Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Monitoraggio di RDSAmazon di attività del database
Con Flussi di attività del database puoi monitorare pressoché in tempo reale i flussi di attività del database.
Argomenti
- Panoramica dei flussi di attività di database
- Configurazione della verifica unificata per Oracle Database
- Configurazione della politica di controllo per Amazon RDS for Microsoft Server SQL
- Avvio di un flusso di attività di database
- Modifica del flusso di attività del database per Amazon RDS
- Recupero dello stato di un flusso di attività del database
- Arresto di un flusso di attività di database
- Monitoraggio di flussi di attività di database
- IAMesempi di policy per i flussi di attività del database
Panoramica dei flussi di attività di database
In qualità e amministratore di RDS database Amazon, devi proteggere il tuo database e soddisfare i requisiti di conformità e normativi. Una strategia consiste nell'integrare i flussi di attività del database con gli strumenti di monitoraggio. In questo modo, puoi monitorare e impostare allarmi per l'attività di controllo nel database del cluster .
Le minacce alla sicurezza sono sia esterne che interne. Per proteggersi dalle minacce interne, è possibile controllare l'accesso degli amministratori ai flussi di dati configurando la funzionalità flussi di attività del database. Amazon RDS DBAs non ha accesso alla raccolta, alla trasmissione, all'archiviazione e all'elaborazione degli stream.
Indice
- Come funzionano i flussi di attività del database
- Controllo nel database Oracle e nel database Microsoft SQL Server
- Modalità asincrona per flussi di attività di database
- Requisiti e limitazioni per flussi di attività del database
- Disponibilità di regioni e versioni
- Classi di istanza database supportate per i flussi di attività di database
Come funzionano i flussi di attività del database
invia le attività a un flusso di dati Amazon Kinesis quasi in tempo reale. Il flusso Kinesis viene creato automaticamente. Da Kinesis, puoi configurare AWS servizi come Amazon Data Firehose e consumare lo stream e AWS Lambda archiviare i dati.
Importante
L'uso della funzionalità dei flussi di attività del database è gratuito, ma RDS Amazon Kinesis addebita un costo per un flusso di dati. Per ulteriori informazioni, consulta Prezzi di Amazon Kinesis Data Streams
Puoi configurare le applicazioni per la gestione della conformità affinché attingano dai flussi di attività del database. Tali applicazioni possono utilizzare il flusso per generare avvisi e attività di verifica per il database.
Amazon RDS supporta i flussi di attività del database nelle implementazioni Multi-AZ. In questo caso, i flussi di attività del database controllano sia le istanze primarie che quelle di stand-by.
Controllo nel database Oracle e nel database Microsoft SQL Server
La verifica è il monitoraggio e la registrazione delle azioni del database configurate. Amazon RDS non acquisisce l'attività del database per impostazione predefinita. Puoi creare e gestire autonomamente le policy di verifica nel database.
Argomenti
Verifica unificata in Oracle Database
In un database Oracle, una policy di verifica unificata è un gruppo denominato di impostazioni di verifica che è possibile utilizzare per controllare un aspetto del comportamento dell'utente. Una policy può essere semplice come controllare le attività di un singolo utente. È inoltre possibile creare policy di verifica complesse che utilizzano condizioni.
Un database Oracle scrive record di verifica, inclusi i record di verifica SYS, sul percorso di verifica unificato. Ad esempio, se si verifica un errore durante un'INSERTistruzione, il controllo standard indica il numero dell'errore e l'errore SQL che è stato eseguito. Il percorso di verifica si trova in una tabella di sola lettura nello schema AUDSYS. Per accedere a questi record, esegui una query nella vista del dizionario dei dati UNIFIED_AUDIT_TRAIL.
In genere, è possibile configurare i flussi di attività del database come segue:
-
Crea una policy di verifica Oracle Database utilizzando il comando
CREATE AUDIT POLICY.Oracle Database genera record di verifica.
-
Attiva la policy di verifica utilizzando il comando
AUDIT POLICY. -
Configurazione dei flussi di attività di database
Solo le attività che corrispondono alle policy di verifica Oracle Database vengono acquisite e inviate a Amazon Kinesis Data Stream. Quando i flussi di attività del database sono abilitati, un amministratore di database Oracle non può modificare le policy di verifica o rimuovere i log di verifica.
Per ulteriori informazioni sulle politiche di controllo unificate, vedere Informazioni sulle attività di controllo con le politiche di controllo unificate e AUDIT
Controllo in Microsoft Server SQL
Database Activity Stream utilizza la SQLAudit funzionalità per controllare il database del SQL server.
RDSper esempio SQL Server contiene quanto segue:
Controllo del server: l'audit del SQL server raccoglie una singola istanza di azioni a livello di server o database e un gruppo di azioni da monitorare. Gli audit a livello di server sono gestiti da.
RDS_DAS_AUDITRDS_DAS_AUDIT_CHANGESRDSSpecifica di verifica del server: la specifica di verifica del server registra gli eventi a livello di server. È possibile modificare la specifica
RDS_DAS_SERVER_AUDIT_SPEC. Questa specifica è collegata alla verifica del serverRDS_DAS_AUDIT. LaRDS_DAS_CHANGES_AUDIT_SPECspecifica è gestita da. RDSSpecifica di verifica del database: la specifica di verifica del database registra gli eventi a livello di database. È possibile creare una specifica di verifica del database
RDS_DAS_DB_<name>e collegarla alla verifica del serverRDS_DAS_AUDIT.
È possibile configurare i flussi di attività del database utilizzando la console oCLI. In genere, è possibile configurare i flussi di attività del database come segue:
-
(Facoltativo) Crea una specifica di verifica del database con il comando
CREATE DATABASE AUDIT SPECIFICATIONe collegala alla verifica del serverRDS_DAS_AUDIT. -
(Facoltativo) Modifica la specifica di verifica del server con il comando
ALTER SERVER AUDIT SPECIFICATIONe definisci le policy. -
Attiva le policy di verifica del database e del server. Per esempio:
ALTER DATABASE AUDIT SPECIFICATION [<Your database specification>] WITH (STATE=ON)ALTER SERVER AUDIT SPECIFICATION [RDS_DAS_SERVER_AUDIT_SPEC] WITH (STATE=ON) -
Configurazione dei flussi di attività di database
Solo le attività che corrispondono alle policy di verifica del server e del database vengono acquisite e inviate al flusso di dati Amazon Kinesis. Quando i flussi di attività del database sono abilitati e le policy sono bloccate, un amministratore di database non può modificare le policy di verifica o rimuovere i log di verifica.
Importante
Se la specifica di verifica di un database specifico è abilitata e la policy è bloccata, il database non può essere eliminato.
Per ulteriori informazioni sul controllo SQL del server, vedere SQLServer Audit Components
Campi di controllo non nativi per Oracle Database and Server SQL
Quando si avvia un flusso di attività del database, ogni evento del database genera un evento del flusso di attività corrispondente. Ad esempio, un utente di database potrebbe eseguire le istruzioni SELECT e INSERT. Il database controlla questi eventi e li invia a un Amazon Kinesis Data Stream.
Gli eventi sono rappresentati nello stream come JSON oggetti. Un JSON oggetto contiene unDatabaseActivityMonitoringRecord, che contiene un databaseActivityEventList array. I campi predefiniti nella matrice includono class, clientApplication e command.
Per impostazione predefinita, un flusso di attività non include campi di verifica nativi del motore. Puoi configurare Amazon RDS per Oracle e SQL Server in modo che includa questi campi aggiuntivi nell'engineNativeAuditFieldsJSONoggetto.
In Oracle Database, la maggior parte degli eventi nell'audit trail unificato viene mappata ai campi del flusso di attività RDS dei dati. Ad esempio, il campo UNIFIED_AUDIT_TRAIL.SQL_TEXT nelle mappe di verifica unificate al campo commandText in un flusso di attività di database. Tuttavia, i campi di verifica di Oracle Database come OS_USERNAME non mappano a campi predefiniti in un flusso di attività di database.
In SQL Server, la maggior parte dei campi dell'evento registrati dalla SQLAudit mappa ai campi del flusso di attività del RDS database. Ad esempio, il campo code in sys.fn_get_audit_file nella verifica viene mappato al campo commandText in un flusso di attività del database. Tuttavia, i campi di controllo SQL del database del server, ad esempiopermission_bitmask, non vengono mappati ai campi predefiniti in un flusso di attività del database.
Per ulteriori informazioni su databaseActivityEvent List, vederedatabaseActivityEventJSONArray di elenchi per i flussi di attività del database.
Sovrascrittura di un gruppo parametri del database
In genere, si attiva il controllo unificato RDS per Oracle collegando un gruppo di parametri. Tuttavia, i flussi di attività del database richiedono una configurazione aggiuntiva. Per migliorare l'esperienza dei tuoi clienti, Amazon RDS esegue le seguenti operazioni:
-
Se attivi un flusso di attività, RDS perché Oracle ignora i parametri di controllo nel gruppo di parametri.
-
Se si disattiva un flusso di attività, RDS for Oracle smette di ignorare i parametri di controllo.
Il flusso di attività del database per SQL Server è indipendente dai parametri impostati nell'SQLopzione Audit.
Modalità asincrona per flussi di attività di database
I flussi di attività in Amazon RDS sono sempre asincroni. Quando una sessione di database genera un evento del flusso di attività, vengono ripristinate immediatamente le normali attività della sessione. In background, Amazon RDS trasforma l'evento del flusso di attività in un record duraturo.
Se si verifica un errore nell'attività in background, Amazon RDS genera un evento. Questo indica l'inizio e la fine di qualsiasi finestra temporale in cui i record dell'evento del flusso di attività potrebbero essere stati persi. La modalità asincrona favorisce le prestazioni del database rispetto alla precisione del flusso di attività.
Requisiti e limitazioni per flussi di attività del database
In , i flussi di attività del database presentano i seguenti requisiti e limitazioni:
-
I flussi di attività del database richiedono l'utilizzo di Amazon Kinesis.
-
AWS Key Management Service (AWS KMS) è necessario per i flussi di attività del database perché sono sempre crittografati.
-
L'applicazione di una crittografia aggiuntiva al flusso di dati di Amazon Kinesis è incompatibile con i flussi di attività del database, che sono già crittografati con la tua chiave. AWS KMS
-
Puoi creare e gestire autonomamente le policy di verifica. A differenza di Amazon Aurora, RDS per Oracle non acquisisce le attività del database per impostazione predefinita.
-
Puoi creare e gestire autonomamente le policy o le specifiche di verifica. A differenza di Amazon Aurora, Amazon RDS non acquisisce le attività del database per impostazione predefinita.
-
In un'implementazione multi-AZ, avvia il flusso di attività del database solo sull'istanza database primaria. Il flusso di attività controlla automaticamente sia l'istanza DB principale che quelle in stand-by. Durante un failover non sono richiesti passaggi aggiuntivi.
-
La ridenominazione di un'istanza database non crea un nuovo flusso Kinesis.
-
CDBsnon sono supportati RDS per Oracle.
-
Le repliche di lettura non sono supportate.
Disponibilità di regioni e versioni
Il supporto varia a seconda delle versioni specifiche di ciascun motore di database e a seconda delle Regioni AWS. Per ulteriori informazioni sulla disponibilità di versioni e regioni con flussi di attività del database, consulta Regioni e motori DB supportati per i flussi di attività del database in Amazon RDS.
Classi di istanza database supportate per i flussi di attività di database
RDSPer Oracle è possibile utilizzare i flussi di attività del database con le seguenti classi di istanze DB:
-
db.m4.*large
-
db.m5.*large
-
db.m5d.*large
-
db.m6i.*large
-
db.r4.*large
-
db.r5.*large
-
db.r5.*large.tpc*.mem*x
-
db.r5b.*large
-
db.r5b.*large.tpc*.mem*x
-
db.r5d.*large
-
db.r6i.*large
-
db.x2idn.*large
-
db.x2iedn.*large
-
db.x2iezn.*large
-
db.z1d.*large
Per RDS for SQL Server puoi utilizzare i flussi di attività del database con le seguenti classi di istanze DB:
-
db.m4.*large
-
db.m5.*large
-
db.m5d.*large
-
db.m6i.*large
-
db.r4.*large
-
db.r5.*large
-
db.r5b.*large
-
db.r5d.*large
-
db.r6i.*large
-
db.x1e.*large
-
db.z1d.*large
Per ulteriori informazioni sulle classi di istanza, consulta Classi di istanze DB .
