スナップショットから復元した Redshift クラスターの監査ログ設定について調べてみた

スナップショットから復元した Redshift クラスターの監査ログ設定について調べてみた

Clock Icon2022.08.10

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

監査ログ設定が「有効」となっている Redshift からスナップショットを作成し、そのスナップショットから Redshift クラスターを復元した場合に監査ログ設定が「有効」のままであるか調べてみました。

困っていた内容

Redshift クラスターにおいて、監査ログを「有効」にしての利用を検討しています。
定期的に、手動スナップショットで Redshift クラスターのバックアップを作成する予定ですが、スナップショットから Redshift クラスターを復元する際に監査ログ設定が「有効」となった状態で復元されるのか気になります。

結論

監査ログ設定は「無効」の状態で復元されます。
AWS ドキュメント上に明確な記載が無かった為、検証環境で検証してみました。

やってみた

1.Redshift の監査ログを有効にする

  1. Redshift クラスター"test-cluster"を作成

  2. Redshift クラスター"test-cluster"をマネジメントコンソール上で選択

  3. プロパティタブを選択

  4. 編集ドロップメニューにある「監査ログを編集」から監査ログを有効化


次画面(ポップアップウィンドウ)で、ログの送信先や記録するログが選択可能です。



監査ログ記録が有効になりました!

なお、マネジメントコンソールを利用してクラスターを作成する場合、監査ログを有効の状態でクラスターを作成することはできませんでした。(クラスター作成時の設定項目に、監査ログが無い)

また、 カスタムパラメータグループを作成して、パラメータ「enable_user_activity_logging」を "true" にした状態で新規クラスターを作成しても、監査ログ記録が無効の状態でクラスターは作成されました。

データベース監査ログ作成  

この enable_user_activity_logging パラメータはデフォルトでは有効になっていません (false)。ユーザーアクティビティログを有効にするには、このパラメータを true に設定します。

2.スナップショットを作成する

マネジメントコンソール右上のアクションから、「スナップショットを作成」を選択して監査ログ設定が有効となっている Redshift クラスター手動スナップショットを作成します。


スナップショット識別子を "test-cluster-from-snapshot" としました。

3.スナップショットから Redshift クラスターを復元する

マネジメントコンソール画面左ペインにあるスナップショットを選択すると、現在利用可能なスナップショット一覧が表示されます。
復元するスナップショットを選択した後、「スナップショットを復元」のドロップメニューから「プロビジョニングされたクラスターへの復元」を選択して、クラスターを復元します。


スナップショットからクラスターを復元する際に、追加設定もできますが、監査ログ設定に関する新たな設定項目は無かった為、デフォルトでの復元を実施しました。

4.復元した Redshift クラスターの監査ログ設定を確認

スナップショットから復元した Redshift クラスターを選択して、プロパティタブの「監査ログ記録」を確認したところ、無効となっていました。

まとめ

監査ログ設定を有効とした Redshift クラスターを運用するにあたって、スナップショットから復元した場合は、監査ログ設定を再度有効化する必要があるようです。

なお、セキュリテイグループ、パラメータグループに関しては、クラスター復元時に別の値を指定しない限り、デフォルトのものが使用されると AWS ドキュメントに記載があります。

スナップショットからのクラスターの復元  

新しいクラスターにスナップショットを復元する場合、別の値を指定しない限り、デフォルトのセキュリティグループおよびパラメータグループが使用されます。

参考資料

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.