AWS ドキュメント » Amazon Relational Database Service (RDS) » ユーザーガイド » Amazon RDS での MySQL » MySQL DB インスタンスのオプション » MariaDB 監査プラグインのサポート

MariaDB 監査プラグインのサポート

Amazon RDS では、MySQL データベースインスタンスでの MariaDB 監査プラグインの使用をサポートしています。MariaDB 監査プラグインは、データベースへのユーザーのログオンやデータベースに対して実行されたクエリなどのデータベースアクティビティを記録します。データベースのアクティビティのレコードはログファイルに保存されます。

監査プラグインのオプション設定

Amazon RDS では、MariaDB 監査プラグインのオプションの次の設定がサポートされています。

オプション設定	有効な値	デフォルト値	説明
SERVER_AUDIT_FILE_PATH	/rdsdbdata/log/audit/	/rdsdbdata/log/audit/	ログファイルの場所。ログファイルには、SERVER_AUDIT_EVENTS で指定されたアクティビティのレコードが含まれます。詳細については、「データベースログファイルを閲覧および一覧表示する」および「MySQL データベースログファイル」を参照してください。
SERVER_AUDIT_FILE_ROTATE_SIZE	1–1000000000	1000000	このバイト数のサイズに達するとファイルがローテーションします。詳細については、「ログファイルのサイズ」を参照してください。
SERVER_AUDIT_FILE_ROTATIONS	0–100	9	保存するログローテーション数。詳細については、「ログファイルのサイズ」および「データベースログファイルをダウンロードする」を参照してください。
SERVER_AUDIT_EVENTS	CONNECT, QUERY	CONNECT、QUERY	ログに記録するアクティビティのタイプ。MariaDB 監査プラグインのインストール自体も記録されます。 CONNECT: データベースへ接続の成功と失敗、およびデータベースからの切断を記録します。 QUERY: データベースに対して実行されたすべてのクエリのテキストを記録します。 TABLE: データベースに対してクエリが実行された際に影響を受けたテーブルを記録します。 MariaDB では、CONNECT、QUERY、および TABLE がサポートされます。 MySQL では、CONNECT と QUERY がサポートされます。
SERVER_AUDIT_INCL_USERS	複数のカンマ区切り値	なし	指定されたユーザーからのアクティビティのみを含めます。デフォルトでは、すべてのユーザーのアクティビティが記録されます。SERVER_AUDIT_EXCL_USERS および SERVER_AUDIT_INCL_USERS の両方でユーザーが指定される場合、そのユーザーのアクティビティが記録されます。
SERVER_AUDIT_EXCL_USERS	複数のカンマ区切り値	なし	指定されたユーザーからのアクティビティを除外します。デフォルトでは、すべてのユーザーのアクティビティが記録されます。SERVER_AUDIT_EXCL_USERS および SERVER_AUDIT_INCL_USERS の両方でユーザーが指定される場合、そのユーザーのアクティビティが記録されます。 rdsadmin ユーザーは 1 秒ごとにデータベースをクエリしてデータベースのヘルスチェックを行います。そのほかの設定によっては、このアクティビティによってログファイルのサイズが急激に増大する可能性があります。このアクティビティを記録する必要がない場合は、rdsadmin リストに SERVER_AUDIT_EXCL_USERS ユーザーを追加します。 注記 CONNECT アクティビティは、ユーザーがこのオプション設定で指定されていても、すべてのユーザーについて常に記録されます。
SERVER_AUDIT_LOGGING	ON	ON	ログ記録がアクティブです。唯一の有効な値は ON です。Amazon RDS では、ログ記録の非アクティブ化はサポートしていません。ログ記録を非アクティブ化する場合は、MariaDB 監査プラグインを削除します。詳細については、「MariaDB 監査プラグインの削除」を参照してください。

MariaDB 監査プラグインの追加

MariaDB 監査プラグインを DB インスタンスに追加する一般的な手順は以下のとおりです。

• 新しいオプショングループを作成するか、既存のオプショングループをコピーまたは変更する

• オプショングループにオプションを追加する

• オプショングループを DB インスタンスに関連付ける

MariaDB 監査プラグインを追加した後で、DB インスタンスを再起動する必要はありません。オプショングループがアクティブになると、直ちに監査が開始されます。

MariaDB 監査プラグインを追加するには

1. 使用するオプショングループを決定します。新しいオプショングループを作成することも、既存のオプショングループを使用することもできます。既存のオプショングループを使用する場合は、次のステップは飛ばしてください。それ以外の場合は、カスタム DB オプショングループを作成します。[Engine] で [mysql] を選択し、[Major engine version] で [5.6]、[5.7]、またはそれ以降を選択します。詳細については、「オプショングループを作成する」を参照してください。

2. オプショングループに [MARIADB_AUDIT_PLUGIN] オプションを追加し、オプションを設定します。オプションの追加方法の詳細については、「オプショングループにオプションを追加する」を参照してください。各設定の詳細については、「監査プラグインのオプション設定」を参照してください。

3. 新規または既存の DB インスタンスに、DB オプショングループを適用します。

   • 新規 DB インスタンスの場合は、インスタンスを起動するときにオプショングループを適用します。詳細については、「MySQL データベースエンジンを実行する DB インスタンスの作成」を参照してください。

   • 既存の DB インスタンスの場合は、インスタンスを修正し、新しいオプショングループを添付することで、オプショングループを適用します。詳細については、「MySQL データベースエンジンを実行する DB インスタンスの変更」を参照してください。

MariaDB 監査プラグインのログの表示とダウンロード

MariaDB 監査プラグインを有効にした後は、他のテキストベースのログファイルと同様の方法でログファイル内の結果にアクセスします。監査ログファイルは /rdsdbdata/log/audit/ にあります。コンソールでログファイルを表示する方法の詳細については、「データベースログファイルを閲覧および一覧表示する」を参照してください。ログファイルのダウンロードについては、「データベースログファイルをダウンロードする」を参照してください。

MariaDB 監査プラグインの設定の変更

MariaDB 監査プラグインを有効にした後、設定を変更できます。オプション設定の変更方法の詳細については、「オプションの設定を変更する」を参照してください。各設定の詳細については、「監査プラグインのオプション設定」を参照してください。

MariaDB 監査プラグインの削除

Amazon RDS では、MariaDB 監査プラグインのログ記録の無効化はサポートされていません。ただし、DB インスタンスからプラグインを削除することはできます。MariaDB 監査プラグインを削除した後、DB インスタンスを再起動して監査を停止する必要があります。

MariaDB 監査プラグインを DB インスタンスから削除するには、次のいずれかを実行します。

• MariaDB 監査プラグインが所属するオプショングループからプラグインを削除します。この変更はそのオプショングループを使用するすべての DB インスタンスに影響します。詳細については、「オプショングループからオプションを削除する」を参照してください。

• DB インスタンスを修正して、プラグインが含まれない別オプショングループを指定します。この変更は、単一の DB インスタンスに影響します。デフォルト (空) のオプショングループや別のカスタムオプショングループを指定できます。詳細については、「MySQL データベースエンジンを実行する DB インスタンスの変更」を参照してください。