Recopila registros de AWS RDS
En este documento, se describe cómo puedes recopilar registros de RDS de AWS configurando un feed de SecOps de Google.
Para obtener más información, consulta Ingesta de datos en Google SecOps.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia AWS_RDS.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
Una cuenta de AWS a la que puedas acceder
Un administrador global o un administrador de RDS
Cómo configurar AWS RDS
- Usa una base de datos existente o crea una nueva:
- Para usar una base de datos existente, selecciónala, haz clic en Modificar y, luego, selecciona Exportaciones de registros.
- Para usar una base de datos nueva, cuando la crees, selecciona Configuración adicional.
- Para publicar en Amazon CloudWatch, selecciona los siguientes tipos de registros:
- Registro de auditoría
- Registro de errores
- Registro general
- Registro de consultas lentas
- Para especificar la exportación de registros para AWS Aurora PostgreSQL y PostgreSQL, selecciona Registro de PostgreSQL.
- Para especificar la exportación de registros para AWS Microsoft SQL Server, selecciona los siguientes tipos de registros:
- Registro del agente
- Registro de errores
- Guarda la configuración del registro.
- Selecciona CloudWatch > Logs para ver los registros recopilados. Los grupos de registros se crean automáticamente después de que los registros están disponibles a través de la instancia.
Para publicar los registros en CloudWatch, configura las políticas de usuario de IAM y de claves de KMS. Para obtener más información, consulta Políticas de usuarios de IAM y claves de KMS.
Según el servicio y la región, identifica los extremos para la conectividad consultando la siguiente documentación de AWS:
Para obtener información sobre las fuentes de registro, consulta Cuotas y extremos de AWS Identity and Access Management.
Para obtener información sobre las fuentes de registro de CloudWatch, consulta Cuotas y extremos de los registros de CloudWatch.
Para obtener información específica del motor, consulta la siguiente documentación:
Configura feeds
Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:
- Configuración del SIEM > Feeds > Agregar nuevo
- Centro de contenido > Paquetes de contenido > Comenzar
Cómo configurar el feed de AWS RDS
- Haz clic en el paquete Amazon Cloud Platform.
- Ubica el tipo de registro AWS RDS.
- Google SecOps admite la recopilación de registros con un ID de clave de acceso y un método secreto. Para crear el ID de clave de acceso y el secreto, consulta Configura la autenticación de la herramienta con AWS.
Especifica los valores en los siguientes campos.
- Tipo de fuente: Amazon SQS V2
- Nombre de la cola: Es el nombre de la cola de SQS desde la que se leerá.
- URI de S3: Es el URI del bucket.
s3://your-log-bucket-name/- Reemplaza
your-log-bucket-namepor el nombre real de tu bucket de S3.
- Reemplaza
Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
ID de clave de acceso a la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 20 caracteres.
Clave de acceso secreta de la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 40 caracteres.
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Haz clic en Crear feed.
Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.
Referencia de la asignación de campos
Este analizador extrae campos de los mensajes de registro del sistema de AWS RDS, principalmente el timestamp, la descripción y la IP del cliente. Utiliza patrones de Grok para identificar estos campos y completar los campos de UDM correspondientes, clasificando los eventos como GENERIC_EVENT o STATUS_UPDATE según la presencia de una IP del cliente.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
client_ip |
principal.ip |
Se extrae del mensaje de registro sin procesar con la expresión regular \\[CLIENT: %{IP:client_ip}\\]. |
create_time.nanos |
N/A | No se asignó al objeto IDM. |
create_time.seconds |
N/A | No se asignó al objeto IDM. |
metadata.description |
Es el mensaje descriptivo del registro, extraído con patrones de Grok. Se copió desde create_time.nanos. Se copió desde create_time.seconds. El valor predeterminado es "GENERIC_EVENT". Se cambió a "STATUS_UPDATE" si client_ip está presente. Valor estático "AWS_RDS", establecido por el analizador. Valor estático "AWS_RDS", establecido por el analizador. |
|
pid |
principal.process.pid |
Se extrae del campo descrip con la expresión regular process ID of %{INT:pid}. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.