MariaDB 監査プラグインのサポート
Amazon RDS では、MySQL データベースインスタンスでの MariaDB 監査プラグインの使用をサポートしています。MariaDB 監査プラグインは、データベースへのユーザーのログオンやデータベースに対して実行されたクエリなどのデータベースアクティビティを記録します。データベースのアクティビティのレコードはログファイルに保存されます。
現在のところ、MariaDB 監査プラグインは以下の Amazon RDS MySQL バージョンでのみサポートされています。
-
すべての 5.6 バージョン
-
MySQL 5.7.16 以降の 5.7 バージョン
監査プラグインのオプション設定
Amazon RDS では、MariaDB 監査プラグインのオプションの次の設定がサポートされています。
オプション設定 | 有効な値 | デフォルト値 | 説明 |
---|---|---|---|
|
|
|
ログファイルの場所。ログファイルには、 |
|
1–1000000000 |
1000000 |
このバイト数のサイズに達するとファイルがローテーションします。詳細については、「ログファイルのサイズ」を参照してください。 |
|
0–100 |
9 |
保存するログローテーション数。詳細については、「ログファイルのサイズ」および「データベースログファイルのダウンロード」を参照してください。 |
|
|
|
ログに記録するアクティビティのタイプ。MariaDB 監査プラグインのインストール自体も記録されます。
MySQL では、 |
|
複数のカンマ区切り値 |
なし |
指定されたユーザーからのアクティビティのみを含めます。デフォルトでは、すべてのユーザーのアクティビティが記録されます。 |
|
複数のカンマ区切り値 |
なし |
指定されたユーザーからのアクティビティを除外します。デフォルトでは、すべてのユーザーのアクティビティが記録されます。
|
|
|
|
ログ記録がアクティブです。唯一の有効な値は |
MariaDB 監査プラグインの追加
MariaDB 監査プラグインを DB インスタンスに追加する一般的な手順は以下のとおりです。
-
新しいオプショングループを作成するか、既存のオプショングループをコピーまたは変更する
-
オプショングループにオプションを追加する
-
オプショングループを DB インスタンスに関連付ける
MariaDB 監査プラグインを追加した後で、DB インスタンスを再起動する必要はありません。オプショングループがアクティブになると、直ちに監査が開始されます。
MariaDB 監査プラグインを DB インスタンスに追加すると、停止する可能性があります。MariaDB 監査プラグインは、メンテナンス期間中またはデータベースのワークロードが低い時間帯に追加することをお勧めします。
MariaDB 監査プラグインを追加するには
-
使用するオプショングループを決定します。新しいオプショングループを作成することも、既存のオプショングループを使用することもできます。既存のオプショングループを使用する場合は、次のステップは飛ばしてください。それ以外の場合は、カスタム DB オプショングループを作成します。[エンジン] で [mysql] を選択し、[メジャーエンジンのバージョン] で [5.6] または [5.7] を選択します。詳細については、「オプショングループを作成する」を参照してください。
-
オプショングループに [MARIADB_AUDIT_PLUGIN] オプションを追加し、オプションを設定します。オプションの追加方法の詳細については、「オプショングループにオプションを追加する」を参照してください。各設定の詳細については、「監査プラグインのオプション設定」を参照してください。
-
新規または既存の DB インスタンスに、DB オプショングループを適用します。
-
新規 DB インスタンスの場合は、インスタンスを起動するときにオプショングループを適用します。詳細については、「Amazon RDS DB インスタンスの作成」を参照してください。
-
既存の DB インスタンスの場合は、インスタンスを修正し、新しいオプショングループを添付することで、オプショングループを適用します。詳細については、「Amazon RDS DB インスタンスを変更する」を参照してください。
-
MariaDB 監査プラグインのログの表示とダウンロード
MariaDB 監査プラグインを有効にした後は、他のテキストベースのログファイルと同様の方法でログファイル内の結果にアクセスします。監査ログファイルは /rdsdbdata/log/audit/
にあります。コンソールでログファイルを表示する方法の詳細については、「データベースログファイルの表示とリスト化」を参照してください。ログファイルのダウンロードについては、「データベースログファイルのダウンロード」を参照してください。
MariaDB 監査プラグインの設定の変更
MariaDB 監査プラグインを有効にした後、設定を変更できます。オプション設定の変更方法の詳細については、「オプションの設定を変更する」を参照してください。各設定の詳細については、「監査プラグインのオプション設定」を参照してください。
MariaDB 監査プラグインの削除
Amazon RDS では、MariaDB 監査プラグインのログ記録の無効化はサポートされていません。ただし、DB インスタンスからプラグインを削除することはできます。MariaDB 監査プラグインを削除すると、DB インスタンスが自動的に再起動され、監査が停止します。
MariaDB 監査プラグインを DB インスタンスから削除するには、次のいずれかを実行します。
-
MariaDB 監査プラグインが所属するオプショングループからプラグインを削除します。この変更はそのオプショングループを使用するすべての DB インスタンスに影響します。詳細については、「オプショングループからオプションを削除する」を参照してください。
-
DB インスタンスを修正して、プラグインが含まれない別オプショングループを指定します。この変更は、単一の DB インスタンスに影響します。デフォルト (空) のオプショングループや別のカスタムオプショングループを指定できます。詳細については、「Amazon RDS DB インスタンスを変更する」を参照してください。