MariaDB データベースエンジンのオプション - Amazon Relational Database Service
MariaDB 監査プラグインのサポート

MariaDB データベースエンジンのオプション

ここでは、MariaDB DB エンジンを実行する Amazon RDS インスタンスで使用できるオプションまたは追加機能について説明します。これらのオプションをオンにするには、カスタムオプショングループにオプションを追加して、そのオプショングループを DB インスタンスに関連付けます。オプショングループの操作方法の詳細については、「オプショングループを使用する」を参照してください。

Amazon RDS では、以下の MariaDB 用オプションがサポートされています。

オプション ID エンジンバージョン

MARIADB_AUDIT_PLUGIN

MariaDB 10.3 以降

MariaDB 監査プラグインのサポート

Amazon RDS では、MariaDB データベースインスタンスでの MariaDB 監査プラグインの使用をサポートしています。MariaDB 監査プラグインは、データベースへのユーザーのログオンやデータベースに対して実行されたクエリなどのデータベースアクティビティを記録します。データベースのアクティビティのレコードはログファイルに保存されます。

監査プラグインのオプション設定

Amazon RDS では、MariaDB 監査プラグインのオプションの次の設定がサポートされています。

注記

RDS コンソールでオプション設定を構成しない場合、RDS はデフォルト設定を使用します。

オプション設定 有効な値 デフォルト値 説明

SERVER_AUDIT_FILE_PATH

/rdsdbdata/log/audit/

/rdsdbdata/log/audit/

ログファイルの場所。ログファイルには、SERVER_AUDIT_EVENTS で指定されたアクティビティのレコードが含まれます。詳細については、「データベースログファイルの表示とリスト化」および「MariaDB データベースのログファイル」を参照してください。

SERVER_AUDIT_FILE_ROTATE_SIZE

1-1000000000

1000000

このバイト数のサイズに達するとファイルがローテーションします。詳細については、「MariaDB のログのローテーションと保持」を参照してください。

SERVER_AUDIT_FILE_ROTATIONS

0-100

9

server_audit_output_type=file 時に保存するログローテーション数。0 に設定すると、ログファイルはローテーションされません。詳細については、MariaDB のログのローテーションと保持およびデータベースログファイルのダウンロードを参照してください。

SERVER_AUDIT_EVENTS

CONNECT, QUERY, TABLE, QUERY_DDL, QUERY_DML, QUERY_DML_NO_SELECT, QUERY_DCL

CONNECT, QUERY

ログに記録するアクティビティのタイプ。MariaDB 監査プラグインのインストール自体も記録されます。

  • CONNECT: データベースへ接続の成功と失敗、およびデータベースからの切断を記録します。

  • QUERY: データベースに対して実行されたすべてのクエリのテキストを記録します。

  • TABLE: データベースに対してクエリが実行された際に影響を受けたテーブルを記録します。

  • QUERY_DDL: QUERY イベントと同様ですが、返るのは、データ定義言語 (DDL) クエリ (CREATEALTER など) のみです。

  • QUERY_DML: QUERY イベントと同様ですが、返るのは、データ操作言語 (DML) クエリ (INSERTUPDATESELECT など) のみです。

  • QUERY_DML_NO_SELECT: QUERY_DML イベントと類似していますが、SELECT クエリをログ記録しません。

  • QUERY_DCL: QUERY イベントと同様ですが、返るのは、データ制御言語 (DCL) クエリ (GRANTREVOKE など) のみです。

SERVER_AUDIT_INCL_USERS

複数のカンマ区切り値

なし

指定されたユーザーからのアクティビティのみを含めます。デフォルトでは、アクティビティはすべてのユーザーについて記録されます。SERVER_AUDIT_INCL_USERSSERVER_AUDIT_EXCL_USERS は相互に排他的です。SERVER_AUDIT_INCL_USERS に値を追加する場合は、SERVER_AUDIT_EXCL_USERS に追加される値がないことを確認してください。

SERVER_AUDIT_EXCL_USERS

複数のカンマ区切り値

なし

指定されたユーザーからのアクティビティを除外します。デフォルトでは、アクティビティはすべてのユーザーについて記録されます。SERVER_AUDIT_INCL_USERSSERVER_AUDIT_EXCL_USERS は相互に排他的です。SERVER_AUDIT_EXCL_USERS に値を追加する場合は、SERVER_AUDIT_INCL_USERS に追加される値がないことを確認してください。

rdsadmin ユーザーは 1 秒ごとにデータベースをクエリしてデータベースのヘルスチェックを行います。そのほかの設定によっては、このアクティビティによってログファイルのサイズが急激に増大する可能性があります。このアクティビティを記録する必要がない場合は、SERVER_AUDIT_EXCL_USERSリストにrdsadminユーザーを追加します。

注記

CONNECT アクティビティは、ユーザーがこのオプション設定で指定されていても、すべてのユーザーについて常に記録されます。

SERVER_AUDIT_LOGGING

ON

ON

ログ記録がアクティブです。唯一の有効な値は ON です。Amazon RDS では、ログ記録の非アクティブ化はサポートしていません。ログ記録を非アクティブ化する場合は、MariaDB 監査プラグインを削除します。詳細については、「MariaDB 監査プラグインの削除」を参照してください。

SERVER_AUDIT_QUERY_LOG_LIMIT

0-2147483647

1024

レコードのクエリ文字列の長さに対する制限。

MariaDB 監査プラグインの追加

MariaDB 監査プラグインを DB インスタンスに追加する一般的な手順は以下のとおりです。

  1. 新しいオプショングループを作成するか、既存のオプショングループをコピーまたは変更します。

  2. オプショングループに [] オプションを追加します。

  3. オプショングループを DB インスタンスに関連付けます。

MariaDB 監査プラグインを追加した後で、DB インスタンスを再起動する必要はありません。オプショングループがアクティブになると、直ちに監査が開始されます。

MariaDB 監査プラグインを追加するには

  1. 使用するオプショングループを決定します。新しいオプショングループを作成することも、既存のオプショングループを使用することもできます。既存のオプショングループを使用する場合は、次のステップは飛ばしてください。それ以外の場合は、カスタム DB オプショングループを作成します。[Engine] (エンジン) で [mariadb] を選択し、[Major engine version] (メジャーエンジンバージョン) で [10.3] またはそれ以降を選択します。詳細については、「オプショングループを作成する」を参照してください。

  2. オプショングループに [MARIADB_AUDIT_PLUGIN] オプションを追加し、オプションを設定します。オプションの追加方法の詳細については、「オプショングループにオプションを追加する」を参照してください。各設定の詳細については、「監査プラグインのオプション設定」を参照してください。

  3. 新規または既存の DB インスタンスに、DB オプショングループを適用します。

    • 新規 DB インスタンスの場合は、インスタンスを起動するときにオプショングループを適用します。詳細については、「Amazon RDS DB インスタンスの作成」を参照してください。

    • 既存の DB インスタンスの場合は、DB インスタンスを修正し、新しいオプショングループをアタッチすることで、オプショングループを適用します。詳細については、「Amazon RDS DB インスタンスを変更する」を参照してください。

MariaDB 監査プラグインのログの表示とダウンロード

MariaDB 監査プラグインを有効にした後は、他のテキストベースのログファイルと同様の方法でログファイル内の結果にアクセスします。監査ログファイルは /rdsdbdata/log/audit/ にあります。コンソールでログファイルを表示する方法の詳細については、「データベースログファイルの表示とリスト化」を参照してください。ログファイルのダウンロードについては、「データベースログファイルのダウンロード」を参照してください。

MariaDB 監査プラグインの設定の変更

MariaDB 監査プラグインを有効にした後、プラグインの設定を変更できます。オプション設定の変更方法の詳細については、「オプションの設定を変更する」を参照してください。各設定の詳細については、「監査プラグインのオプション設定」を参照してください。

MariaDB 監査プラグインの削除

Amazon RDS では、MariaDB 監査プラグインのログ記録の無効化はサポートされていません。ただし、DB インスタンスからプラグインを削除することはできます。MariaDB 監査プラグインを削除すると、DB インスタンスが自動的に再起動され、監査が停止します。

MariaDB 監査プラグインを DB インスタンスから削除するには、次のいずれかを実行します。

  • MariaDB 監査プラグインが所属するオプショングループからプラグインを削除します。この変更はそのオプショングループを使用するすべての DB インスタンスに影響します。詳細については、「オプショングループからオプションを削除する」を参照してください。

  • DB インスタンスを修正して、プラグインが含まれない別オプショングループを指定します。この変更は、単一の DB インスタンスに影響します。デフォルト (空) のオプショングループや別のカスタムオプショングループを指定できます。詳細については、「Amazon RDS DB インスタンスを変更する」を参照してください。