Db2-Auditprotokollierung - Amazon Relational Database Service
Einrichtung der Db2-AuditprotokollierungVerwaltung der Db2-AuditprotokollierungAnzeigen von Audit-ProtokollenFehlerbehebung für die -Prüfungsprotokollierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Db2-Auditprotokollierung

Mit der Db2-Audit-Protokollierung RDS zeichnet Amazon Datenbankaktivitäten auf, darunter Benutzer, die sich an der Datenbank anmelden, und Abfragen, die in der Datenbank ausgeführt werden. RDSlädt die abgeschlossenen Audit-Logs mithilfe der von Ihnen angegebenen Rolle AWS Identity and Access Management (IAM) in Ihren Amazon S3 S3-Bucket hoch.

Einrichtung der Db2-Audit-Protokollierung

Um die Audit-Protokollierung für eine Amazon RDS for Db2-Datenbank zu aktivieren, aktivieren Sie die DB2_AUDIT Option auf der RDS for Db2-DB-Instance. Konfigurieren Sie anschließend eine Überwachungsrichtlinie, um die Funktion für die jeweilige Datenbank zu aktivieren. Um die Option RDS für die DB2-DB-Instance zu aktivieren, konfigurieren Sie die Optionseinstellungen für die DB2_AUDIT Option. Sie tun dies, indem Sie die Amazon-Ressourcennamen (ARNs) für Ihren Amazon S3-Bucket und die IAM Rolle mit Zugriffsberechtigungen für Ihren Bucket angeben.

Gehen Sie wie folgt vor, um die Db2-Audit-Protokollierung RDS für eine For-Db2-Datenbank einzurichten.

Schritt 1: Einen Amazon-S3-Bucket erstellen

Falls Sie dies noch nicht getan haben, erstellen Sie einen Amazon S3 S3-Bucket, in den Amazon die Audit-Protokolldateien Ihrer RDS for Db2-Datenbank hochladen RDS kann. Für den S3-Bucket, den Sie als Ziel für die Überwachungsdateien verwenden, gelten folgende Einschränkungen:

  • Es muss sich in derselben Datei AWS-Region wie Ihre RDS for Db2-DB-Instance befinden.

  • Er darf nicht öffentlich zugänglich sein.

  • Es kann S3 Object Lock nicht verwenden.

  • Der Bucket-Besitzer muss auch der IAM Rollenbesitzer sein.

Informationen zum Erstellen eines Amazon S3 S3-Buckets finden Sie unter Erstellen eines Buckets im Amazon S3 S3-Benutzerhandbuch.

Nachdem Sie die Audit-Protokollierung aktiviert haben, sendet Amazon die Protokolle von Ihrer DB-Instance RDS automatisch an die folgenden Speicherorte:

  • Protokolle auf DB-Instance-Ebene — bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/

  • Protokolle auf Datenbankebene — bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/db_name/

Notieren Sie sich den Amazon-Ressourcennamen (ARN) für Ihren Bucket. Diese Informationen werden benötigt, um die nachfolgenden Schritte abzuschließen.

Schritt 2: Erstellen Sie eine IAM Richtlinie

Erstellen Sie eine IAM Richtlinie mit den erforderlichen Berechtigungen, um Audit-Protokolldateien von Ihrer DB-Instance in Ihren Amazon S3 S3-Bucket zu übertragen. Bei diesem Schritt wird davon ausgegangen, dass Sie über einen S3-Bucket verfügen.

Bevor Sie die Richtlinie erstellen, sollten Sie die folgenden Informationen sammeln:

  • Das ARN für deinen Bucket.

  • Der Schlüssel ARN for your AWS Key Management Service (AWS KMS), wenn Ihr Bucket SSE-KMS Verschlüsselung verwendet.

Erstellen Sie eine IAM Richtlinie, die die folgenden Berechtigungen umfasst:

"s3:ListBucket",
 "s3:GetBucketACL",
 "s3:GetBucketLocation",
 "s3:PutObject",
 "s3:ListMultipartUploadParts",
 "s3:AbortMultipartUpload",
 "s3:ListAllMyBuckets"
Anmerkung

Amazon RDS benötigt die s3:ListAllMyBuckets Aktion intern, um zu überprüfen, ob dieselbe Person sowohl den S3-Bucket als auch die RDS for Db2-DB-Instance AWS-Konto besitzt.

Wenn Ihr Bucket SSE-KMS Verschlüsselung verwendet, geben Sie auch die folgenden Berechtigungen an:

"kms:GenerateDataKey",
 "kms:Decrypt"

Sie können eine IAM Richtlinie erstellen, indem Sie das AWS Management Console oder das AWS Command Line Interface (AWS CLI) verwenden.

Um eine IAM Richtlinie zu erstellen, die Amazon den Zugriff RDS auf Ihren Amazon S3 S3-Bucket ermöglicht

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Wählen Sie Richtlinie erstellen und dann JSON.

  4. Filtern Sie unter Aktionen hinzufügen nach S3. Zugriff hinzufügen ListBucketGetBucketAcl, und GetBucketLocation.

  5. Wählen Sie unter Ressource hinzufügen die Option Hinzufügen aus. Wählen Sie unter Ressourcentyp die Option Bucket aus und geben Sie den Namen Ihres Buckets ein. Wählen Sie dann Ressource hinzufügen aus.

  6. Wählen Sie Neuen Kontoauszug hinzufügen aus.

  7. Filtern Sie unter Aktionen hinzufügen nach S3. Zugriff hinzufügen PutObjectListMultipartUploadParts, und AbortMultipartUpload.

  8. Wählen Sie unter Ressource hinzufügen die Option Hinzufügen aus. Wählen Sie für Ressourcentyp die Option Objekt und geben Sie ein your bucket name/*. Wählen Sie dann Ressource hinzufügen aus.

  9. Wählen Sie Neuen Kontoauszug hinzufügen aus.

  10. Filtern Sie unter Aktionen hinzufügen nach S3. Zugriff hinzufügen ListAllMyBuckets.

  11. Wählen Sie unter Ressource hinzufügen die Option Hinzufügen aus. Wählen Sie als Ressourcentyp die Option Alle Ressourcen aus. Wählen Sie dann Ressource hinzufügen aus.

  12. Wenn Sie Ihre eigenen KMS Schlüssel verwenden, um die Daten zu verschlüsseln:

    1. Wählen Sie Neue Aussage hinzufügen.

    2. Filtern Sie unter Aktionen hinzufügen nachKMS. Fügen Sie Zugriff hinzu GenerateDataKeyund Entschlüsseln.

    3. Wählen Sie unter Ressource hinzufügen die Option Hinzufügen aus. Wählen Sie als Ressourcentyp die Option Alle Ressourcen aus. Wählen Sie dann Ressource hinzufügen aus.

  13. Wählen Sie Weiter.

  14. Geben Sie unter Richtlinienname einen Namen für diese Richtlinie ein.

  15. (Optional) Geben Sie im Feld Description (Beschreibung) eine Beschreibung für diese Richtlinie ein.

  16. Wählen Sie Create Policy (Richtlinie erstellen) aus.

Um eine IAM Richtlinie zu erstellen, die Amazon den Zugriff RDS auf Ihren Amazon S3 S3-Bucket ermöglicht

  1. Führen Sie den Befehl create-policy aus. Ersetzen Sie im folgenden Beispiel iam_policy_name and amzn-s3-demo-bucket mit einem Namen für Ihre IAM Richtlinie und dem Namen Ihres Amazon S3 S3-Ziel-Buckets.

    Für LinuxmacOS, oderUnix:

    aws iam create-policy \
    --policy-name iam_policy_name \
    --policy-document '{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "Statement1",
                "Effect": "Allow",
                "Action": [
                    "s3:ListBucket",
                    "s3:GetBucketAcl",
                    "s3:GetBucketLocation"
                ],
                "Resource": [
                    "arn:aws:s3:::amzn-s3-demo-bucket"
                ]
            },
            {
                "Sid": "Statement2",
                "Effect": "Allow",
                "Action": [
                    "s3:PutObject",
                    "s3:ListMultipartUploadParts",
                    "s3:AbortMultipartUpload"
                ],
                "Resource": [
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"
                ]
            },
            {
                "Sid": "Statement3",
                "Effect": "Allow",
                "Action": [
                    "s3:ListAllMyBuckets"
                ],
                "Resource": [
                    "*"
                ]
            },
            {
                "Sid": "Statement4",
                "Effect": "Allow",
                "Action": [
                    "kms:GenerateDataKey",
                    "kms:Decrypt"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
  }'

    Windows:

    aws iam create-policy ^
    --policy-name iam_policy_name ^
    --policy-document '{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "Statement1",
                "Effect": "Allow",
                "Action": [
                    "s3:ListBucket",
                    "s3:GetBucketAcl",
                    "s3:GetBucketLocation"
                ],
                "Resource": [
                    "arn:aws:s3:::amzn-s3-demo-bucket"
                ]
            },
            {
                "Sid": "Statement2",
                "Effect": "Allow",
                "Action": [
                    "s3:PutObject",
                    "s3:ListMultipartUploadParts",
                    "s3:AbortMultipartUpload"
                ],
                "Resource": [
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"
                ]
            },
            {
                "Sid": "Statement3",
                "Effect": "Allow",
                "Action": [
                    "s3:ListAllMyBuckets"
                ],
                "Resource": [
                    "*"
                ]
            },
            {
                "Sid": "Statement4",
                "Effect": "Allow",
                "Action": [
                    "kms:GenerateDataKey",
                    "kms:Decrypt"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
  }'

  2. Notieren Sie sich nach der Erstellung der Richtlinie den ARN Inhalt der Richtlinie. Sie benötigen das ARN fürSchritt 3: Erstellen Sie eine IAM Rolle und fügen Sie Ihre IAM Richtlinie hinzu.

Informationen zum Erstellen einer IAM Richtlinie finden Sie im IAM Benutzerhandbuch unter IAMRichtlinien erstellen.

Schritt 3: Erstellen Sie eine IAM Rolle und fügen Sie Ihre IAM Richtlinie hinzu

Bei diesem Schritt wird davon ausgegangen, dass Sie die IAM Richtlinie in erstellt habenSchritt 2: Erstellen Sie eine IAM Richtlinie. In diesem Schritt erstellen Sie eine IAM Rolle RDS für Ihre DB2-DB-Instance und fügen dann Ihre IAM Richtlinie der Rolle hinzu.

Sie können eine IAM Rolle für Ihre DB-Instance mithilfe der Konsole oder der AWS CLI erstellen.

Um eine IAM Rolle zu erstellen und ihr Ihre IAM Richtlinie anzuhängen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie Rolle erstellen aus.

  4. Wählen Sie unter Vertrauenswürdiger Entitätstyp die Option AWS-Service.

  5. Wählen RDSSie für Dienst oder Anwendungsfall die Option und dann RDS— Rolle zur Datenbank hinzufügen aus.

  6. Wählen Sie Weiter.

  7. Suchen Sie unter Berechtigungsrichtlinien nach dem Namen der IAM Richtlinie, die Sie erstellt haben, und wählen Sie ihn aus.

  8. Wählen Sie Weiter.

  9. Geben Sie für Role name (Rollenname) einen Rollennamen ein.

  10. (Optional) Geben Sie unter Role description (Rollenbeschreibung) eine Beschreibung für die neue Rolle ein.

  11. Wählen Sie Rolle erstellen.

Um eine IAM Rolle zu erstellen und ihr Ihre IAM Richtlinie anzuhängen

  1. Führen Sie den Befehl create-role aus. Ersetzen Sie im folgenden Beispiel iam_role_name durch einen Namen für Ihre IAM Rolle.

    Für LinuxmacOS, oderUnix:

    aws iam create-role \
    --role-name iam_role_name \
    --assume-role-policy-document '{
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": "rds.amazonaws.com"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }'

    Windows:

    aws iam create-role ^
    --role-name iam_role_name ^
    --assume-role-policy-document '{
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": "rds.amazonaws.com"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }'

  2. Nachdem die Rolle erstellt wurde, notieren Sie sich die ARN Angaben zu dieser Rolle. Sie benötigen dies ARN für den nächsten Schritt,Schritt 4: Konfigurieren Sie eine Optionsgruppe für die Db2-Auditprotokollierung.

  3. Führen Sie den Befehl attach-role-policy aus. Ersetzen Sie im folgenden Beispiel iam_policy_arn durch die ARN der IAM Richtlinie, die Sie in erstellt habenSchritt 2: Erstellen Sie eine IAM Richtlinie. Ersetzen iam_role_name mit dem Namen der IAM Rolle, die Sie gerade erstellt haben.

    Für LinuxmacOS, oderUnix:

    aws iam attach-role-policy \
   --policy-arn iam_policy_arn \
   --role-name iam_role_name

    Windows:

    aws iam attach-role-policy ^
   --policy-arn iam_policy_arn ^
   --role-name iam_role_name

Weitere Informationen finden Sie im Benutzerhandbuch unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM IAM Benutzer.

Schritt 4: Konfigurieren Sie eine Optionsgruppe für die Db2-Auditprotokollierung

Das Hinzufügen der Db2-Audit-Logging-Option zu einer RDS für Db2-DB-Instance ist wie folgt:

  1. Erstellen Sie eine neue Optionsgruppe oder kopieren oder ändern Sie eine bestehende Optionsgruppe.

  2. Fügen Sie alle erforderlichen Optionen hinzu und konfigurieren Sie diese.

  3. Ordnen Sie die Optionsgruppe der DB-Instance zu.

Nachdem Sie die Db2-Audit-Logging-Option hinzugefügt haben, müssen Sie Ihre DB-Instance nicht neu starten. Sobald die Optionsgruppe aktiv ist, können Sie Überwachungen erstellen und Audit-Protokolle in Ihrem S3-Bucket speichern.

Um die Db2-Auditprotokollierung in der Optionsgruppe einer DB-Instance hinzuzufügen und zu konfigurieren

  1. Wählen Sie eine der folgenden Optionen aus:

    • Verwenden einer vorhandenen Optionsgruppe.

    • Erstellen Sie eine benutzerdefinierte DB-Optionsgruppe und verwenden Sie diese Optionsgruppe. Weitere Informationen finden Sie unter Erstellen einer Optionsgruppe.

  2. Fügen Sie der Optionsgruppe die AUDIT Option DB2_ hinzu und konfigurieren Sie die Optionseinstellungen. Weitere Informationen über das Hinzufügen von Optionen finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.

    • Geben Sie für IAMROLE_ _ ARN die IAM Rolle ein, in ARN der Sie sie erstellt habenSchritt 3: Erstellen Sie eine IAM Rolle und fügen Sie Ihre IAM Richtlinie hinzu.

    • Geben Sie für S3_ BUCKET _ den Wert des S3-Buckets einARN, ARN der für Ihre Db2-Audit-Logs verwendet werden soll. Der Bucket muss sich in derselben Region wie Ihre RDS Db2-DB-Instance befinden. Die Richtlinie, die mit der von Ihnen eingegebenen IAM Rolle verknüpft ist, muss die erforderlichen Operationen für diese Ressource zulassen.

  3. Wenden Sie die Optionsgruppe auf eine neue oder vorhandene DB-Instance an. Wählen Sie eine der folgenden Optionen aus:

    • Wenn Sie eine neue DB-Instance erstellen, weisen Sie die Optionsgruppe beim Start der Instance zu.

    • Weisen Sie bei einer bestehenden DB-Instance die Optionsgruppe zu, indem Sie die Instance ändern und die neue Optionsgruppe anhängen. Weitere Informationen finden Sie unter Ändern einer Amazon RDS DB-Instance.

Schritt 5: Konfigurieren Sie die Überwachungsrichtlinie

Um die Audit-Richtlinie für Ihre RDS for Db2-Datenbank zu konfigurieren, stellen Sie mit dem Master-Benutzernamen und dem Master-Passwort für Ihre RDS for Db2-DB-Instance eine Verbindung zur rdsadmin Datenbank her. Rufen Sie dann die rdsadmin.configure_db_audit gespeicherte Prozedur mit dem DB-Namen Ihrer Datenbank und den entsprechenden Parameterwerten auf.

Im folgenden Beispiel wird eine Verbindung mit der Datenbank hergestellt und eine Überwachungsrichtlinie für testdb mit den KategorienAUDIT,CHECKING, OBJMAINT SECMAINTSYSADMIN, und VALIDATE konfiguriert. Mit dem Statuswert BOTH werden Erfolge und Fehlschläge protokolliert, und ERROR TYPE zwar NORMAL standardmäßig. Weitere Hinweise zur Verwendung dieser gespeicherten Prozedur finden Sie unterrdsadmin.configure_db_audit.

db2 "connect to rdsadmin user master_user using master_password"
db2 "call rdsadmin.configure_db_audit('testdb', 'ALL', 'BOTH', ?)"

Schritt 6: Überprüfen Sie die Audit-Konfiguration

Um sicherzustellen, dass Ihre Audit-Richtlinie korrekt eingerichtet ist, überprüfen Sie den Status Ihrer Audit-Konfiguration.

Um die Konfiguration zu überprüfen, stellen Sie mit dem Master-Benutzernamen und dem Master-Passwort RDS für Ihre DB2-DB-Instance eine Verbindung zur rdsadmin Datenbank her. Führen Sie dann die folgende SQL Anweisung mit dem DB-Namen Ihrer Datenbank aus. Im folgenden Beispiel lautet der DB-Name testdb.

db2 "select task_id, task_type, database_name, lifecycle,
    varchar(bson_to_json(task_input_params), 500) as task_params,
    cast(task_output as varchar(500)) as task_output
    from table(rdsadmin.get_task_status(null,'testdb','CONFIGURE_DB_AUDIT'))"
    
Sample Output
 
TASK_ID              TASK_TYPE            DATABASE_NAME       LIFECYCLE
-------------------- -------------------- --------------- -------------
                   2  CONFIGURE_DB_AUDIT            DB2DB       SUCCESS

... continued ...
TASK_PARAMS                                
-------------------------------------------------------- 
{ "AUDIT_CATEGORY" : "ALL", "CATEGORY_SETTING" : "BOTH" }            

... continued ...
                                        TASK_OUTPUT
---------------------------------------------------
2023-12-22T20:27:03.029Z Task execution has started.

2023-12-22T20:27:04.285Z Task execution has completed successfully.

Verwaltung der Db2-Auditprotokollierung

Nachdem Sie die Db2-Auditprotokollierung eingerichtet haben, können Sie die Überwachungsrichtlinie für eine bestimmte Datenbank ändern oder die Auditprotokollierung auf Datenbankebene oder für die gesamte DB-Instance deaktivieren. Sie können auch den Amazon S3 S3-Bucket ändern, in den Ihre Protokolldateien hochgeladen werden.

Änderung einer Db2-Audit-Richtlinie

Um die Überwachungsrichtlinie für eine bestimmte RDS Db2-Datenbank zu ändern, führen Sie die rdsadmin.configure_db_audit gespeicherte Prozedur aus. Mit dieser gespeicherten Prozedur können Sie die Kategorien, Kategorieeinstellungen und die Fehlertypkonfiguration der Überwachungsrichtlinie ändern. Weitere Informationen finden Sie unter rdsadmin.configure_db_audit.

Ändern Sie den Speicherort Ihrer Protokolldateien

Gehen Sie wie folgt vor, um den Amazon S3 S3-Bucket zu ändern, in den Ihre Protokolldateien hochgeladen werden:

  • Ändern Sie die aktuelle Optionsgruppe, die Ihrer RDS DB2-DB-Instance zugeordnet ist — Aktualisieren Sie die S3_BUCKET_ARN Einstellung für die DB2_AUDIT Option, sodass sie auf den neuen Bucket verweist. Stellen Sie außerdem sicher, dass Sie die IAM Richtlinie aktualisieren, die der IAM Rolle zugeordnet ist, die durch die IAM_ROLE_ARN Einstellung in der angehängten Optionsgruppe angegeben wurde. Diese IAM Richtlinie muss Ihrem neuen Bucket die erforderlichen Zugriffsberechtigungen gewähren. Informationen zu den in der IAM Richtlinie erforderlichen Berechtigungen finden Sie unterErstellen Sie eine IAM Richtlinie.

  • Fügen Sie Ihre RDS for Db2-DB-Instance einer anderen Optionsgruppe hinzu — Ändern Sie Ihre DB-Instance, um die Optionsgruppe zu ändern, die ihr zugeordnet ist. Stellen Sie sicher, dass die neue Optionsgruppe mit den richtigen S3_BUCKET_ARN IAM_ROLE_ARN AND-Einstellungen konfiguriert ist. Informationen zur Konfiguration dieser Einstellungen für die DB2_AUDIT Option finden Sie unterKonfigurieren Sie eine Optionsgruppe.

Wenn Sie die Optionsgruppe ändern, stellen Sie sicher, dass Sie die Änderungen sofort übernehmen. Weitere Informationen finden Sie unter Ändern einer Amazon RDS DB-Instance.

Deaktivieren der Db2-Auditprotokollierung

Gehen Sie wie folgt vor, um die Db2-Auditprotokollierung zu deaktivieren:

  • Deaktivieren Sie die Audit-Protokollierung RDS für die Db2-DB-Instance — Ändern Sie Ihre DB-Instance und entfernen Sie die Optionsgruppe mit der DB2_AUDIT Option daraus. Weitere Informationen finden Sie unter Ändern einer Amazon RDS DB-Instance.

  • Deaktivieren Sie die Audit-Protokollierung für eine bestimmte Datenbank — Beenden Sie die Audit-Protokollierung und entfernen Sie die Audit-Richtlinie, indem Sie rdsadmin.disable_db_audit mit dem DB-Namen Ihrer Datenbank aufrufen. Weitere Informationen finden Sie unter rdsadmin.disable_db_audit.

    db2 "call rdsadmin.disable_db_audit(
    'db_name')"

Anzeigen von Audit-Protokollen

Nachdem Sie die Db2-Audit-Protokollierung aktiviert haben, warten Sie mindestens eine Stunde, bevor Sie sich die Audit-Daten in Ihrem Amazon S3 S3-Bucket ansehen. Amazon sendet die Protokolle RDS automatisch von Ihrer RDS for Db2-DB-Instance an die folgenden Speicherorte:

  • Protokolle auf DB-Instance-Ebene — bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/

  • Protokolle auf Datenbankebene — bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/db_name/

Der folgende Beispiel-Screenshot der Amazon S3 S3-Konsole zeigt eine Liste von Ordnern RDS für Protokolldateien auf DB2-DB-Instance-Ebene.

Amazon S3 S3-Konsole mit ausgewählter Registerkarte „Objekte“, die eine Liste von Ordnern RDS für Protokolldateien auf DB2-DB-Instance-Ebene anzeigt.

Der folgende Beispiel-Screenshot der Amazon S3 S3-Konsole zeigt Protokolldateien auf Datenbankebene für die RDS for Db2-DB-Instance.

Amazon S3 S3-Konsole mit ausgewählter Registerkarte „Objekte“, in der Protokolldateien auf Datenbankebene RDS für die DB2-DB-Instance angezeigt werden.

Fehlerbehebung bei der Db2-Audit-Protokollierung

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme mit der Db2-Auditprotokollierung zu beheben.

Die Überwachungsrichtlinie kann nicht konfiguriert werden

Wenn beim Aufrufen der gespeicherten Prozedur ein Fehler rdsadmin.configure_db_audit zurückgegeben wird, kann es sein, dass die Optionsgruppe mit der DB2_AUDIT Option nicht mit der RDS for Db2-DB-Instance verknüpft ist. Ändern Sie die DB-Instance, um die Optionsgruppe hinzuzufügen, und versuchen Sie dann erneut, die gespeicherte Prozedur aufzurufen. Weitere Informationen finden Sie unter Ändern einer Amazon RDS DB-Instance.

Keine Daten im Amazon S3 S3-Bucket

Wenn Protokolldaten im Amazon S3 S3-Bucket fehlen, überprüfen Sie Folgendes:

  • Der Amazon S3 S3-Bucket befindet sich in derselben Region wie Ihre RDS für Db2-DB-Instance.

  • Die Rolle, die Sie in der IAM_ROLE_ARN Optionseinstellung angegeben haben, ist mit den erforderlichen Berechtigungen zum Hochladen von Protokollen in Ihren Amazon S3 S3-Bucket konfiguriert. Weitere Informationen finden Sie unter Erstellen Sie eine IAM Richtlinie.

  • Die Einstellungen ARNs für die S3_BUCKET_ARN Optionen IAM_ROLE_ARN und sind in der Optionsgruppe, die Ihrer RDS DB2-DB-Instance zugeordnet ist, korrekt. Weitere Informationen finden Sie unter Konfigurieren Sie eine Optionsgruppe.

Sie können den Aufgabenstatus Ihrer Audit-Logging-Konfiguration überprüfen, indem Sie eine Verbindung zur Datenbank herstellen und eine SQL Anweisung ausführen. Weitere Informationen finden Sie unter Überprüfen Sie die Audit-Konfiguration.

Sie können auch Ereignisse überprüfen, um mehr darüber zu erfahren, warum Protokolle möglicherweise fehlen. Informationen zum Anzeigen von Ereignissen finden Sie unterProtokolle, Ereignisse und Streams in der RDS Amazon-Konsole anzeigen.