r5.*large

  • db.r5b.*large

  • db.r5d.*large

  • db.r6i.*large

  • db.x1e.*large

  • db.z1d.*large

有关实例类类型的更多信息,请参阅 数据库实例类