Suporte ao plug-in de auditoria do MariaDB - Amazon Relational Database Service

Suporte ao plug-in de auditoria do MariaDB

O Amazon RDS oferece suporte ao MariaDB Audit Plugin nas instâncias do banco de dados MySQL. O MariaDB Audit Plugin registra a atividade do banco de dados, como usuários que fazem logon no banco de dados, as consultas são executadas contra o banco de dados e muito mais. O registro da atividade do banco de dados é armazenado em um arquivo de log.

nota

Atualmente, o MariaDB Audit Plugin só é compatível com as seguintes versões do RDS for MySQL:

  • MySQL 8.0.25 e versões 8.0 posteriores

  • MySQL 5.7.16 e versões 5.7 posteriores

  • Todas as versões 5.6

Definições de opções do plug-in de auditoria

O Amazon RDS oferece suporte para as seguintes configurações para a opção MariaDB Audit Plugin.

Configuração da opção Valores válidos Valor padrão Descrição

SERVER_AUDIT_FILE_PATH

/rdsdbdata/log/audit/

/rdsdbdata/log/audit/

A localização dos arquivos de log. O arquivo de log contém o registro de atividades especificadas em SERVER_AUDIT_EVENTS. Para obter mais informações, consulte Como exibir e listar arquivos de log do banco de dados e Arquivos de log do banco de dados MySQL.

SERVER_AUDIT_FILE_ROTATE_SIZE

1–1000000000

1000000

O tamanho em bytes que, quando alcançado, faz com que o arquivo rotacione. Para obter mais informações, consulte Visão geral dos logs do banco de dados MySQL.

SERVER_AUDIT_FILE_ROTATIONS

0–100

9

O número de rotações de log para salvar. Para obter mais informações, consulte Visão geral dos logs do banco de dados MySQL e Como fazer download de um arquivo de log de banco de dados.

SERVER_AUDIT_EVENTS

CONNECT, QUERY, QUERY_DDL, QUERY_DML, QUERY_DML_NO_SELECT, QUERY_DCL

CONNECT, QUERY

Os tipos de atividades a serem gravados no log. A instalação do MariaDB Audit Plugin é registrada em log.

  • CONNECT: registrar conexões bem-sucedidas e sem êxito com o banco de dados e desconexões do banco de dados.

  • QUERY: registrar o texto de todas as consultas executadas no banco de dados.

  • QUERY_DDL: semelhante ao evento de QUERY, mas retorna somente consultas de linguagem de definição de dados (DDL) (CREATE, ALTER, etc.)

  • QUERY_DML: semelhante ao evento de QUERY, mas retorna somente consultas de linguagem de manipulação de dados (DML) (INSERT, UPDATE, etc., bem como SELECT).

  • QUERY_DML_NO_SELECT: semelhante ao evento QUERY_DML, mas não registra consultas de log SELECT.

    A configuração QUERY_DML_NO_SELECT é suportada apenas com o RDS for MySQL 8.0.25 e versões 8.0 posteriores.

  • QUERY_DCL: semelhante ao evento de QUERY, mas retorna somente consultas de linguagem de controle de dados (DCL) (GRANT, REVOKE, etc.)

Para MySQL, TABLE não é compatível.

SERVER_AUDIT_INCL_USERS

Vários valores separados por vírgulas

Nenhum

Inclua apenas atividades dos usuários especificados. Por padrão, a atividade é registrada para todos os usuários. SERVER_AUDIT_INCL_USERS e SERVER_AUDIT_EXCL_USERS são mutuamente exclusivos. Se você adicionar valores ao SERVER_AUDIT_INCL_USERS, certifique-se de que nenhum valor seja adicionado ao SERVER_AUDIT_EXCL_USERS.

SERVER_AUDIT_EXCL_USERS

Vários valores separados por vírgulas

Nenhum

Exclua a atividade dos usuários especificados. Por padrão, a atividade é registrada para todos os usuários. SERVER_AUDIT_INCL_USERS e SERVER_AUDIT_EXCL_USERS são mutuamente exclusivos. Se você adicionar valores ao SERVER_AUDIT_EXCL_USERS, certifique-se de que nenhum valor seja adicionado ao SERVER_AUDIT_INCL_USERS.

O usuário rdsadmin consulta o banco de dados a cada segundo para verificar a integridade do banco de dados. Dependendo das suas outras configurações, essa atividade pode fazer com que o tamanho do seu arquivo de log cresça muito rapidamente. Se você não precisa registrar essa atividade, adicione o usuário rdsadmin à lista SERVER_AUDIT_EXCL_USERS.

nota

CONNECTA atividade é sempre registrada para todos os usuários, mesmo se o usuário é especificado para essa configuração de opção.

SERVER_AUDIT_LOGGING

ON

ON

O registro em log está ativo. O único valor válido é ON. O Amazon RDS não oferece suporte à desativação do registro em log. Se quiser desativar o registro log, remova o MariaDB Audit Plugin. Para obter mais informações, consulte Remover o MariaDB Audit Plugin.

SERVER_AUDIT_QUERY_LOG_LIMIT

0–2147483647

1024

O limite do tamanho da string de consulta em um registro.

Adicionar o MariaDB Audit Plugin

O processo geral para adicionar o MariaDB Audit Plugin a uma instância de banco de dados é o seguinte:

  • Crie um novo grupo de opções, ou copie ou modifique um existente

  • Adicione opções ao grupo de opções

  • Associe o grupo de opções à instância de banco de dados

Depois de adicionar o MariaDB Audit Plugin, você não precisará reiniciar sua instância de banco de dados. Assim que o grupo de opções estiver ativo, a auditoria começará imediatamente.

Importante

Adicionar o plug-in de auditoria do MariaDB a uma instância de banco de dados ode causar uma interrupção. Recomendamos adicionar o plug-in de auditoria do MariaDB durante uma janela de manutenção ou durante um horário de baixa carga de trabalho de banco de dados.

Para adicionar o MariaDB Audit Plugin

  1. Determine o grupo de opções que você deseja usar. Você pode criar um novo grupo de opções ou usar um existente. Se você quiser usar um grupo de opções existente, vá para a próxima etapa. Caso contrário, crie um grupo de opções de banco de dados personalizado. Selecione mysql em Engine (Mecanismo) e escolha 5.6 ou 5.7 em Major engine version (Versão principal do mecanismo). Para obter mais informações, consulte Criar um grupo de opções.

  2. Adicione a opção MARIADB_AUDIT_PLUGIN ao grupo de opções e defina as configurações da opção. Para mais informações sobre a adição de opções, consulte Adicionar uma opção a um grupo de opções. Para mais informações sobre cada configuração, consulte Definições de opções do plug-in de auditoria.

  3. Aplique o grupo de opções a uma instância de banco de dados nova ou existente.

Visualizar e baixar o log do plugin de auditoria do MariaDB

Depois de habilitar o MariaDB Audit Plugin, você acessará os resultados nos arquivos de log da mesma forma que você acessa outros arquivos de log baseados em texto. Os arquivos de log de auditoria estão localizados em /rdsdbdata/log/audit/. Para obter informações sobre como visualizar o arquivo de log no console, consulte Como exibir e listar arquivos de log do banco de dados. Para obter informações sobre como fazer download do arquivo de log, consulte Como fazer download de um arquivo de log de banco de dados.

Modificar as configurações do plug-in de auditoria do MariaDB

Depois de habilitar o MariaDB Audit Plugin, você pode modificar as configurações. Para mais informações sobre como modificar as configurações da opção, consulte Modificar uma configuração de opção. Para mais informações sobre cada configuração, consulte Definições de opções do plug-in de auditoria.

Remover o MariaDB Audit Plugin

O Amazon RDS não oferece suporte à desativação do registro em log no MariaDB Audit Plugin. No entanto, você pode remover o plugin de uma instância de banco de dados. Quando você remove o MariaDB Audit Plugin, a instância de banco de dados é reiniciada automaticamente para interromper a auditoria.

Para remover o MariaDB Audit Plugin de uma instância de banco de dados, siga um destes procedimentos:

  • Remova a opção MariaDB Audit Plugin do grupo de opções ao qual ela pertence. Essa alteração afeta todas as instâncias de bancos de dados que usam o grupo de opções. Para obter mais informações, consulte Remover uma opção de um grupo de opções

  • Modifique a instância de banco de dados e especifique um grupo de opções diferente que não inclua o plugin. Essa alteração afeta uma única instância de banco de dados. Você pode especificar um grupo de opções padrão (vazio) ou criar um grupo de opções personalizado diferente. Para obter mais informações, consulte Modificar uma instância de banco de dados do Amazon RDS.