Diese Seite wurde von der Cloud Translation API übersetzt.

AWS RDS-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie AWS RDS-Logs erfassen können, indem Sie einen Google SecOps-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.

Ein Erfassungslabel identifiziert den Parser, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label AWS_RDS.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Ein AWS-Konto, in dem Sie sich anmelden können
Ein globaler Administrator oder RDS-Administrator

AWS RDS konfigurieren

Vorhandene Datenbank verwenden oder neue Datenbank erstellen:
- Wenn Sie eine vorhandene Datenbank verwenden möchten, wählen Sie sie aus, klicken Sie auf Ändern und dann auf Log-Exporte.
- Wenn Sie eine neue Datenbank verwenden möchten, wählen Sie beim Erstellen der Datenbank Zusätzliche Konfiguration aus.
Wenn Sie in Amazon CloudWatch veröffentlichen möchten, wählen Sie die folgenden Protokolltypen aus:
- Audit-Log
- Fehlerprotokoll
- Allgemeines Log
- Log für langsame Abfragen
Wenn Sie den Logexport für AWS Aurora PostgreSQL und PostgreSQL angeben möchten, wählen Sie PostgreSQL-Log aus.
Wenn Sie den Logexport für AWS Microsoft SQL Server angeben möchten, wählen Sie die folgenden Logtypen aus:
- Agent-Log
- Fehlerprotokoll
Speichern Sie die Logkonfiguration.
Wählen Sie CloudWatch > Logs aus, um die erfassten Logs anzusehen. Die Loggruppen werden automatisch erstellt, nachdem die Logs über die Instanz verfügbar sind.

Konfigurieren Sie IAM-Nutzer- und KMS-Schlüsselrichtlinien, um die Logs in CloudWatch zu veröffentlichen. Weitere Informationen finden Sie unter IAM-Nutzer- und KMS-Schlüsselrichtlinien.

Ermitteln Sie anhand des Dienstes und der Region die Endpunkte für die Verbindung. Verwenden Sie dazu die folgende AWS-Dokumentation:

Informationen zu Protokollierungsquellen finden Sie unter AWS Identity and Access Management-Endpunkte und ‑Kontingente.
Informationen zu CloudWatch-Logging-Quellen finden Sie unter CloudWatch Logs-Endpunkte und -Kontingente.

Weitere Informationen zu den einzelnen Engines finden Sie in der folgenden Dokumentation:

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds > Neu hinzufügen
Content Hub > Content-Packs > Erste Schritte

AWS RDS-Feed einrichten

Klicken Sie auf das Paket Amazon Cloud Platform.
Suchen Sie den Logtyp AWS RDS.
Google SecOps unterstützt die Erfassung von Logs mithilfe einer Zugriffsschlüssel-ID und einer geheimen Methode. Informationen zum Erstellen der Zugriffsschlüssel-ID und des Secrets finden Sie unter Tool-Authentifizierung mit AWS konfigurieren.
Geben Sie die Werte in den folgenden Feldern an.
- Quelltyp: Amazon SQS V2
- Warteschlangenname: Der Name der SQS-Warteschlange, aus der gelesen werden soll.
- S3-URI: Der Bucket-URI.
  - s3://your-log-bucket-name/
    - Ersetzen Sie your-log-bucket-name durch den tatsächlichen Namen Ihres S3-Buckets.
- Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.
  
  Hinweis: Wenn Sie die Option Delete transferred files oder Delete transferred files and empty directories auswählen, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen erteilen.
- Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
- SQS Queue Access Key ID (SQS-Warteschlange-Zugriffsschlüssel-ID): Ein Konto-Zugriffsschlüssel, der ein 20-stelliger alphanumerischer String ist.
- SQS Queue Secret Access Key (geheimer Zugriffsschlüssel für SQS-Warteschlange): Ein Konto-Zugriffsschlüssel, der ein 40-stelliger alphanumerischer String ist.
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

Referenz zur Feldzuordnung

Dieser Parser extrahiert Felder aus AWS RDS-Syslog-Nachrichten, wobei der Schwerpunkt auf Zeitstempel, Beschreibung und Client-IP liegt. Dazu werden Grok-Muster verwendet, um diese Felder zu identifizieren und entsprechende UDM-Felder zu füllen. Ereignisse werden je nach Vorhandensein einer Client-IP als GENERIC_EVENT oder STATUS_UPDATE klassifiziert.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`client_ip`	`principal.ip`	Wird aus der Roh-Log-Nachricht mit dem regulären Ausdruck `\\[CLIENT: %{IP:client_ip}\\]` extrahiert.
`create_time.nanos`	–	Nicht dem IDM-Objekt zugeordnet.
`create_time.seconds`	–	Nicht dem IDM-Objekt zugeordnet.
	`metadata.description`	Die beschreibende Meldung aus dem Log, die mit Grok-Mustern extrahiert wurde. Kopiert von `create_time.nanos`. Kopiert von `create_time.seconds`. Standardmäßig auf „GENERIC_EVENT“ festgelegt. In „STATUS_UPDATE“ geändert, wenn `client_ip` vorhanden ist. Statischer Wert „AWS_RDS“, der vom Parser festgelegt wird. Statischer Wert „AWS_RDS“, der vom Parser festgelegt wird.
`pid`	`principal.process.pid`	Aus dem Feld `descrip` extrahiert, indem der reguläre Ausdruck `process ID of %{INT:pid}` verwendet wurde.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten