MariaDB 監査プラグインのサポート

Amazon RDS では、MySQL データベースインスタンスでの MariaDB 監査プラグインの使用をサポートしています。MariaDB 監査プラグインは、データベースへのユーザーのログオンやデータベースに対して実行されたクエリなどのデータベースアクティビティを記録します。データベースのアクティビティのレコードはログファイルに保存されます。

注記

現在のところ、MariaDB 監査プラグインは以下の Amazon RDS MySQL バージョンでのみサポートされています。

• すべての 5.6 バージョン

• MySQL 5.7.16 以降の 5.7 バージョン

監査プラグインのオプション設定

Amazon RDS では、MariaDB 監査プラグインのオプションの次の設定がサポートされています。

オプション設定	有効な値	デフォルト値	説明
SERVER_AUDIT_FILE_PATH	/rdsdbdata/log/audit/	/rdsdbdata/log/audit/	ログファイルの場所。ログファイルには、SERVER_AUDIT_EVENTS で指定されたアクティビティのレコードが含まれます。詳細については、「データベースログファイルの表示とリスト化」および「MySQL データベースログファイル」を参照してください。
SERVER_AUDIT_FILE_ROTATE_SIZE	1–1000000000	1000000	このバイト数のサイズに達するとファイルがローテーションします。詳細については、「ログファイルのサイズ」を参照してください。
SERVER_AUDIT_FILE_ROTATIONS	0–100	9	保存するログローテーション数。詳細については、「ログファイルのサイズ」および「データベースログファイルのダウンロード」を参照してください。
SERVER_AUDIT_EVENTS	CONNECT、QUERY、QUERY_DDL、QUERY_DML、QUERY_DCL	CONNECT、QUERY	ログに記録するアクティビティのタイプ。MariaDB 監査プラグインのインストール自体も記録されます。 CONNECT: データベースへ接続の成功と失敗、およびデータベースからの切断を記録します。 QUERY: データベースに対して実行されたすべてのクエリのテキストを記録します。 QUERY_DDL: QUERY イベントと同様ですが、返るのは、データ定義言語 (DDL) クエリ (CREATE、ALTER など) のみです。 QUERY_DML: QUERY イベントと同様ですが、返るのは、データ操作言語 (DML) クエリ (INSERT、UPDATE、SELECT など) のみです。 QUERY_DCL: QUERY イベントと同様ですが、返るのは、データ制御言語 (DCL) クエリ (GRANT、REVOKE など) のみです。 MySQL では、TABLE はサポートされていません。
SERVER_AUDIT_INCL_USERS	複数のカンマ区切り値	なし	指定されたユーザーからのアクティビティのみを含めます。デフォルトでは、すべてのユーザーのアクティビティが記録されます。SERVER_AUDIT_EXCL_USERS および SERVER_AUDIT_INCL_USERS の両方でユーザーが指定される場合、そのユーザーのアクティビティが記録されます。
SERVER_AUDIT_EXCL_USERS	複数のカンマ区切り値	なし	指定されたユーザーからのアクティビティを除外します。デフォルトでは、すべてのユーザーのアクティビティが記録されます。SERVER_AUDIT_EXCL_USERS および SERVER_AUDIT_INCL_USERS の両方でユーザーが指定される場合、そのユーザーのアクティビティが記録されます。 rdsadmin ユーザーは 1 秒ごとにデータベースをクエリしてデータベースのヘルスチェックを行います。そのほかの設定によっては、このアクティビティによってログファイルのサイズが急激に増大する可能性があります。このアクティビティを記録する必要がない場合は、rdsadmin リストに SERVER_AUDIT_EXCL_USERS ユーザーを追加します。 注記 CONNECT アクティビティは、ユーザーがこのオプション設定で指定されていても、すべてのユーザーについて常に記録されます。
SERVER_AUDIT_LOGGING	ON	ON	ログ記録がアクティブです。唯一の有効な値は ON です。Amazon RDS では、ログ記録の非アクティブ化はサポートしていません。ログ記録を非アクティブ化する場合は、MariaDB 監査プラグインを削除します。詳細については、「MariaDB 監査プラグインの削除」を参照してください。

MariaDB 監査プラグインの追加

MariaDB 監査プラグインを DB インスタンスに追加する一般的な手順は以下のとおりです。

• 新しいオプショングループを作成するか、既存のオプショングループをコピーまたは変更する

• オプショングループにオプションを追加する

• オプショングループを DB インスタンスに関連付ける

MariaDB 監査プラグインを追加した後で、DB インスタンスを再起動する必要はありません。オプショングループがアクティブになると、直ちに監査が開始されます。

重要

MariaDB 監査プラグインを DB インスタンスに追加すると、停止する可能性があります。MariaDB 監査プラグインは、メンテナンス期間中またはデータベースのワークロードが低い時間帯に追加することをお勧めします。

MariaDB 監査プラグインを追加するには

1. 使用するオプショングループを決定します。新しいオプショングループを作成することも、既存のオプショングループを使用することもできます。既存のオプショングループを使用する場合は、次のステップは飛ばしてください。それ以外の場合は、カスタム DB オプショングループを作成します。[エンジン] で [mysql] を選択し、[メジャーエンジンのバージョン] で [5.6] または [5.7] を選択します。詳細については、「オプショングループを作成する」を参照してください。

2. オプショングループに [MARIADB_AUDIT_PLUGIN] オプションを追加し、オプションを設定します。オプションの追加方法の詳細については、「オプショングループにオプションを追加する」を参照してください。各設定の詳細については、「監査プラグインのオプション設定」を参照してください。

3. 新規または既存の DB インスタンスに、DB オプショングループを適用します。

   • 新規 DB インスタンスの場合は、インスタンスを起動するときにオプショングループを適用します。詳細については、「Amazon RDS DB インスタンスの作成」を参照してください。

   • 既存の DB インスタンスの場合は、インスタンスを修正し、新しいオプショングループを添付することで、オプショングループを適用します。詳細については、「Amazon RDS DB インスタンスを変更する」を参照してください。

MariaDB 監査プラグインのログの表示とダウンロード

MariaDB 監査プラグインを有効にした後は、他のテキストベースのログファイルと同様の方法でログファイル内の結果にアクセスします。監査ログファイルは /rdsdbdata/log/audit/ にあります。コンソールでログファイルを表示する方法の詳細については、「データベースログファイルの表示とリスト化」を参照してください。ログファイルのダウンロードについては、「データベースログファイルのダウンロード」を参照してください。

MariaDB 監査プラグインの設定の変更

MariaDB 監査プラグインを有効にした後、設定を変更できます。オプション設定の変更方法の詳細については、「オプションの設定を変更する」を参照してください。各設定の詳細については、「監査プラグインのオプション設定」を参照してください。

MariaDB 監査プラグインの削除

Amazon RDS では、MariaDB 監査プラグインのログ記録の無効化はサポートされていません。ただし、DB インスタンスからプラグインを削除することはできます。MariaDB 監査プラグインを削除すると、DB インスタンスが自動的に再起動され、監査が停止します。

MariaDB 監査プラグインを DB インスタンスから削除するには、次のいずれかを実行します。

• MariaDB 監査プラグインが所属するオプショングループからプラグインを削除します。この変更はそのオプショングループを使用するすべての DB インスタンスに影響します。詳細については、「オプショングループからオプションを削除する」を参照してください。

• DB インスタンスを修正して、プラグインが含まれない別オプショングループを指定します。この変更は、単一の DB インスタンスに影響します。デフォルト (空) のオプショングループや別のカスタムオプショングループを指定できます。詳細については、「Amazon RDS DB インスタンスを変更する」を参照してください。