Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Options pour les instances de base de données Amazon RDS for Db2
La section suivante décrit les options ou fonctionnalités supplémentaires, disponibles pour les instances Amazon RDS exécutant le moteur de base de données Db2. Pour activer ces options, vous pouvez les ajouter à un groupe d’options personnalisé, puis associer ce dernier à votre instance de base de données. Pour plus d’informations sur l’utilisation de groupes d’options, consultez [Utilisation de groupes d’options](USER_WorkingWithOptionGroups.md).
Amazon RDS prend en charge les options suivantes pour Db2 :
| Option | ID d’option |
| --- | --- |
| [Journalisation des audits Db2](Db2.Options.Audit.md) | `DB2_AUDIT` |
# Journalisation des audits Db2
Avec la journalisation des audits Db2, Amazon RDS enregistre l’activité de la base de données, y compris la connexion des utilisateurs à la base de données et les requêtes exécutées sur la base de données. RDS télécharge les journaux d'audit complets dans votre compartiment Amazon S3, en utilisant le rôle Gestion des identités et des accès AWS (IAM) que vous fournissez.
**Topics**
+ [Configuration de la journalisation des audits Db2](#db2-audit-setting-up)
+ [Gestion de la journalisation des audits Db2](#db2-audit-managing)
+ [Consultation des journaux d’audit](#db2-audit-viewing-logs)
+ [Résolution des problèmes de journalisation des audits Db2](#db2-audit-troubleshooting)
## Configuration de la journalisation des audits Db2
Pour activer la journalisation des audits pour une base de données Amazon RDS for Db2, vous devez activer l’option `DB2_AUDIT` sur l’instance de base de données RDS for Db2. Configurez ensuite une politique d’audit pour activer la fonctionnalité pour la base de données spécifique. Pour activer l’option sur l’instance de base de données RDS for Db2, vous devez configurer les paramètres de l’option `DB2_AUDIT`. Pour ce faire, vous devez fournir les noms de ressources Amazon (ARNs) pour votre compartiment Amazon S3 et le rôle IAM avec les autorisations d'accès à votre compartiment.
Pour configurer la journalisation des audits Db2 pour une base de données RDS for Db2, procédez comme suit.
**Topics**
+ [Étape 1 : Créer un compartiment Amazon S3](#db2-audit-create-s3-bucket)
+ [Étape 2 : création d’une politique IAM](#db2-audit-create-iam-policy)
+ [Étape 3 : création d’un rôle IAM et ajoute de votre politique IAM](#db2-audit-create-iam-role)
+ [Étape 4 : configuration d’un groupe d’options pour la journalisation des audits Db2](#db2-audit-configure-options-group)
+ [Étape 5 : configuration de la politique d’audit](#db2-audit-configure-audit-policy)
+ [Étape 6 : vérification de la configuration de l’audit](#db2-audit-check-config-status)
### Étape 1 : Créer un compartiment Amazon S3
Si vous ne l’avez pas déjà fait, créez un compartiment Amazon S3 dans lequel Amazon RDS peut charger les fichiers journaux des audits de la base de données RDS for Db2. Les restrictions suivantes s’appliquent au compartiment S3 que vous utilisez comme cible pour vos fichiers d’audit :
+ Il doit se trouver dans le même emplacement Région AWS que votre instance de base de données RDS pour DB2.
+ Il ne doit pas être ouvert au public.
+ Le propriétaire du compartiment doit également être le propriétaire du rôle IAM.
Pour savoir comment créer un compartiment Amazon S3, consultez [Création d’un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) dans le *Guide de l’utilisateur Amazon S3*.
Une fois que vous avez activé la journalisation des audits, Amazon RDS envoie automatiquement les journaux depuis votre instance de base de données vers les emplacements suivants :
+ Journaux au niveau des instances de base de données : `bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/`
+ Journaux au niveau de la base de données : `bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/db_name/`
Notez l’Amazon Resource Name (ARN) de votre compartiment. Ces informations sont nécessaires pour compléter les étapes suivantes.
### Étape 2 : création d’une politique IAM
Créez une politique IAM avec les autorisations requises pour transférer des fichiers journaux depuis votre instance de base de données vers votre compartiment Amazon S3. Cette étape suppose également que vous avez déjà créé un compartiment S3.
Avant de créer la politique, rassemblez les informations suivantes :
+ L’ARN de votre compartiment.
+ L'ARN de votre clé AWS Key Management Service (AWS KMS), si votre compartiment utilise SSE-KMS le chiffrement.
Créez une politique IAM qui inclut les autorisation suivantes :
```
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:ListAllMyBuckets"
```
**Note**
Amazon RDS a besoin d'une `s3:ListAllMyBuckets` action interne pour vérifier qu'il Compte AWS est propriétaire à la fois du compartiment S3 et de l'instance de base de données RDS pour DB2.
Si votre compartiment utilise SSE-KMS le chiffrement, incluez également les autorisations suivantes pour votre rôle et votre AWS KMS clé IAM.
Ajoutez les autorisations suivantes à la politique de votre rôle IAM.
```
"kms:GenerateDataKey",
"kms:Decrypt"
```
Incluez les autorisations suivantes dans la politique de clé pour votre AWS KMS clé. *111122223333*Remplacez-le par votre numéro de compte et *AROA123456789EXAMPLE* par le nom de votre rôle IAM.
```
{
"Sid": "Allow RDS role to use the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:sts::111122223333:assumed-role/AROA123456789EXAMPLE/RDS-Db2Audit",
"arn:aws:iam::111122223333:role/AROA123456789EXAMPLE"
]
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
```
Vous pouvez créer une politique IAM en utilisant le AWS Management Console ou le AWS Command Line Interface (AWS CLI).
#### Console
**Pour créer une politique IAM afin d'autoriser Amazon RDS à accéder à votre compartiment Amazon S3**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Sélectionnez **Créer une politique**, puis choisissez **JSON**.
1. Dans **Ajouter des actions**, filtrez par **S3**. Ajoutez l'accès **ListBucket**GetBucketAcl****, et **GetBucketLocation**.
1. Pour **Ajouter une ressource**, choisissez **Ajouter**. Pour **Type de ressource**, choisissez **compartiment**, puis entrez le nom de votre compartiment. Choisissez ensuite **Ajouter une ressource**.
1. Choisissez **Ajouter une nouvelle instruction**.
1. Dans **Ajouter des actions**, filtrez par **S3**. Ajoutez l'accès **PutObject**ListMultipartUploadParts****, et **AbortMultipartUpload**.
1. Pour **Ajouter une ressource**, choisissez **Ajouter**. Pour **Type de ressource**, choisissez **un objet**, puis entrez*your bucket name/\$1*. Choisissez ensuite **Ajouter une ressource**.
1. Choisissez **Ajouter une nouvelle instruction**.
1. Dans **Ajouter des actions**, filtrez par **S3**. Ajoutez un accès **ListAllMyBuckets**.
1. Pour **Ajouter une ressource**, choisissez **Ajouter**. Pour **Type de ressource**, sélectionnez **Toutes les ressources**. Choisissez ensuite **Ajouter une ressource**.
1. Si vous utilisez vos propres clés KMS pour chiffrer les données :
1. Choisissez **Ajouter une nouvelle instruction**.
1. Dans **Ajouter des actions**, filtrez par KMS. Ajoutez l'accès **GenerateDataKey**et **déchiffrez.**
1. Pour **Ajouter une ressource**, choisissez **Ajouter**. Pour **Type de ressource**, sélectionnez **Toutes les ressources**. Choisissez ensuite **Ajouter une ressource**.
1. Choisissez **Suivant**.
1. Pour **Nom de la politique**, attribuez un nom à cette politique.
1. (Facultatif) Pour **Description**, saisissez une description pour cette stratégie.
1. Choisissez **Create Policy** (Créer une politique).
#### AWS CLI
**Pour créer une politique IAM afin d’autoriser Amazon RDS à accéder à votre compartiment Amazon S3**
1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html). Dans l'exemple suivant, remplacez *iam\$1policy\$1name* et *amzn-s3-demo-bucket* par le nom de votre politique IAM et le nom de votre compartiment Amazon S3 cible.
Pour Linux, macOS ou Unix :
```
aws iam create-policy \
--policy-name iam_policy_name \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "Statement3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"*"
]
},
{
"Sid": "Statement4",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"*"
]
}
]
}'
```
Pour Windows :
```
aws iam create-policy ^
--policy-name iam_policy_name ^
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "Statement3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"*"
]
},
{
"Sid": "Statement4",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"*"
]
}
]
}'
```
1. Après avoir créé la politique, notez son ARN. Vous en aurez besoin pour [Étape 3 : création d’un rôle IAM et ajoute de votre politique IAM](#db2-audit-create-iam-role).
Pour plus d’informations sur la création d’une politique IAM, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le Guide de l’utilisateur IAM.
### Étape 3 : création d’un rôle IAM et ajoute de votre politique IAM
Cette étape suppose que vous avez créé la politique IAM dans [Étape 2 : création d’une politique IAM](#db2-audit-create-iam-policy). Au cours de cette étape, vous créez un rôle IAM pour votre instance de base de données RDS for Db2, puis attachez votre politique IAM au rôle.
Vous pouvez créer un rôle IAM pour votre instance de base de données en utilisant la console ou l’ AWS CLI.
#### Console
**Création d’un rôle IAM et ajout de votre politique IAM**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Sélectionnez **Create role** (Créer un rôle).
1. Pour **Type d’entité de confiance**, choisissez **Service AWS**.
1. Pour **Service ou cas d’utilisation**, sélectionnez **RDS**, puis sélectionnez **RDS – Ajouter un rôle à la base de données**.
1. Choisissez **Suivant**.
1. Pour **Politiques d’autorisations**, recherchez et sélectionnez le nom de la politique IAM que vous avez créée.
1. Choisissez **Suivant**.
1. Pour **Role name** (Nom du rôle), saisissez un nom de rôle.
1. (Facultatif) Pour **Description**, saisissez une description pour le nouveau rôle.
1. Choisissez **Créer un rôle**.
#### AWS CLI
**Création d’un rôle IAM et ajout de votre politique IAM**
1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html). Dans l'exemple suivant, remplacez-le *iam\$1role\$1name* par le nom de votre rôle IAM.
Pour Linux, macOS ou Unix :
```
aws iam create-role \
--role-name iam_role_name \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rds.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
Pour Windows :
```
aws iam create-role ^
--role-name iam_role_name ^
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rds.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. Une fois le rôle créé, notez son ARN. Vous avez besoin de cet ARN à la prochaine étape, [Étape 4 : configuration d’un groupe d’options pour la journalisation des audits Db2](#db2-audit-configure-options-group).
1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html). Dans l'exemple suivant, remplacez *iam\$1policy\$1arn* par l'ARN de la politique IAM que vous avez créée dans[Étape 2 : création d’une politique IAM](#db2-audit-create-iam-policy). *iam\$1role\$1name*Remplacez-le par le nom du rôle IAM que vous venez de créer.
Pour Linux, macOS ou Unix :
```
aws iam attach-role-policy \
--policy-arn iam_policy_arn \
--role-name iam_role_name
```
Pour Windows :
```
aws iam attach-role-policy ^
--policy-arn iam_policy_arn ^
--role-name iam_role_name
```
Pour plus d’informations, consultez [Création d’un rôle pour déléguer des autorisations à un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
### Étape 4 : configuration d’un groupe d’options pour la journalisation des audits Db2
Le processus d’ajout de l’option de journalisation des audits Db2 à une instance de base de données RDS for Db2 est le suivant :
1. Créer un groupe d’options ou copier ou modifier un groupe existant.
1. Ajouter et configurer toutes les options requises.
1. Associez le groupe d’options à l’instance de base de données.
Une fois que vous ajoutez l’option de journalisation des audits Db2, vous n’avez pas besoin de redémarrer votre instance de base de données. Dès que le groupe d'options est actif, vous pouvez créer des audits et stocker les journaux d'audit dans votre compartiment S3.
**Ajout et configuration de la journalisation des audits Db2 sur le groupe d’options d’une instance de base de données**
1. Sélectionnez l’une des méthodes suivantes :
+ Utiliser un groupe d'options existant.
+ Créez un groupe d’options de base de données personnalisé et utilisez ce groupe d’options. Pour de plus amples informations, veuillez consulter [Création d’un groupe d’options](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.Create).
1. Ajoutez l'option **DB2\$1AUDIT** au groupe d'options et configurez les paramètres de l'option. Pour plus d’informations sur l’ajout d’options, consultez [Ajout d’une option à un groupe d’options](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.AddOption).
+ Pour **IAM\$1ROLE\$1ARN**, entrez l’ARN du rôle IAM que vous avez créé dans [Étape 3 : création d’un rôle IAM et ajoute de votre politique IAM](#db2-audit-create-iam-role).
+ Pour **S3\$1BUCKET\$1ARN,** entrez l’ARN du compartiment S3 à utiliser pour vos journaux d’audit Db2. Le compartiment doit être situé dans la même région que votre instance de base de données RDS for Db2. La politique associée au rôle IAM que vous avez saisi doit autoriser les opérations requises sur cette ressource.
1. Appliquez le groupe d’options à une instance de base de données nouvelle ou existante. Choisissez l'une des méthodes suivantes :
+ Si vous créez une nouvelle instance de base de données, appliquez le groupe d'options lorsque vous lancez l'instance.
+ Sur une instance de base de données existante, appliquez le groupe d'options en modifiant l'instance et en attachant le nouveau groupe d'options. Pour plus d’informations, consultez [Modification d'une instance de base de données Amazon RDS](Overview.DBInstance.Modifying.md).
### Étape 5 : configuration de la politique d’audit
Pour configurer la politique d’audit à votre base de données RDS for Db2, connectez-vous à la base de données `rdsadmin` à l’aide du nom d’utilisateur principal et du mot de passe principal de votre instance de base de données RDS for Db2. Appelez ensuite la procédure stockée `rdsadmin.configure_db_audit` avec le nom de base de données de votre base de données et les valeurs de paramètres applicables.
L’exemple suivant se connecte à la base de données et configure une politique d’audit pour `testdb` avec les catégories AUDIT, CHECKING, OBJMAINT, SECMAINT, SYSADMIN et VALIDATE. La valeur d’état `BOTH` enregistre les réussites et les échecs, et `ERROR TYPE` est défini sur `NORMAL` par défaut. Pour plus d’informations sur l’utilisation de cette procédure stockée, consultez [rdsadmin.configure\$1db\$1audit](db2-sp-managing-audit-policies.md#db2-sp-configure-db-audit).
```
db2 "connect to rdsadmin user master_user using master_password"
db2 "call rdsadmin.configure_db_audit('testdb', 'ALL', 'BOTH', ?)"
```
### Étape 6 : vérification de la configuration de l’audit
Pour vous assurer que votre politique d’audit est correctement configurée, vérifiez l’état de votre configuration d’audit.
Pour vérifier la configuration, connectez-vous à la base de données `rdsadmin` à l’aide du nom d’utilisateur principal et du mot de passe principal de votre instance de base de données RDS for Db2. Exécutez ensuite l’instruction SQL suivante avec le nom de base de données de votre base de données. Dans l'exemple suivant, le nom de la base de données est*testdb*.
```
db2 "select task_id, task_type, database_name, lifecycle,
varchar(bson_to_json(task_input_params), 500) as task_params,
cast(task_output as varchar(500)) as task_output
from table(rdsadmin.get_task_status(null,'testdb','CONFIGURE_DB_AUDIT'))"
Sample Output
TASK_ID TASK_TYPE DATABASE_NAME LIFECYCLE
-------------------- -------------------- --------------- -------------
2 CONFIGURE_DB_AUDIT DB2DB SUCCESS
... continued ...
TASK_PARAMS
--------------------------------------------------------
{ "AUDIT_CATEGORY" : "ALL", "CATEGORY_SETTING" : "BOTH" }
... continued ...
TASK_OUTPUT
---------------------------------------------------
2023-12-22T20:27:03.029Z Task execution has started.
2023-12-22T20:27:04.285Z Task execution has completed successfully.
```
## Gestion de la journalisation des audits Db2
Après avoir configuré la journalisation des audits Db2, vous pouvez modifier la politique d’audit pour une base de données spécifique ou désactiver la journalisation des audits au niveau de la base de données ou pour l’ensemble de l’instance de base de données. Vous pouvez également modifier le compartiment Amazon S3 dans lequel vos fichiers journaux sont chargés.
**Topics**
+ [Modification d’une politique d’audit Db2](#db2-audit-modifying-policy)
+ [Modification de l’emplacement de vos fichiers journaux](#db2-audit-modifying-location)
+ [Désactivation de la journalisation des audits Db2](#db2-audit-disabling)
### Modification d’une politique d’audit Db2
Pour modifier la politique d’audit d’une base de données RDS for Db2 spécifique, exécutez la procédure stockée `rdsadmin.configure_db_audit`. Avec cette procédure stockée, vous pouvez modifier les catégories, les paramètres des catégories et la configuration du type d’erreur de la politique d’audit. Pour plus d’informations, consultez [rdsadmin.configure\$1db\$1audit](db2-sp-managing-audit-policies.md#db2-sp-configure-db-audit).
### Modification de l’emplacement de vos fichiers journaux
Pour modifier le compartiment Amazon S3 dans lequel vos fichiers journaux sont chargés, effectuez l’une des opérations suivantes :
+ Modifiez le groupe d’options actuel attaché à votre instance de base de données RDS for Db2 : mettez à jour le paramètre `S3_BUCKET_ARN` pour que l’option `DB2_AUDIT` pointe vers le nouveau compartiment. Assurez-vous également de mettre à jour la politique IAM attachée au rôle IAM spécifié par le paramètre `IAM_ROLE_ARN` du groupe d’options attaché. Cette politique IAM doit fournir à votre nouveau compartiment les autorisations d’accès requises. Pour plus d’informations sur les autorisations requises dans la politique IAM, consultez [Créer une politique IAM](#db2-audit-create-iam-policy).
+ Attachez votre instance de base de données RDS for Db2 à un autre groupe d’options : modifiez votre instance de base de données pour changer le groupe d’options qui y est attaché. Assurez-vous que le nouveau groupe d’options est configuré avec les paramètres `S3_BUCKET_ARN` et `IAM_ROLE_ARN` appropriés. Pour plus d’informations sur la configuration de ces paramètres pour l’option `DB2_AUDIT`, consultez [Configuration d’un groupe d’options](#db2-audit-configure-options-group).
Lorsque vous modifiez le groupe d’options, veillez à appliquer immédiatement les modifications. Pour plus d’informations, consultez [Modification d'une instance de base de données Amazon RDS](Overview.DBInstance.Modifying.md).
### Désactivation de la journalisation des audits Db2
Pour désactiver la journalisation des audits Db2, effectuez l’une des opérations suivantes :
+ Désactiver la journalisation des audits pour l’instance de base de données RDS for Db2 : modifiez votre instance de base de données et supprimez le groupe d’options avec l’option `DB2_AUDIT`. Pour plus d’informations, consultez [Modification d'une instance de base de données Amazon RDS](Overview.DBInstance.Modifying.md).
+ Désactiver la journalisation des audits pour une base de données spécifique : arrêtez la journalisation des audits et supprimez la politique d’audit en appelant `rdsadmin.disable_db_audit` avec le nom de votre base de données. Pour plus d’informations, consultez [rdsadmin.disable\$1db\$1audit](db2-sp-managing-audit-policies.md#db2-sp-disable-db-audit).
```
db2 "call rdsadmin.disable_db_audit(
'db_name',
?)"
```
## Consultation des journaux d’audit
Après avoir activé la journalisation des audits Db2, attendez au moins une heure avant de consulter les données d’audit dans votre compartiment Amazon S3. Amazon RDS envoie automatiquement les journaux de votre instance de base de données RDS for Db2 aux emplacements suivants :
+ Journaux au niveau des instances de base de données : `bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/`
+ Journaux au niveau de la base de données : `bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/db_name/`
L’exemple de capture d’écran suivant de la console Amazon S3 montre une liste de dossiers pour les fichiers journaux au niveau de l’instance de base de données RDS for Db2.
![\[Console Amazon S3 avec onglet Objets sélectionné, affichant une liste de dossiers pour les fichiers journaux au niveau de l’instance de base de données RDS for Db2.\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/UserGuide/images/db2-instance-level-audit-logs.png)
L’exemple de capture d’écran suivant de la console Amazon S3 montre une liste de fichiers journaux au niveau de la base de données pour l’instance de base de données RDS for Db2.
![\[Console Amazon S3 avec onglet Objets sélectionné, affichant une liste de fichiers journaux au niveau de la base de données pour l’instance de base de données RDS for Db2.\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/UserGuide/images/db2-database-level-audit-logs.png)
## Résolution des problèmes de journalisation des audits Db2
Utilisez les informations suivantes pour résoudre les problèmes courants rencontrés avec la journalisation des audits Db2.
### Configuration de la politique d’audit impossible
Si l’appel de la procédure stockée `rdsadmin.configure_db_audit` renvoie une erreur, il se peut que le groupe d’options contenant l’option `DB2_AUDIT` ne soit pas associé à l’instance de base de données RDS for Db2. Modifiez l’instance de base de données pour ajouter le groupe d’options, puis essayez de rappeler la procédure stockée. Pour plus d’informations, consultez [Modification d'une instance de base de données Amazon RDS](Overview.DBInstance.Modifying.md).
### Aucune donnée dans le compartiment Amazon S3
Si des données de journalisation ne se trouvent pas dans le compartiment Amazon S3, vérifiez les points suivants :
+ Le compartiment Amazon S3 doit être situé dans la même région que votre instance de base de données RDS for Db2.
+ Le rôle que vous avez spécifié dans le paramètre d’option `IAM_ROLE_ARN` est configuré avec les autorisations requises pour télécharger des journaux dans votre compartiment Amazon S3. Pour de plus amples informations, veuillez consulter [Créer une politique IAM](#db2-audit-create-iam-policy).
+ Les paramètres ARNs pour `IAM_ROLE_ARN` et `S3_BUCKET_ARN` option sont corrects dans le groupe d'options associé à votre instance de base de données RDS pour DB2. Pour de plus amples informations, veuillez consulter [Configuration d’un groupe d’options](#db2-audit-configure-options-group).
Vous pouvez vérifier l’état des tâches dans votre configuration de journalisation des audits en vous connectant à la base de données et en exécutant une instruction SQL. Pour plus d’informations, consultez [Vérification de la configuration de l’audit](#db2-audit-check-config-status).
Vous pouvez également consulter les événements pour en savoir plus sur les raisons de l’absence de journaux. Pour plus d’informations sur l’affichage des événements, consultez [Affichage des journaux, des événements et des flux dans la console Amazon RDS](logs-events-streams-console.md).