在 AWS 中使用 neptune 数据库集群时,我发现有多种选项可以为 neptune 集群启用审核日志记录; aws_neptune_cluster_parameter_group中的enable_cloudwatch_logs_exports和neptune_enable_audit_log。
我在文档中找不到任何内容来描述以下示例中显示的这些值之间的差异。根据我的观察,这两个值控制单独的设置,但从外部看它们似乎定义了相同的设置?是否应用于集群级别,并直接应用于底层读取器/写入器?
集群资源选项:
resource "aws_neptune_cluster" "my_cluster" {
enable_cloudwatch_logs_exports = ["audit"]
neptune_cluster_parameter_group_name = aws_neptune_cluster_parameter_group.my_param_group.name
...
}
参数组设置:
resource "aws_neptune_cluster_parameter_group" "my_param_group" {
parameter {
name = "neptune_enable_audit_log"
value = 1
}
...
}
是的,在 Neptune 中使用审核日志有两个单独的设置。需要通过参数组启用它们才能为集群中的所有实例打开审核日志记录。启用审核日志后,它们默认存储在实例本地。从此处访问它们的唯一方法是使用 Amazon Neptune 控制台。
如果您想将审核日志导出到 CloudWatch(以便更好的可见性和解析/搜索),您还可以设置
enable_cloudwatch_logs_exports
的集群资源参数以将这些日志导出到 CloudWatch。