SQL Server Audit - Amazon Relational Database Service

SQL Server Audit

Amazon RDS에서는 기본 제공 SQL Server Audit 메커니즘을 사용하여 Microsoft SQL Server 데이터베이스를 감사할 수 있습니다. 온프레미스 데이터베이스 서버용으로 생성하는 경우와 같은 방식으로 감사 및 감사 사양을 생성할 수 있습니다.

RDS는 사용자가 제공한 IAM 역할을 사용하여 완료된 감사 로그를 S3 버킷에 업로드합니다. 보존을 활성화하면 RDS는 구성된 기간 동안 DB 인스턴스에 대한 감사 로그를 유지합니다.

자세한 내용은 Microsoft SQL Server 설명서의 SQL Server Audit(데이터베이스 엔진)를 참조하십시오.

SQL Server Audit와 데이터베이스 활동 스트림 함께 사용

RDS용 데이터베이스 활동 스트림을 사용하여 SQL Server Audit 이벤트를 Imperva, McAfee 및 IBM의 데이터베이스 활동 모니터링 도구와 통합할 수 있습니다. RDS SQL Server에 대해 데이터베이스 활동 스트림을 사용하여 감사를 수행하는 방법에 대한 자세한 내용은 Microsoft SQL Server에서의 감사 섹션을 참조하세요.

SQL Server Audit 지원

SQL Server 2016부터는 Amazon RDS에서 모든 버전의 SQL Server가 서버 수준 감사를 지원하고 Enterprise Edition은 데이터베이스 수준 감사도 지원합니다. SQL Server 2016(13.x) SP1부터는 모든 버전이 서버 및 데이터베이스 수준 감사를 모두 지원합니다. 자세한 내용은 SQL Server 설명서의 SQL Server Audit(데이터베이스 엔진)를 참조하십시오.

RDS는 SQL Server Audit에 대한 다음 옵션 설정 구성을 지원합니다.

옵션 설정 유효한 값 설명
IAM_ROLE_ARN arn:aws:iam::account-id:role/role-name 형식의 유효한 ARN(Amazon 리소스 이름). 감사 로그를 저장할 S3 버킷에 액세스 권한을 부여하는 IAM 역할의 ARN입니다. 자세한 내용은 AWS 일반 참조Amazon 리소스 이름(ARN)을 참조하세요.
S3_BUCKET_ARN arn:aws:s3:::amzn-s3-demo-bucket 또는 arn:aws:s3:::amzn-s3-demo-bucket/key-prefix 형식의 유효한 ARN 감사 로그를 저장할 S3 버킷의 ARN입니다.
ENABLE_COMPRESSION true 또는 false 감사 로그 압축을 제어합니다. 기본적으로 압축은 활성화됩니다(true로 설정).
RETENTION_TIME 0~840 SQL Server Audit 레코드가 RDS 인스턴스에 유지되는 보존 기간(시간 단위)입니다. 기본적으로 보존은 비활성화됩니다.

다중 AZ 인스턴스에서 SQL Server Audit 사용

다중 AZ 인스턴스의 경우 감사 로그 파일을 Amazon S3으로 보내는 프로세스는 단일 AZ 인스턴스의 프로세스와 유사합니다. 그러나 몇 가지 중요한 차이점이 있습니다.

  • 데이터베이스 감사 사양 객체는 모든 노드에 복제됩니다.

  • 서버 감사 및 서버 감사 사양은 보조 노드에 복제되지 않습니다. 대신, 수동으로 생성하거나 수정해야 합니다.

두 노드에서 서버 감사 사양 또는 서버 감사를 캡처하려면

  1. 기본 노드에서 서버 감사 또는 서버 감사 사양을 생성하십시오.

  2. 보조 노드로 장애 조치하고 보조 노드에서 동일한 이름과 GUID로 서버 감사 또는 서버 감사 사양을 생성합니다. AUDIT_GUID 파라미터를 사용하여 GUID를 지정합니다.