備忘録です。
結論として、以下の作業をまとめて実施する必要があります。
Aurora の設定
パラメータグループの変更
audit_log を出力するためにはパラメータグループに以下のパラメータの設定が必要です。
| parameter name | value |
|---|---|
| server_audit_logging | 1 |
| server_audit_logs_upload | 1 |
| server_audit_events | CONNECT, QUERY,TABLE |
| server_audit_incl_users | (特定のユーザーのログののみ出力する場合は、こちらでユーザー名を指定) |
なお、 デフォルトのパラメータグループでは設定の変更が行えない ため、注意をしてください。(Audit Log を有効にしたい場合は、その Aurora クラスタ固有のパラメータグループを割り当てる必要があります。)
Aurora クラスターのログ出力定義の変更
ログのエクスポート画面で「監査ログ」をチェックして保存をします。
この作業により自動的に CloudWatch Logs のイベントストリームが作成され、Audit Log が出力されるようになります。
設定の拡張
パラメータグループのうち
- server_audit_incl_users
- server_audit_excl_users
を設定することで、どのユーザーの Audit Log を出力するかを制御することができます。
それぞれの設定範囲が重複した場合どちらが優先されるかは、公式ドキュメントに記載されています。以下はその内容を引用します。
・server_audit_excl_usersとserver_audit_incl_usersが未指定の場合(デフォルト値)は全てのユーザが記録されます
・server_audit_incl_usersにユーザを設定し、server_audit_excl_usersを指定しない場合、server_audit_incl_usersに指定したユーザのみ記録されます
・server_audit_excl_usersにユーザを設定し、server_audit_incl_usersを指定しない場合、server_audit_excl_usersに指定したユーザ以外が記録の対象になります
・server_audit_excl_usersとserver_audit_incl_usersに同一のユーザを設定した場合は、server_audit_incl_usersの優先度が高いため記録の対象になります