以下の条件の時の監査ログについて確認した時のメモ。
RDS Aurora の状態
- Cluster の「監査ログ」にチェック済み
- Cluster Parameter Group は以下の通り設定
- server_audit_logging :
1
- server_audit_logs_upload :
0
- server_audit_events :
CONNECT,QUERY_DDL,QUERY_DCL
- server_audit_excl_users :
rdsadmin,mysql.sys
- server_audit_logging :
確認のため実施した内容
CREATE USER 'noo'@'%'; SET PASSWORD FOR 'noo'@'%' = 'hogehogehoge'; GRANT SELECT ON `*`.* TO 'noo'@'%' IDENTIFIED BY 'hogehogehoge'; DROP USER 'noo'@'%';
SELECT * FROM mysql.user;
結果
1706705683981863,aurora-instance-01,admin,10.0.0.24,11759925,0,FAILED_CONNECT,,,1045 1706705683981894,aurora-instance-01,admin,10.0.0.24,11759925,0,DISCONNECT,,,0 1706705688849140,aurora-instance-01,admin,10.0.0.24,11759927,0,CONNECT,,,0 1706705716280568,aurora-instance-01,admin,10.0.0.24,11759927,340029750,QUERY,,'CREATE USER \'noo\'@\'%\' IDENTIFIED WITH \'mysql_native_password\'',0 1706705718993333,aurora-instance-01,admin,10.0.0.24,11759927,340029765,QUERY,,'SET PASSWORD FOR `noo`@`%`=<secret>',0 1706705721475686,aurora-instance-01,admin,10.0.0.24,11759927,340029785,QUERY,,'GRANT SELECT ON `*`.* TO \'noo\'@\'%\' IDENTIFIED WITH \'mysql_native_password\' AS \'<secret>\'',0 1706705724527190,aurora-instance-01,admin,10.0.0.24,11759927,340029813,QUERY,,'DROP USER \'noo\'@\'%\'',0 1706705754747281,aurora-instance-01,admin,10.0.0.24,11759927,0,DISCONNECT,,,0
- 1行目: 接続失敗(FAILED_CONNECT)
- 2行目: 切断(DISCONNECT)
- 3行目: 接続成功(CONNECT)
- 4〜7行目: 発行されたクエリのログ
- パスワード部分は
<secret>
となってマスクされている DROP USER
の後に流したSELECT
文は記録されていない
- パスワード部分は
- 8行目: 切断(DISCONNECT)