SQL Server Audit を DB インスタンスオプションに追加する
SQL Server 監査を有効にするには、DB インスタンスでオプションを有効にすることと、SQL Server 内の機能を有効にすることの 2 つのステップを行う必要があります。SQL Server Audit オプションを DB インスタンスに追加するプロセスは次のとおりです。
-
新しいオプショングループを作成するか、既存のオプショングループをコピーまたは変更します。
-
すべての必須オプションを追加して構成します。
-
オプショングループを DB インスタンスに関連付けます。
SQL Server Audit オプションを追加後、DB インスタンスを再起動する必要はありません。オプショングループがアクティブになった時点で、監査を作成して監査ログを S3 バケットに保存できるようになります。
DB インスタンスのオプショングループに SQL Server Audit を追加して設定するには
-
次のいずれかを選択します。
-
既存のオプショングループを使用します。
-
カスタムの DB オプショングループを作成し、そのオプショングループを使用します。詳細については、「オプショングループを作成する」を参照してください。
-
-
オプショングループに [SQLSERVER_AUDIT] オプションを追加し、オプション設定を構成します。オプションの追加方法の詳細については、「オプショングループにオプションを追加する」を参照してください。
-
必要なポリシーがアタッチされた IAM ロールがある場合は、[IAM ロール] で、そのロールを選択できます。新しい IAM ロールを作成するには、[新しいロールの作成] を選択します。必要なポリシーの詳細については、SQL Server Audit の IAM ロールを手動で作成する を参照してください。
-
使用する S3 バケットが既にある場合は、[S3 送信先の選択] で、そのバケットを選択します。S3 バケットを作成するには、[新しい S3 バケットの作成] を選択します。
-
監査ファイルを圧縮する場合は、[圧縮の有効化] オプションをオンにします。デフォルトでは、圧縮は有効になっています。圧縮を無効にするには、[Enable Compression (圧縮の有効化)] をオフにします。
-
DB インスタンスの監査レコードを保持するには、[Audit log retention (監査ログの保持)] オプションをオンにします。保持期間 (時間) を指定します。最大保持期間は 35 日間です。
-
-
新規または既存の DB インスタンスに、DB オプショングループを適用します。次のいずれかを選択します。
-
新しい DB インスタンスを作成する場合は、インスタンスを起動するときにオプショングループを適用します。
-
既存の DB インスタンスで、インスタンスを変更し、新しいオプショングループをアタッチして、オプショングループを適用します。詳細については、「Amazon RDS DB インスタンスを変更する」を参照してください。
-
SQL Server Audit オプションを変更する
SQL Server Audit オプションを有効にしたら、設定を変更できます。オプション設定の変更方法の詳細については、「オプションの設定を変更する」を参照してください。
DB インスタンスオプションから SQL Server Audit を削除する
SQL Server Audit 機能をオフにするには、監査を無効にし、オプションを削除します。
監査を削除するには
-
SQL Server 内の監査設定をすべて無効にします。監査が実行されている場所を確認するには、SQL Server セキュリティカタログビューをクエリします。詳細については、Microsoft SQL Server ドキュメントの「Security catalog views
」を参照してください。 -
DB インスタンスから SQL Server Audit オプションを削除します。次のいずれかを選択します。
-
DB インスタンスで使用しているオプショングループから SQL Server Audit オプションを削除します。この変更は同じオプショングループを使用するすべての DB インスタンスに影響します。詳細については、「オプショングループからオプションを削除する」を参照してください。
-
DB インスタンスを変更し、オプショングループを選択します (SQL Server Audit オプションはオフ)。この変更は、変更した DB インスタンスにのみ影響します。デフォルト (空) のオプショングループや別のカスタムオプショングループを指定できます。詳細については、「Amazon RDS DB インスタンスを変更する」を参照してください。
-
-
DB インスタンスから SQL Server Audit オプションを削除後、インスタンスを再起動する必要はありません。S3 バケットから不要な監査ファイルを削除します。