Aurora MySQLの監査ログをCloudWatch Logs Insightで確認する

Aurora MySQLの監査ログをCloudWatch Logs Insightで確認する

Aurora MySQLの監査ログをCloudWatch Logs Insightで確認する方法をご紹介します。CW Insightでクエリを実行し、監査ログを効率的に確認できます。
#Amazon Aurora
#Amazon CloudWatch
#AWS
阿部洸樹

阿部洸樹

facebook logohatena logotwitter logo
Clock Icon2019.11.27

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Aurora MySQLの監査ログをCloudWatch Logs Insightで確認する方法をご紹介します。CW Insightでクエリを実行し、監査ログを効率的に確認できます。

パラメーターグループの作成

DBクラスターパラメーターグループを作成します。

パラメータグループを編集します。server_audit_logging1にし、 server_audit_eventsCONNECT, QUERY, QUERY_DCL, QUERY_DDL, QUERY_DML, TABLEとしました。

監査ログから除外するユーザーをserver_audit_excl_usersで指定できます。また、ログに含めるユーザをserver_audit_incl_usersで指定できます。今回はどちらも指定しませんでした。この場合は全てのユーザーが記録されます。

Amazon Auroraの作成

DB クラスターのパラメータグループに作成したパラメーターグループを指定します。

CloudWatch Logsに監査ログをエクスポートします。

CloudWatchロググループへの反映

CloudWatchコンソールを見ると、ロググループ「/aws/rds/cluster/<Auroraクラスタ名>/audit」が作成されます。

ログストリーム名は、<DBインスタンス名>.audit.log.N.YYYY-MM-DD-HH-MI.0.Nの形式です。ログストリームを選択すると、ログを確認できます。

CloudWatch Logs Insightsで確認

CloudWatch Logs Insightsでクエリを実行し、ログを確認します。ロググループと時間を選択します。キャプチャは過去30分を指定していますが、12/1 00:00〜12/2 23:59までといった指定も可能です。ログ20件を時間でソートして表示します。

クエリは以下の通りです。

fields @timestamp, @message
| sort @timestamp desc
| limit 20

クエリ結果は以下のように表示されます。

結果はmarkdownやCSVでエクスポートできます。

ログのパース

@messageとしてまとめて表示されているので、parseしてみます。以下のクエリを実行します。

parse "*,*,*,*,*,*,*,*,*,*" as timestamp,serverhost,username,host,connectionid,queryid,operation,database,object,retcode

ログが各要素ごとに分かれて表示されています。

DBユーザーadminからの接続のみを表示します。

parse "*,*,*,*,*,*,*,*,*,*" as timestamp,serverhost,username,host,connectionid,queryid,operation,database,object,retcode
| filter username = 'admin'

クエリ結果から、CREATE DATABASE mydbCREATE TABLEなどを実行した様子がわかります。

接続元ごとのログ件数を表示します。

parse "*,*,*,*,*,*,*,*,*,*" as timestamp,serverhost,username,host,connectionid,queryid,operation,database,object,retcode
| stats count() by host

接続元ごとのログ件数を表示されました。

簡易的ではありますが、可視化も可能です。時間軸に対するログ件数を表示します。1分ごとのログ件数をグラフにします。

parse "*,*,*,*,*,*,*,*,*,*" as timestamp,serverhost,username,host,connectionid,queryid,operation,database,object,retcode
| stats count () by bin(1m)

グラフは以下のような形です。

まとめ

CloudWatch Logs Insightで監査ログを集計しました。集計は比較的簡単にできますので本記事のクエリを参考にしていただければ幸いです。

検証環境

  • エンジンバージョン:5.7.mysql_aurora.2.07.0

参考

Share this article

facebook logohatena logotwitter logo

関連記事

Amazon RDS/Aurora 初回作成時、拡張モニタリング用IAMロールが存在しないエラーと対処方法

Amazon RDS/Aurora 初回作成時、拡張モニタリング用IAMロールが存在しないエラーと対処方法

User avatar
平井裕二
2024.11.06
Amazon Aurora Limitless Databaseの3種類のテーブルの違い ~ Standard/Sharded/Reference ~

Amazon Aurora Limitless Databaseの3種類のテーブルの違い ~ Standard/Sharded/Reference ~

User avatar
quiver
2024.11.02
書き込み性能がスケールアウトする Amazon Aurora PostgreSQL Limitless Database が一般提供となったので、実際に機能して試してみました!

書き込み性能がスケールアウトする Amazon Aurora PostgreSQL Limitless Database が一般提供となったので、実際に機能して試してみました!

AWS、「Amazon Aurora PostgreSQL Limitless Database」を正式提供開始

AWS、「Amazon Aurora PostgreSQL Limitless Database」を正式提供開始

User avatar
quiver
2024.11.01
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.