RDS Aurora 監査ログの確認

以下の条件の時の監査ログについて確認した時のメモ。

RDS Aurora の状態

  • Cluster の「監査ログ」にチェック済み
  • Cluster Parameter Group は以下の通り設定
    • server_audit_logging : 1
    • server_audit_logs_upload : 0
    • server_audit_events : CONNECT,QUERY_DDL,QUERY_DCL
    • server_audit_excl_users : rdsadmin,mysql.sys

確認のため実施した内容

  • 認証失敗
    • mysql クライアントで接続試行し、わざとパスワードを間違える
  • 認証成功
    • mysql クライアントで接続試行し、正しいパスワードを入れる
  • DDL, DCL の確認用 SQL
CREATE USER 'noo'@'%';
SET PASSWORD FOR 'noo'@'%' = 'hogehogehoge';
GRANT SELECT ON `*`.* TO 'noo'@'%' IDENTIFIED BY 'hogehogehoge';
DROP USER 'noo'@'%';
  • SELECT 等の DML クエリが記録されないことを確認するための SQL
SELECT * FROM mysql.user;

結果

1706705683981863,aurora-instance-01,admin,10.0.0.24,11759925,0,FAILED_CONNECT,,,1045
1706705683981894,aurora-instance-01,admin,10.0.0.24,11759925,0,DISCONNECT,,,0
1706705688849140,aurora-instance-01,admin,10.0.0.24,11759927,0,CONNECT,,,0
1706705716280568,aurora-instance-01,admin,10.0.0.24,11759927,340029750,QUERY,,'CREATE USER \'noo\'@\'%\' IDENTIFIED WITH \'mysql_native_password\'',0
1706705718993333,aurora-instance-01,admin,10.0.0.24,11759927,340029765,QUERY,,'SET PASSWORD FOR `noo`@`%`=<secret>',0
1706705721475686,aurora-instance-01,admin,10.0.0.24,11759927,340029785,QUERY,,'GRANT SELECT ON `*`.* TO \'noo\'@\'%\' IDENTIFIED WITH \'mysql_native_password\' AS \'<secret>\'',0
1706705724527190,aurora-instance-01,admin,10.0.0.24,11759927,340029813,QUERY,,'DROP USER \'noo\'@\'%\'',0
1706705754747281,aurora-instance-01,admin,10.0.0.24,11759927,0,DISCONNECT,,,0
  • 1行目: 接続失敗(FAILED_CONNECT)
  • 2行目: 切断(DISCONNECT)
  • 3行目: 接続成功(CONNECT)
  • 4〜7行目: 発行されたクエリのログ
    • パスワード部分は <secret> となってマスクされている
    • DROP USER の後に流した SELECT 文は記録されていない
  • 8行目: 切断(DISCONNECT)