本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

資料庫稽核記錄日誌

Amazon Redshift 會記錄您資料庫中連線和使用者活動的相關資訊。這些日誌可協助您基於安全和故障診斷之目的監控資料庫，此程序稱為資料庫稽核。日誌可以儲存在：

Amazon Redshift 日誌

Amazon Redshift 會將資訊記錄在下列日誌檔中：

連線和使用者日誌主要用於安全目的。您可以使用連線日誌，來監控正在連線至資料庫的使用者相關資訊，以及相關的連線資訊。此資訊可能是使用者的 IP 地址、使用者何時提出請求、使用者使用哪種類型的身分驗證等等。您可以利用使用者日誌，來監控對資料庫使用者之定義所做的變更。

使用者活動日誌主要用於故障診斷目的。它會追蹤使用者和系統在資料庫中執行之查詢類型的相關資訊。

連線日誌和使用者日誌對應至儲存在資料庫中系統資料表的資訊。您可以使用系統資料表來取得相同資訊，但是日誌檔提供更簡單的擷取和檢閱機制。日誌檔依賴 Amazon S3 許可而非資料庫許可，針對資料表執行查詢。此外，藉由檢視日誌檔中的資訊，而非查詢系統資料表，您可以減少與資料庫互動的任何影響。

連線日誌

記錄身分驗證嘗試以及連線和中斷連線。下表說明連線日誌中的資訊。如需這些欄位的相關資訊，請參閱《Amazon Redshift 資料庫開發人員指南》中的 STL_CONNECTION_LOG。如需 Amazon Redshift Serverless 所收集連線日誌資料的相關資訊，請參閱 SYS_CONNECTION_LOG。

使用者日誌

記錄資料庫使用者之下列變更的詳細資訊：

查詢 SYS_USERLOG 系統檢視可尋找有關使用者變更的其他資訊。此檢視包含來自 Amazon Redshift Serverless 的日誌資料。

使用者活動日誌

在每個查詢於資料庫上執行之前先行記錄。

稽核日誌和 Amazon CloudWatch

根據預設，Amazon Redshift 不會開啟稽核記錄。當您在叢集上開啟記錄時，Amazon Redshift 會將日誌匯出至 Amazon CloudWatch，或建立日誌並將其上傳至 Amazon S3，擷取從啟用稽核記錄起到目前為止的資料。每個記錄更新都會接續先前的日誌。

目標為 CloudWatch 或 Amazon S3 的稽核記錄是選擇性程序。目標為系統資料表的記錄則非選用，而且會自動發生。如需目標為系統資料表之記錄的相關資訊，請參閱《Amazon Redshift 資料庫開發人員指南》中的系統資料表參考。

使用 、Amazon Redshift API 參考或 AWS Command Line Interface () 一起啟用連線日誌 AWS Management Console、使用者日誌和使用者活動日誌AWS CLI。對於使用者活動日誌，您也須啟用 enable_user_activity_logging 資料庫參數。如果您只啟用稽核記錄功能，但未啟用相關聯參數，則資料庫稽核日誌將只記錄連線日誌和使用者日誌的日誌資訊，但不記錄使用者活動日誌的日誌資訊。預設不會啟用 enable_user_activity_logging 參數 (false)。您可以將其設為 true 來啟用使用者活動日誌。如需詳細資訊，請參閱Amazon Redshift 參數群組。

當您啟用目標為 CloudWatch 的記錄時，Amazon Redshift 會將叢集連線、使用者和使用者活動日誌資料匯出到 Amazon CloudWatch Logs 日誌群組。日誌資料在結構描述方面不會變更。CloudWatch 專為監控應用程式而建置，您可以使用它來執行即時分析或為其進行設定以採取動作。您可以使用 Amazon CloudWatch Logs 將日誌記錄儲存在耐用的儲存體中。

若不要在 Amazon S3 中存放日誌檔，建議的替代方法是使用 CloudWatch 來檢視日誌。其不需要太多的組態設定，並可能適合您的監控要求，特別是如果您已經使用它來監控其他服務和應用程式的話。

Amazon CloudWatch 中的日誌群組和日誌事件

選取要匯出的 Amazon Redshift 日誌後，您就可以在 Amazon CloudWatch Logs 中監控日誌事件。系統會自動在下列字首下，為 Amazon Redshift Serverless 建立新的日誌群組，其中 log_type 代表日誌類型。

/aws/redshift/cluster/<cluster_name>/<log_type>

例如，如果您選擇匯出連線日誌，則日誌資料會儲存在下列日誌群組中。

/aws/redshift/cluster/cluster1/connectionlog

日誌事件會使用日誌串流匯出至日誌群組。若要在日誌事件內搜尋無伺服器端點的資訊，請使用 Amazon CloudWatch Logs 主控台、 AWS CLI或 Amazon CloudWatch Logs API。如需有關搜尋和篩選日誌資料的資訊，請參閱使用篩選條件從日誌事件建立指標。

在 CloudWatch 中，您可以使用能提供精細度和彈性的查詢語法來搜尋日誌資料。如需詳細資訊，請參閱 CloudWatch Logs Insights 查詢語法。

遷移到 Amazon CloudWatch 稽核記錄

無論何時，如果您要將日誌傳送到 Amazon S3，而且您變更了組態 (例如，將日誌傳送到 CloudWatch)，留在 Amazon S3 中的日誌不會受到影響。您仍可在日誌資料所在的 Amazon S3 儲存貯體中查詢日誌資料。

Amazon S3 中的日誌檔案

Amazon S3 中 Amazon Redshift 日誌檔案的數目和大小極度取決於叢集中的活動。如果您有作用中叢集，正在產生大量日誌，則 Amazon Redshift 可能更頻繁地產生日誌檔案。對於相同類型的活動，您可能具有一系列日誌檔案，例如在同一小時內具有多個連線日誌。

當 Amazon Redshift 使用 Amazon S3 來儲存日誌時，您在 Amazon S3 中使用的儲存會產生費用。在設定目標為 Amazon S3 的記錄之前，請計劃您需要儲存日誌檔案多長時間。這包括根據您的稽核需求，決定何時可刪除或封存日誌檔案。您建立的計劃極度取決於您儲存的資料類型，例如受制於合規或法規需求的資料。如需 Amazon S3 定價的相關資訊，請前往 Amazon Simple Storage Service (Amazon S3) 定價。

啟用目標為 Amazon S3 的記錄時的限制

稽核記錄有下列限制：

Amazon Redshift 稽核記錄的儲存貯體許可

當您開啟目標為 Amazon S3 的記錄功能時，Amazon Redshift 會收集記錄資訊，並將其上傳到儲存在 Amazon S3 的日誌檔案。您可以使用現有的儲存貯體，或建立新的儲存貯體。Amazon Redshift 需要儲存貯體的以下 IAM 許可：

當您啟用稽核記錄時，如果您選取建立新儲存貯體的選項，系統便會為其套用正確的許可。不過，如果您在 Amazon S3 建立自己的儲存貯體，或使用現有的儲存貯體，則請務必新增包含儲存貯體名稱的儲存貯體政策。日誌會使用服務主體憑證來傳送。對於大多數 AWS 區域，您可以新增 Redshift service-principal 名稱，https：//redshift.amazonaws.com。

儲存貯體政策會使用以下格式。ServiceName 和 BucketName 是您自己值的預留位置。此外，還要在儲存貯體政策中指定相關聯的動作和資源。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Put bucket policy needed for audit logging",
            "Effect": "Allow",
            "Principal": {
                "Service": "ServiceName"
            },
            "Action": [
                "s3:PutObject",
                "s3:GetBucketAcl"
            ],
            "Resource": [
                "arn:aws:s3:::BucketName",
                "arn:aws:s3:::BucketName/*"
            ]
        }
    ]
}

下列範例是美國東部 (維吉尼亞北部) 區域的儲存貯體政策，以及名為 AuditLogs 的儲存貯體。

{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Sid": "Put bucket policy needed for audit logging",
            "Effect": "Allow",
            "Principal": {
                "Service": "redshift.amazonaws.com"
            },
            "Action": [
                "s3:PutObject",
                "s3:GetBucketAcl"
            ],
            "Resource": [
                "arn:aws:s3:::AuditLogs",
                "arn:aws:s3:::AuditLogs/*"
            ]
        }
    ]
}

預設未啟用的區域 (也稱為「選擇加入」區域) 需要區域特定的服務主體名稱。對於這些區域，服務主體名稱會包含 redshift.region.amazonaws.com 格式的區域。例如，對於亞太區域 (香港) 區域，名稱是 redshift.ap-east-1.amazonaws.com。如需預設未啟用的區域清單，請參閱《AWS 一般參考》中的管理 AWS 區域。

日誌檔案的最佳實務

當 Redshift 將日誌檔案上傳到 Amazon S3 時，大型檔案可以分段上傳。如果分段上傳不成功，檔案的這些分段可能會留在 Amazon S3 儲存貯體中。這可能會導致額外的儲存成本，因此請務必了解分段上傳失敗時會發生什麼情況。如需有關稽核日誌分段上傳的詳細說明，請參閱使用分段上傳來上傳和複製物件和中止分段上傳。

如需建立 S3 儲存貯體和新增儲存貯體政策的相關資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的建立儲存貯體和編輯儲存貯體許可。

Amazon Redshift 稽核記錄的儲存貯體結構

依預設，Amazon Redshift 會使用下列儲存貯體和物件結構來組織 Amazon S3 儲存貯體中的日誌檔案：

AWSLogs/AccountID/ServiceName/Region/Year/Month/Day/AccountID_ServiceName_Region_ClusterName_LogType_Timestamp.gz

範例為：AWSLogs/123456789012/redshift/us-east-1/2013/10/29/123456789012_redshift_us-east-1_mycluster_userlog_2013-10-29T18:01.gz

如果您提供 Amazon S3 金鑰字首，請將字首置於金鑰開頭處。

例如，如果您指定 myprefix 的字首：myprefix/AWSLogs/123456789012/redshift/us-east-1/2013/10/29/123456789012_redshift_us-east-1_mycluster_userlog_2013-10-29T18:01.gz

Amazon S3 金鑰字首不能超過 512 個字元。它不能包含空格 ( )、雙引號 (“)、單引號 (‘)、反斜線 (\)。也有一些不允許的特殊字元和控制字元。這些字元的十六進位碼如下：

Amazon S3 考量事項中的稽核記錄

Amazon Redshift 稽核記錄可能會由於下列原因而中斷：

使用 的 API 呼叫 AWS CloudTrail

Amazon Redshift 已與 整合 AWS CloudTrail，此服務提供 Amazon Redshift AWS 中使用者、角色或服務所採取動作的記錄。CloudTrail 會將 Amazon Redshift 的所有 API 呼叫擷取為事件。如需與 Amazon Redshift 整合的詳細資訊 AWS CloudTrail，請參閱使用 CloudTrail 記錄。

您可以獨立於或除了 Amazon Redshift 資料庫稽核記錄之外使用 CloudTrail。

若要進一步了解 CloudTrail，請參閱《AWS CloudTrail 使用者指南》https://docs.aws.amazon.com/awscloudtrail/latest/userguide/。