Suporte ao plugin de auditoria do MariaDB

Opções para o mecanismo de banco de dados do MariaDB

A seguir, você encontrará uma descrição das opções, ou recursos adicionais, que estão disponíveis para instâncias do Amazon RDS que executam o mecanismo de banco de dados do MariaDB. Para ativar essas opções, adicione-as a um grupo de opções personalizado e, depois, associe o grupo de opções à sua instância de banco de dados. Para ter mais informações sobre como trabalhar com grupos de opções, consulte Trabalhar com grupos de opções.

O Amazon RDS oferece suporte às seguintes opções do MariaDB:

ID da opção	Versões do mecanismo
`MARIADB_AUDIT_PLUGIN`	MariaDB 10.3 e posterior

Suporte ao plugin de auditoria do MariaDB

O Amazon RDS oferece suporte ao MariaDB Audit Plugin nas instâncias do banco de dados do MariaDB. O MariaDB Audit Plugin registra a atividade do banco de dados, como usuários que fazem logon no banco de dados, as consultas são executadas contra o banco de dados e muito mais. O registro da atividade do banco de dados é armazenado em um arquivo de log.

Definições de opções do plugin de auditoria

O Amazon RDS oferece suporte para as seguintes configurações para a opção MariaDB Audit Plugin.

nota

Se você não definir uma configuração de opção no console do RDS, o RDS usará a configuração padrão.

Configuração da opção	Valores válidos	Valor padrão	Descrição
`SERVER_AUDIT_FILE_PATH`	`/rdsdbdata/log/audit/`	`/rdsdbdata/log/audit/`	A localização dos arquivos de log. O arquivo de log contém o registro de atividades especificadas em `SERVER_AUDIT_EVENTS`. Para ter mais informações, consulte Como visualizar e listar arquivos de log do banco de dados e Arquivos de log do banco de dados MariaDB.
`SERVER_AUDIT_FILE_ROTATE_SIZE`	1–1000000000	1000000	O tamanho em bytes que, quando alcançado, faz com que o arquivo rotacione. Para ter mais informações, consulte Tamanho do arquivo de log.
`SERVER_AUDIT_FILE_ROTATIONS`	0–100	9	O número de rotações de log para salvar quando `server_audit_output_type=file`. Se definido como 0, o arquivo de log nunca é alternado. Para obter mais informações, consulte Tamanho do arquivo de log e Como baixar um arquivo de log de banco de dados.
`SERVER_AUDIT_EVENTS`	`CONNECT`, `QUERY`, `TABLE`, `QUERY_DDL`, `QUERY_DML`, `QUERY_DML_NO_SELECT`, `QUERY_DCL`	`CONNECT`, `QUERY`	Os tipos de atividades a serem gravados no log. A instalação do MariaDB Audit Plugin é registrada em log. `CONNECT`: registrar conexões bem-sucedidas e sem êxito com o banco de dados e desconexões do banco de dados. `QUERY`: registrar o texto de todas as consultas executadas no banco de dados. `TABLE`: tabelas de log afetadas por consultas quando as consultas são executadas no banco de dados. `QUERY_DDL`: semelhante ao evento de `QUERY`, mas retorna somente consultas de linguagem de definição de dados (DDL) (`CREATE`, `ALTER`, etc.) `QUERY_DML`: semelhante ao evento de `QUERY`, mas retorna somente consultas de linguagem de manipulação de dados (DML) (`INSERT`, `UPDATE`, etc., bem como `SELECT`). `QUERY_DML_NO_SELECT`: semelhante ao evento `QUERY_DML`, mas não registra consultas de log `SELECT`. `QUERY_DCL`: semelhante ao evento de `QUERY`, mas retorna somente consultas de linguagem de controle de dados (DCL) (`GRANT`, `REVOKE`, etc.)
`SERVER_AUDIT_INCL_USERS`	Vários valores separados por vírgulas	Nenhum	Inclua apenas atividades dos usuários especificados. Por padrão, a atividade é registrada para todos os usuários. `SERVER_AUDIT_INCL_USERS` e `SERVER_AUDIT_EXCL_USERS` são mutuamente exclusivos. Se você adicionar valores ao `SERVER_AUDIT_INCL_USERS`, certifique-se de que nenhum valor seja adicionado ao `SERVER_AUDIT_EXCL_USERS`.
`SERVER_AUDIT_EXCL_USERS`	Vários valores separados por vírgulas	Nenhum	Exclua a atividade dos usuários especificados. Por padrão, a atividade é registrada para todos os usuários. `SERVER_AUDIT_INCL_USERS` e `SERVER_AUDIT_EXCL_USERS` são mutuamente exclusivos. Se você adicionar valores ao `SERVER_AUDIT_EXCL_USERS`, certifique-se de que nenhum valor seja adicionado ao `SERVER_AUDIT_INCL_USERS`. O usuário `rdsadmin` consulta o banco de dados a cada segundo para verificar a integridade do banco de dados. Dependendo das suas outras configurações, essa atividade pode fazer com que o tamanho do seu arquivo de log cresça muito rapidamente. Se você não precisa registrar essa atividade, adicione o usuário `rdsadmin` à lista `SERVER_AUDIT_EXCL_USERS`. nota `CONNECT`A atividade é sempre registrada para todos os usuários, mesmo se o usuário é especificado para essa configuração de opção.
`SERVER_AUDIT_LOGGING`	`ON`	`ON`	O registro em log está ativo. O único valor válido é `ON`. O Amazon RDS não oferece suporte à desativação do registro em log. Se quiser desativar o registro log, remova o MariaDB Audit Plugin. Para ter mais informações, consulte Remover o MariaDB Audit Plugin.
`SERVER_AUDIT_QUERY_LOG_LIMIT`	0–2147483647	1024	O limite do tamanho da string de consulta em um registro.

Adicionar o MariaDB Audit Plugin

O processo geral para adicionar o MariaDB Audit Plugin a uma instância de banco de dados é o seguinte:

Crie um novo grupo de opções, ou copie ou modifique um existente.
Adicione a opção ao grupo de opções.
Associe o grupo de opções à instância de banco de dados.

Depois de adicionar o MariaDB Audit Plugin, você não precisará reiniciar sua instância de banco de dados. Assim que o grupo de opções estiver ativo, a auditoria começará imediatamente.

Para adicionar o MariaDB Audit Plugin

Determine o grupo de opções que você deseja usar. Você pode criar um novo grupo de opções ou usar um existente. Se você quiser usar um grupo de opções existente, vá para a próxima etapa. Caso contrário, crie um grupo de opções de banco de dados personalizado. Escolha mariadb em Engine (Mecanismo) e escolha 10.3 ou posteriores para Major engine version (Versão principal do mecanismo). Para ter mais informações, consulte Criar um grupo de opções.
Adicione a opção MARIADB_AUDIT_PLUGIN ao grupo de opções e defina as configurações da opção. Para ter mais informações sobre a adição de opções, consulte Adicionar uma opção a um grupo de opções. Para ter mais informações sobre cada configuração, consulte Definições de opções do plugin de auditoria.
Aplique o grupo de opções a uma instância de banco de dados nova ou existente.
- Para uma nova instância de banco de dados, você aplica o grupo de opções ao executar a instância. Para ter mais informações, consulte Criar uma instância de banco de dados do Amazon RDS.
- Para uma instância de banco de dados existente, aplique o grupo de opções modificando a instância de banco de dados e anexando o novo grupo de opções. Para ter mais informações, consulte Modificar uma instância de banco de dados do Amazon RDS.

Visualizar e baixar o log do plugin de auditoria do MariaDB

Depois de habilitar o MariaDB Audit Plugin, você acessará os resultados nos arquivos de log da mesma forma que você acessa outros arquivos de log baseados em texto. Os arquivos de log de auditoria estão localizados em /rdsdbdata/log/audit/. Para obter informações sobre como visualizar o arquivo de log no console, consulte Como visualizar e listar arquivos de log do banco de dados. Para obter informações sobre como baixar o arquivo de log, consulte Como baixar um arquivo de log de banco de dados.

Modificar as configurações do plugin de auditoria do MariaDB

Após habilitar o MariaDB Audit Plugin, você pode modificar as configurações do plugin. Para ter mais informações sobre como modificar as configurações da opção, consulte Modificar uma configuração de opção. Para ter mais informações sobre cada configuração, consulte Definições de opções do plugin de auditoria.

Remover o MariaDB Audit Plugin

O Amazon RDS não oferece suporte à desativação do registro em log no MariaDB Audit Plugin. No entanto, você pode remover o plugin de uma instância de banco de dados. Quando você remove o MariaDB Audit Plugin, a instância de banco de dados é reiniciada automaticamente para interromper a auditoria.

Para remover o MariaDB Audit Plugin de uma instância de banco de dados, siga um destes procedimentos:

Remova a opção MariaDB Audit Plugin do grupo de opções ao qual ela pertence. Essa alteração afeta todas as instâncias de bancos de dados que usam o grupo de opções. Para ter mais informações, consulte Remover uma opção de um grupo de opções
Modifique a instância de banco de dados e especifique um grupo de opções diferente que não inclua o plugin. Essa alteração afeta uma única instância de banco de dados. Você pode especificar um grupo de opções padrão (vazio) ou criar um grupo de opções personalizado diferente. Para ter mais informações, consulte Modificar uma instância de banco de dados do Amazon RDS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurar a replicação da posição do arquivo de log binário com uma instância de origem externa

Parâmetros para MariaDB