审核 Amazon DocumentDB 事件

使用 Amazon DocumentDB(与 MongoDB 兼容),您可以审核在集群中执行的事件。记录的事件的示例包括成功和失败的身份验证尝试、删除数据库中的集合或创建索引。默认情况下,在 Amazon DocumentDB 上禁用审计,并要求您选择使用该功能。

启用审核后,Amazon DocumentDB 会将数据定义语言 (DDL)、身份验证、授权和用户管理事件记录到 Amazon CloudWatch Logs。启用审核后,Amazon DocumentDB 会将集群的审核记录(JSON 文档)导出到 Amazon CloudWatch Logs。您可以使用 Amazon CloudWatch Logs 分析、监控和存档 Amazon DocumentDB 审核事件。

虽然 Amazon DocumentDB 不对启用审核额外收费,但您需要为使用 CloudWatch Logs 按标准费率付费。有关 CloudWatch Logs 定价的信息,请参阅 Amazon CloudWatch 定价

Amazon DocumentDB 审核功能与使用 AWS CloudTrail 监控的服务资源的使用有明显不同。CloudTrail 记录使用 AWS 命令行界面 (AWS CLI) 或 AWS 管理控制台对 AWS 资源(如集群、实例、参数组和快照)执行的操作。使用 CloudTrail 审计 AWS 资源默认处于启用状态,并且无法禁用。Amazon DocumentDB 审计功能是一种可选功能。它记录在集群中对对象(例如数据库、集合、索引和用户)采取的操作。

支持的事件

Amazon DocumentDB 审计支持以下事件类别:连接数据定义语言 (DDL)用户管理授权。事件类型如下所示。

事件 类型类别描述
authenticateConnection对新连接进行的成功或失败的身份验证尝试。
createDatabaseDDL创建新数据库。
createCollectionDDL在数据库中创建新集合。
createIndexDDL在集合中创建新索引。
dropCollectionDDL删除数据库中的集合。
dropDatabaseDDL删除数据库。
dropIndexDDL删除集合中的索引。
createUser用户管理创建新用户。
dropUser用户管理删除现有用户。
updateUserUserManagement更新现有用户。
dropAllUsersFromDatabase用户管理删除数据库中的所有用户。
authCheck授权未经授权的执行操作的尝试。

启用审核

在集群上启用审核是一个两步过程。请确保完成这两个步骤,否则审计日志不会发送到 CloudWatch Logs。

步骤 1. 启用 audit_logs 集群参数

要将 audit_logs 参数设置为 enabled,请创建新的集群参数组或使用现有的自定义参数组,并通过将 audit_logs 设置为 enabled 来修改它。 您无法修改默认参数组。

有关更多信息,请参阅下列内容:

步骤 2. 启用 Amazon CloudWatch Logs 导出

audit_logs 集群参数的值为 enabled 后,您还必须使 Amazon DocumentDB 将日志导出到 Amazon CloudWatch。如果省略上述步骤中的任何一个,就不会将审计日志发送到 CloudWatch。

创建集群、执行时间点还原或还原快照时,可以使用以下步骤启用 CloudWatch Logs。

使用 AWS 管理控制台

要使用控制台以允许 Amazon DocumentDB 将日志导出到 CloudWatch,请参阅以下主题:

使用 AWS CLI

在创建新集群时启用审计日志

以下代码创建集群 sample-cluster 并启用 CloudWatch 审核日志。

对于 Linux、macOS 或 Unix:

  1. aws docdb create-db-cluster \
  2.     --db-cluster-identifier sample-cluster \
  3.     --port 27017 \
  4.     --engine docdb \
  5.     --master-username master-username \
  6.     --master-user-password password \
  7.     --db-subnet-group-name default \
  8.     --enable-cloudwatch-logs-exports audit

对于 Windows:

  1. aws docdb create-db-cluster ^
  2.     --db-cluster-identifier sample-cluster ^
  3.     --port 27017 ^
  4.     --engine docdb ^
  5.     --master-username master-username ^
  6.     --master-user-password password ^
  7.     --db-subnet-group-name default ^
  8.     --enable-cloudwatch-logs-exports audit

在修改现有集群时启用审计日志

以下代码修改集群 sample-cluster 并启用 CloudWatch 审核日志。

对于 Linux、macOS 或 Unix:

  1. aws docdb modify-db-cluster \
  2.    --db-cluster-identifier sample-cluster \
  3.    --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

对于 Windows:

  1. aws docdb modify-db-cluster ^
  2.    --db-cluster-identifier sample-cluster ^
  3.    --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

这些操作的输出将类似于下文(JSON 格式)。

  1. {
  2.     "DBCluster": {
  3.         "HostedZoneId": "ZNKXH85TT8WVW",
  4.         "StorageEncrypted": false,
  5.         "DBClusterParameterGroup": "default.docdb4.0",
  6.         "MasterUsername": "<user-name>",
  7.         "BackupRetentionPeriod": 1,
  8.         "Port": 27017,
  9.         "VpcSecurityGroups": [
  10.             {
  11.                 "Status": "active",
  12.                 "VpcSecurityGroupId": "sg-77186e0d"
  13.             }
  14.         ],
  15.         "DBClusterArn": "arn:aws:rds:us-east-1:900083794985:cluster:sample-cluster",
  16.         "Status": "creating",
  17.         "Engine": "docdb",
  18.         "EngineVersion": "4.0.0",
  19.         "MultiAZ": false,
  20.         "AvailabilityZones": [
  21.             "us-east-1a",
  22.             "us-east-1c",
  23.             "us-east-1f"
  24.         ],
  25.         "DBSubnetGroup": "default",
  26.         "DBClusterMembers": [],
  27.         "ReaderEndpoint": "sample-cluster.cluster-ro-corcjozrlsfc.us-east-1.docdb.amazonaws.com",
  28.         "EnabledCloudwatchLogsExports": [
  29.             "audit"
  30.         ],
  31.         "PreferredMaintenanceWindow": "wed:03:08-wed:03:38",
  32.         "AssociatedRoles": [],
  33.         "ClusterCreateTime": "2019-02-13T16:35:04.756Z",
  34.         "DbClusterResourceId": "cluster-YOS52CUXGDTNKDQ7DH72I4LED4",
  35.         "Endpoint": "sample-cluster.cluster-corcjozrlsfc.us-east-1.docdb.amazonaws.com",
  36.         "PreferredBackupWindow": "07:16-07:46",
  37.         "DBClusterIdentifier": "sample-cluster"
  38.     }
  39. }

禁用审核

可以通过禁用 CloudWatch Logs 导出并禁用 audit_logs 参数来禁用审计。

禁用 CloudWatch Logs 导出

您可以使用 AWS 管理控制台或 AWS CLI 禁止导出审核日志。

使用 AWS 管理控制台

以下过程使用 AWS 管理控制台禁止 Amazon DocumentDB 将日志导出到 CloudWatch。

禁用审计日志

  1. 通过以下网址登录 AWS 管理控制台并打开 Amazon DocumentDB 控制台:https://console.aws.amazon.com/docdb

  2. 在导航窗格中,选择 Clusters。然后,选择要禁用导出日志的集群名称左侧的按钮。

  3. 选择 Actions (操作),然后选择 Modify (修改)

  4. 向下滚动到 Log exports (日志导出) 部分并选择 Disabled (已禁用)

  5. 选择 Continue (继续)

  6. 检查更改,然后选择何时将该更改应用到集群。

    • Apply during the next scheduled maintenance window (在下一个计划的维护时段内应用)

    • Apply immediately (立即应用)

  7. 选择修改集群

使用 AWS CLI

以下代码修改集群 sample-cluster 并禁用 CloudWatch 审核日志。

对于 Linux、macOS 或 Unix:

  1. aws docdb modify-db-cluster \
  2.    --db-cluster-identifier sample-cluster \
  3.    --cloudwatch-logs-export-configuration '{"DisableLogTypes":["audit"]}'

对于 Windows:

  1. aws docdb modify-db-cluster ^
  2.    --db-cluster-identifier sample-cluster ^
  3.    --cloudwatch-logs-export-configuration '{"DisableLogTypes":["audit"]}'

此操作的输出将类似于下文(JSON 格式)。

  1. {
  2.     "DBCluster": {
  3.         "DBClusterParameterGroup": "default.docdb4.0",
  4.         "HostedZoneId": "ZNKXH85TT8WVW",
  5.         "MasterUsername": "<user-name>",
  6.         "Status": "available",
  7.         "Engine": "docdb",
  8.         "Port": 27017,
  9.         "AvailabilityZones": [
  10.             "us-east-1a",
  11.             "us-east-1c",
  12.             "us-east-1f"
  13.         ],
  14.         "EarliestRestorableTime": "2019-02-13T16:35:50.387Z",
  15.         "DBSubnetGroup": "default",
  16.         "LatestRestorableTime": "2019-02-13T16:35:50.387Z",
  17.         "DBClusterArn": "arn:aws:rds:us-east-1:900083794985:cluster:sample-cluster2",
  18.         "Endpoint": "sample-cluster2.cluster-corcjozrlsfc.us-east-1.docdb.amazonaws.com",
  19.         "ReaderEndpoint": "sample-cluster2.cluster-ro-corcjozrlsfc.us-east-1.docdb.amazonaws.com",
  20.         "BackupRetentionPeriod": 1,
  21.         "EngineVersion": "4.0.0",
  22.         "MultiAZ": false,
  23.         "ClusterCreateTime": "2019-02-13T16:35:04.756Z",
  24.         "DBClusterIdentifier": "sample-cluster2",
  25.         "AssociatedRoles": [],
  26.         "PreferredBackupWindow": "07:16-07:46",
  27.         "DbClusterResourceId": "cluster-YOS52CUXGDTNKDQ7DH72I4LED4",
  28.         "StorageEncrypted": false,
  29.         "PreferredMaintenanceWindow": "wed:03:08-wed:03:38",
  30.         "DBClusterMembers": [],
  31.         "VpcSecurityGroups": [
  32.             {
  33.                 "Status": "active",
  34.                 "VpcSecurityGroupId": "sg-77186e0d"
  35.             }
  36.         ]
  37.     }
  38. }

禁用 audit_logs 参数

要禁用集群的 audit_logs 参数,您可以修改集群,使其使用 audit_logs 参数值为 disabled 的参数组。 或者,您可以修改集群参数组中的 audit_logs 参数值,使其为 disabled

有关更多信息,请参阅以下主题:

访问审计事件

可以使用以下步骤访问 Amazon CloudWatch 上的审核事件。

  1. 通过以下网址打开 CloudWatch 控制台:https://console.aws.amazon.com/cloudwatch/

  2. 确保您与 Amazon DocumentDB 集群位于同一区域。

  3. 在导航窗格中,选择 Logs

  4. 要查找集群的审核日志,请从列表中找到并选择 /aws/docdb/`yourClusterName`/audit

    此时,每个实例名称的下方将显示该实例的审计事件。