Memantau panggilan API Amazon RDS di AWS CloudTrail - Layanan Basis Data Relasional Amazon
Integrasi CloudTrail dengan Amazon RDSEntri file log Amazon RDS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memantau panggilan API Amazon RDS di AWS CloudTrail

AWS CloudTrail adalah layanan AWS yang membantu Anda mengaudit akun AWS Anda. AWS CloudTraildiaktifkan untuk akun AWS Anda saat Anda membuatnya. Lihat informasi yang lebih lengkap tentang CloudTrail di Panduan Pengguna AWS CloudTrail.

Integrasi CloudTrail dengan Amazon RDS

Semua tindakan Amazon RDS dilog oleh CloudTrail. CloudTrail menyediakan rekam tindakan yang diambil oleh pengguna, peran, atau layanan AWS di Amazon RDS.

Peristiwa CloudTrail

CloudTrail menangkap panggilan API untuk Amazon RDS sebagai peristiwa. Sebuah peristiwa mewakili satu permintaan dari sumber apa pun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. Peristiwa mencakup panggilan dari konsol Amazon RDS dan dari panggilan kode ke operasi API Amazon RDS.

Aktivitas Amazon RDS direkam dalam peristiwa CloudTrail di Riwayat peristiwa. Anda dapat menggunakan konsol CloudTrail untuk melihat aktivitas dan peristiwa API yang direkam selama 90 hari terakhir di Kawasan AWS. Lihat informasi yang lebih lengkap di Melihat peristiwa dengan riwayat peristiwa CloudTrail.

Jejak CloudTrail

Untuk rekam berlanjut peristiwa di AWS akun Anda, yang meliputi peristiwa-peristiwa untuk Amazon RDS, buatlah jejak. Sebuah jejak adalah konfigurasi yang memungkinkan pengiriman peristiwa ke bucket Amazon S3 yang ditentukan. Biasanya, CloudTrail mengirimkan file log dalam waktu 15 menit dari aktivitas akun.

catatan

Jika Anda tidak mengonfigurasikan jejak, Anda masih dapat melihat peristiwa terbaru dalam konsol CloudTrail dalam Riwayat peristiwa.

Anda dapat membuat dua jenis jejak untuk akun AWS: jejak yang berlaku untuk semua Kawasan, atau jejak yang berlaku untuk satu Kawasan. Secara bawaan, ketika Anda membuat jejak di konsol, jejak itu berlaku untuk semua Kawasan.

Selain itu, Anda dapat mengonfigurasikan layanan AWS lainnya untuk menganalisis lebih lanjut dan menindaki data peristiwa yang terkumpul di log CloudTrail. Lihat informasi yang lebih lengkap di:

Entri file log Amazon RDS

File log CloudTrail berisi satu atau beberapa entri log. File log CloudTrail bukan sebuah jejak tumpukan terurut panggilan API publik, sehingga file itu tidak muncul dengan urutan tertentu.

Contoh berikut menunjukkan entri log CloudTrail yang memperlihatkan tindakan CreateDBInstance.


{
    "eventVersion": "1.04",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::123456789012:user/johndoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "userName": "johndoe"
    },
    "eventTime": "2018-07-30T22:14:06Z",
    "eventSource": "rds.amazonaws.com",
    "eventName": "CreateDBInstance",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.15.42 Python/3.6.1 Darwin/17.7.0 botocore/1.10.42",
    "requestParameters": {
        "enableCloudwatchLogsExports": [
            "audit",
            "error",
            "general",
            "slowquery"
        ],
        "dBInstanceIdentifier": "test-instance",
        "engine": "mysql",
        "masterUsername": "myawsuser",
        "allocatedStorage": 20,
        "dBInstanceClass": "db.m1.small",
        "masterUserPassword": "****"
    },
    "responseElements": {
        "dBInstanceArn": "arn:aws:rds:us-east-1:123456789012:db:test-instance",
        "storageEncrypted": false,
        "preferredBackupWindow": "10:27-10:57",
        "preferredMaintenanceWindow": "sat:05:47-sat:06:17",
        "backupRetentionPeriod": 1,
        "allocatedStorage": 20,
        "storageType": "standard",
        "engineVersion": "8.0.28",
        "dbInstancePort": 0,
        "optionGroupMemberships": [
            {
                "status": "in-sync",
                "optionGroupName": "default:mysql-8-0"
            }
        ],
        "dBParameterGroups": [
            {
                "dBParameterGroupName": "default.mysql8.0",
                "parameterApplyStatus": "in-sync"
            }
        ],
        "monitoringInterval": 0,
        "dBInstanceClass": "db.m1.small",
        "readReplicaDBInstanceIdentifiers": [],
        "dBSubnetGroup": {
            "dBSubnetGroupName": "default",
            "dBSubnetGroupDescription": "default",
            "subnets": [
                {
                    "subnetAvailabilityZone": {"name": "us-east-1b"},
                    "subnetIdentifier": "subnet-cbfff283",
                    "subnetStatus": "Active"
                },
                {
                    "subnetAvailabilityZone": {"name": "us-east-1e"},
                    "subnetIdentifier": "subnet-d7c825e8",
                    "subnetStatus": "Active"
                },
                {
                    "subnetAvailabilityZone": {"name": "us-east-1f"},
                    "subnetIdentifier": "subnet-6746046b",
                    "subnetStatus": "Active"
                },
                {
                    "subnetAvailabilityZone": {"name": "us-east-1c"},
                    "subnetIdentifier": "subnet-bac383e0",
                    "subnetStatus": "Active"
                },
                {
                    "subnetAvailabilityZone": {"name": "us-east-1d"},
                    "subnetIdentifier": "subnet-42599426",
                    "subnetStatus": "Active"
                },
                {
                    "subnetAvailabilityZone": {"name": "us-east-1a"},
                    "subnetIdentifier": "subnet-da327bf6",
                    "subnetStatus": "Active"
                }
            ],
            "vpcId": "vpc-136a4c6a",
            "subnetGroupStatus": "Complete"
        },
        "masterUsername": "myawsuser",
        "multiAZ": false,
        "autoMinorVersionUpgrade": true,
        "engine": "mysql",
        "cACertificateIdentifier": "rds-ca-2015",
        "dbiResourceId": "db-ETDZIIXHEWY5N7GXVC4SH7H5IA",
        "dBSecurityGroups": [],
        "pendingModifiedValues": {
            "masterUserPassword": "****",
            "pendingCloudwatchLogsExports": {
                "logTypesToEnable": [
                    "audit",
                    "error",
                    "general",
                    "slowquery"
                ]
            }
        },
        "dBInstanceStatus": "creating",
        "publiclyAccessible": true,
        "domainMemberships": [],
        "copyTagsToSnapshot": false,
        "dBInstanceIdentifier": "test-instance",
        "licenseModel": "general-public-license",
        "iAMDatabaseAuthenticationEnabled": false,
        "performanceInsightsEnabled": false,
        "vpcSecurityGroups": [
            {
                "status": "active",
                "vpcSecurityGroupId": "sg-f839b688"
            }
        ]
    },
    "requestID": "daf2e3f5-96a3-4df7-a026-863f96db793e",
    "eventID": "797163d3-5726-441d-80a7-6eeb7464acd4",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789012"
}

Seperti ditunjukkan pada elemen userIdentity dalam contoh sebelumnya, setiap entri peristiwa atau log berisi informasi tentang siapa yang membuat permintaan. Informasi identitas membantu Anda menentukan hal-hal berikut:

  • Apakah permintaan dibuat dengan kredensial akar atau pengguna IAM.

  • Apakah permintaan dibuat dengan kredensial keamanan sementara untuk suatu peran atau pengguna gabungan.

  • Apakah permintaan dibuat oleh layanan AWS lain.

Lihat informasi yang lebih lengkap tentang userIdentity di Elemen userIdentity CloudTrail. Lihat informasi yang lebih lengkap tentang CreateDBInstance dan tindakan Amazon RDS lain di Referensi API Amazon RDS.