Compatibilidad con el complemento de auditoría de MariaDB para MySQL

Amazon RDS ofrece un complemento de auditoría para instancias de bases de datos de MySQL basado en el complemento de auditoría de MariaDB de código abierto. Para obtener más información, consulte el repositorio GitHub del complemento de auditoría para el servidor MySQL.

nota

El complemento de auditoría para MySQL se basa en el complemento de auditoría de MariaDB. A lo largo de este artículo, lo denominaremos complemento de auditoría de MariaDB.

El complemento de auditoría de MariaDB registra la actividad de la base de datos, incluidos los usuarios que inician sesión en la base de datos y las consultas ejecutadas en la base de datos. El registro de la actividad de la base de datos se almacena en un archivo de registro.

nota

En la actualidad, el complemento de auditoría de MariaDB solo es compatible con las siguientes versiones de RDS para MySQL:

• Versión de MySQL 8.0.28 y posteriores a la 8.0

• Todas las versiones MySQL 5.7

Configuración de opciones del complemento de auditoría

Amazon RDS admite la siguiente configuración para la opción del complemento de auditoría de MariaDB.

Ajuste de la opción	Valores válidos	Valor predeterminado	Descripción
SERVER_AUDIT_FILE_PATH	/rdsdbdata/log/audit/	/rdsdbdata/log/audit/	La ubicación del archivo de registro. El archivo de registro contiene el registro de la actividad especificada en SERVER_AUDIT_EVENTS. Para obtener más información, consulte Visualización y descripción de archivos de registro de base de datos y Archivos de registro de base de datos de MySQL.
SERVER_AUDIT_FILE_ROTATE_SIZE	1–1 000 000 000	1000000	El tamaño en bytes que, al alcanzarse, hace que se rote el archivo. Para obtener más información, consulte Información general de los registros de bases de datos de RDS para MySQL.
SERVER_AUDIT_FILE_ROTATIONS	0–100	9	Es el número de rotaciones de registro que se debe guardar cuando server_audit_output_type=file. Si se establece en 0, el archivo de registro no gira nunca. Para obtener más información, consulte Información general de los registros de bases de datos de RDS para MySQL y Descarga de un archivo de registro de base de datos.
SERVER_AUDIT_EVENTS	CONNECT, QUERY, QUERY_DDL, QUERY_DML, QUERY_DML_NO_SELECT, QUERY_DCL	CONNECT, QUERY	Los tipos de actividad que se van a registrar en el registro. La instalación del complemento de auditoría de MariaDB también se registra. CONNECT: registra las conexiones a la base de datos completadas y no completadas y también las desconexiones. QUERY: registra el texto de todas las consultas que se ejecutan en la base de datos. QUERY_DDL: similar al evento QUERY, pero solo devuelve consultas en lenguaje de definición de datos (DDL) (CREATE, ALTER, etc.). QUERY_DML: similar al evento QUERY, pero solo devuelve consultas en lenguaje de manipulación de datos (DML) (INSERT, UPDATE, etc. y también SELECT). QUERY_DML_NO_SELECT: similar al evento QUERY_DML, pero no registra consultas SELECT. La QUERY_DML_NO_SELECT configuración solo es compatible con RDS for MySQL 5.7.34 y versiones posteriores a 5.7, y 8.0.25 y versiones posteriores a 8.0. QUERY_DCL: similar al evento QUERY, pero solo devuelve consultas en lenguaje de control de datos (DCL) (GRANT, REVOKE, etc.). No se admite TABLE para MySQL.
SERVER_AUDIT_INCL_USERS	Varios valores separados por comas	Ninguno	Incluya solo la actividad de los usuarios especificados. De forma predeterminada, la actividad se registra para todos los usuarios. SERVER_AUDIT_INCL_USERS y SERVER_AUDIT_EXCL_USERS se excluyen mutuamente. Si agrega valores a SERVER_AUDIT_INCL_USERS, asegúrese de que no se agregan valores a SERVER_AUDIT_EXCL_USERS.
SERVER_AUDIT_EXCL_USERS	Varios valores separados por comas	Ninguno	Excluya la actividad de los usuarios especificados. De forma predeterminada, la actividad se registra para todos los usuarios. SERVER_AUDIT_INCL_USERS y SERVER_AUDIT_EXCL_USERS se excluyen mutuamente. Si agrega valores a SERVER_AUDIT_EXCL_USERS, asegúrese de que no se agregan valores a SERVER_AUDIT_INCL_USERS. El usuario rdsadmin consulta la base de datos cada segundo para comprobar su estado. Dependiendo de otros ajustes de configuración, esta actividad puede hacer que el tamaño del archivo de registro llegue a ser muy grande muy deprisa. Si no necesita registrar esta actividad, añada el usuario rdsadmin a la lista SERVER_AUDIT_EXCL_USERS. nota CONNECTLa actividad de siempre se registra para todos los usuarios, aunque se especifique el usuario de esta configuración de opciones.
SERVER_AUDIT_LOGGING	ON	ON	El registro está activo. El único valor válido es ON. Amazon RDS no permite desactivar el registro. Si desea desactivar el registro, elimine el complemento de auditoría de MariaDB. Para obtener más información, consulte Eliminación del complemento de auditoría de MariaDB.
SERVER_AUDIT_QUERY_LOG_LIMIT	0–2147483647	1024	Límite de la longitud de la cadena de consulta en un registro.

Adición del complemento de auditoría de MariaDB

El proceso general para añadir el complemento de auditoría de MariaDB a una instancia de base de datos es el siguiente:

• Crear un grupo de opciones nuevo, o copiar o modificar un grupo de opciones existente

• Añadir la opción al grupo de opciones

• Asociar el grupo de opciones a la instancia de base de datos

Después de añadir el complemento de auditoría de MariaDB, no es necesario reiniciar la instancia de base de datos. En cuanto esté activo el grupo de opciones, comenzará la auditoría.

importante

La adición del complemento de auditoría de MariaDB en una instancia de base de datos puede provocar una interrupción. Le recomendamos añadir el complemento de auditoría de MariaDB durante un periodo de mantenimiento o durante una carga de trabajo de base de datos baja.

Para añadir el complemento de auditoría de MariaDB

1. Determine el grupo de opciones que desea utilizar. Puede crear un grupo de opciones o utilizar uno existente. Si desea utilizar un grupo de opciones existente, vaya al siguiente paso. De lo contrario, cree un grupo de opciones de base de datos personalizado. Elija mysql para Engine (Motor) y elija 5.7 u 8.0 para Major engine version (Versión principal del motor). Para obtener más información, consulte Creación de un grupo de opciones.

2. Añada la opción MARIADB_AUDIT_PLUGIN al grupo de opciones y configure los ajustes de las opciones. Para obtener más información acerca de la adición de opciones, consulte Agregar una opción a un grupo de opciones. Para obtener más información acerca de cada opción, consulte Configuración de opciones del complemento de auditoría.

3. Aplique el grupo de opciones a una instancia de base de datos nueva o existente.

   • Si se trata de una instancia de base de datos nueva, el grupo de opciones se aplica cuando se lanza la instancia. Para obtener más información, consulte Creación de una instancia de base de datos de Amazon RDS.

   • Para una instancia de base de datos existente, el grupo de opciones se aplica modificando la instancia y asociando el grupo de opciones nuevo. Para obtener más información, consulte Modificación de una instancia de base de datos de Amazon RDS.

Formato de registro de auditoría

Los archivos de registro se representan como archivos de variables separadas por comas (CSV) en formato UTF-8.

sugerencia

Las entradas del archivo de registro no están en orden secuencial. Para ordenar las entradas, utilice el valor de marca temporal. Para ver los eventos más recientes, es posible que sea necesario revisar todos los archivos de registro. Para obtener más flexibilidad en la ordenación y búsqueda de los datos de registro, active la configuración para cargar los registros de auditoría en CloudWatch y verlos mediante la interfaz de CloudWatch.

Para ver los datos de auditoría con más tipos de campos y con salida en formato JSON, también puede utilizar la característica Flujos de actividad de base de datos. Para obtener más información, consulte Supervisión de Amazon RDS con flujos de actividad de la base de datos.

Los archivos de registro de auditoría incluyen la siguiente información delimitada por comas en las filas en el orden especificado:

Campo	Descripción
timestamp	YYYYMMDD seguido de HH:MI:SS (reloj de 24 horas) para el evento registrado.
serverhost	Nombre de la instancia para la que se ha registrado el evento.
username	Nombre de usuario conectado del usuario.
host	Host desde el que se ha conectado el usuario.
connectionid	Número de ID de conexión de la operación registrada.
queryid	Número de ID de la consulta que se puede usar para buscar los eventos de la tabla relacional y las consultas relacionadas. Para los eventos TABLE, se añaden varias líneas.
operación	Tipo de acción registrado. Los posibles valores son: CONNECT, QUERY, READ, WRITE, CREATE, ALTER, RENAME y DROP.
base de datos	Base de datos activa, definida por el comando USE.
objeto	Para los eventos de QUERY, este valor indica la consulta realizada por la base de datos. En los eventos TABLE, indica el nombre de la tabla.
retcode	Código devuelto de la operación registrada.
connection_type	Estado de seguridad de la conexión al servidor. Los valores posibles son los siguientes: 0: sin definir 1: TCP/IP 2: conector 3: canalización con nombre 4: SSL/TLS 5: memoria compartida Este campo se incluye solo para RDS for MySQL versión 5.7.34 y versiones superiores a 5.7, y todas las versiones 8.0.

Visualización y descarga del registro del complemento de auditoría de MariaDB

Después de habilitar un complemento de auditoría de MariaDB, podrá obtener acceso a los resultados de los archivos de registro de la misma forma que a los de los demás archivos de registro basados en texto. Los archivos del registro de auditoría se encuentran en /rdsdbdata/log/audit/. Para obtener información acerca de la visualización del archivo de registro en la consola, consulte Visualización y descripción de archivos de registro de base de datos. Para obtener información acerca de la descarga del archivo de registro, consulte Descarga de un archivo de registro de base de datos.

Modificación de la configuración del complemento de auditoría de MariaDB

Después de activar el complemento de auditoría MariaDB, puede modificar la configuración. Para obtener más información acerca de cómo modificar la configuración de las opciones, consulte Modificación de una configuración de opciones. Para obtener más información acerca de cada opción, consulte Configuración de opciones del complemento de auditoría.

Eliminación del complemento de auditoría de MariaDB

Amazon RDS no permite desactivar el registro del complemento de auditoría de MariaDB. Sin embargo, puede eliminar el complemento de una instancia de base de datos. Cuando elimina el complemento de auditoría de MariaDB, la instancia de base de datos se reinicia automáticamente para detener la auditoría.

Para eliminar el complemento de auditoría de MariaDB de una instancia de base de datos, realice una de las siguientes operaciones:

• Elimine la opción del complemento de auditoría de MariaDB del grupo de opciones al que pertenece. Este cambio afecta a todas las instancias de base de datos que utilizan el grupo de opciones. Para obtener más información, consulte Quitar una opción de un grupo de opciones

• Modifique la instancia de base de datos y especifique otro grupo de opciones que no incluya el complemento. Este cambio afecta a una única instancia de base de datos. Puede especificar el grupo de opciones predeterminado (vacío) u otro grupo de opciones personalizado. Para obtener más información, consulte Modificación de una instancia de base de datos de Amazon RDS.