この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
公式リファレンスの注記にて説明されている、CloudWatch Logs に監査ログを発行する別の方法について試してみました。
結論
一般的には、監査ログを CloudWatch Logs に発行する場合、下記で紹介されている方法で問題ないです。
調査に至った経緯
「ログのエクスポート」はチェック済み。下記パラメータ状態(server_audit_logs_upload:0)の Aurora MySQL にて、監査ログは CloudWatch Logs に発行されていました。server_audit_logs_upload の値の必要性について疑問に思い、調査しました。
| 名前 | 値 |
|---|---|
| server_audit_events | QUERY |
| server_audit_logging | 1 |
| server_audit_logs_upload | 0 |
設定/確認
ログのエクスポートをオフにします
server_audit_logs_upload:1 にします
「接続とセキュリティ」 より AWSServiceRoleForRDS ロールを追加します
aws_default_logs_role にロールのARNを設定します
CloudWatch Logs に audit log が発行されていることを確認します
5
