Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux AWS RDS

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter les journaux AWS RDS en configurant un flux Google SecOps.

Pour en savoir plus, consultez Ingérer des données dans Google SecOps.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion AWS_RDS.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Un compte AWS auquel vous pouvez vous connecter
Un administrateur général ou un administrateur RDS

Configurer AWS RDS

Utilisez une base de données existante ou créez-en une :
- Pour utiliser une base de données existante, sélectionnez-la, cliquez sur Modifier, puis sélectionnez Exporter les journaux.
- Pour utiliser une nouvelle base de données, sélectionnez Configuration supplémentaire lorsque vous la créez.
Pour publier des journaux dans Amazon CloudWatch, sélectionnez les types de journaux suivants :
- Journal d'audit
- Journal des erreurs
- Journal général
- Journal des requêtes lentes
Pour spécifier l'exportation des journaux pour AWS Aurora PostgreSQL et PostgreSQL, sélectionnez Journal PostgreSQL.
Pour spécifier l'exportation des journaux pour AWS Microsoft SQL Server, sélectionnez les types de journaux suivants :
- Journal de l'agent
- Journal des erreurs
Enregistrez la configuration des journaux.
Sélectionnez CloudWatch > Logs (Journaux) pour afficher les journaux collectés. Les groupes de journaux sont créés automatiquement une fois que les journaux sont disponibles via l'instance.

Pour publier les journaux sur CloudWatch, configurez les stratégies d'utilisateur IAM et de clé KMS. Pour en savoir plus, consultez Stratégies IAM pour les utilisateurs et les clés KMS.

En fonction du service et de la région, identifiez les points de terminaison pour la connectivité en vous référant à la documentation AWS suivante :

Pour en savoir plus sur les sources de journaux, consultez Points de terminaison et quotas AWS Identity and Access Management.
Pour en savoir plus sur les sources de journalisation CloudWatch, consultez Points de terminaison et quotas des journaux CloudWatch.

Pour obtenir des informations spécifiques aux moteurs, consultez la documentation suivante :

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

Paramètres SIEM> Flux > Ajouter
Plate-forme de contenu> Packs de contenu> Premiers pas

Configurer le flux AWS RDS

Cliquez sur le pack Amazon Cloud Platform.
Recherchez le type de journal AWS RDS.
Google SecOps permet de collecter des journaux à l'aide d'un ID de clé d'accès et d'une méthode secrète. Pour créer l'ID de clé d'accès et le secret, consultez Configurer l'authentification de l'outil avec AWS.
Spécifiez les valeurs des champs suivants.
- Type de source : Amazon SQS V2
- Nom de la file d'attente : nom de la file d'attente SQS à partir de laquelle lire les données
- URI S3 : URI du bucket.
  - s3://your-log-bucket-name/
    - Remplacez your-log-bucket-name par le nom réel de votre bucket S3.
- Options de suppression de la source : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.
  
  Remarque : Si vous sélectionnez l'option Delete transferred files ou Delete transferred files and empty directories, assurez-vous d'avoir accordé les autorisations appropriées au compte de service.
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
- ID de clé d'accès à la file d'attente SQS : clé d'accès au compte, qui est une chaîne alphanumérique de 20 caractères.
- Clé d'accès secrète à la file d'attente SQS : clé d'accès au compte, qui est une chaîne alphanumérique de 40 caractères.
Options avancées
- Nom du flux : valeur préremplie qui identifie le flux.
- Espace de noms de l'élément : espace de noms associé au flux.
- Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.
Cliquez sur Créer un flux.

Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Référence du mappage de champs

Ce parseur extrait les champs des messages syslog AWS RDS, en se concentrant principalement sur le code temporel, la description et l'adresse IP du client. Il utilise des modèles Grok pour identifier ces champs et renseigne les champs UDM correspondants, en classant les événements comme GENERIC_EVENT ou STATUS_UPDATE en fonction de la présence d'une adresse IP du client.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`client_ip`	`principal.ip`	Extrait du message de journal brut à l'aide de l'expression régulière `\\[CLIENT: %{IP:client_ip}\\]`.
`create_time.nanos`	N/A	Non mappé à l'objet IDM.
`create_time.seconds`	N/A	Non mappé à l'objet IDM.
	`metadata.description`	Message descriptif du journal, extrait à l'aide de modèles Grok. Copié depuis `create_time.nanos`. Copié depuis `create_time.seconds`. La valeur par défaut est "GENERIC_EVENT". Passé à "STATUS_UPDATE" si `client_ip` est présent. Valeur statique "AWS_RDS", définie par l'analyseur. Valeur statique "AWS_RDS", définie par l'analyseur.
`pid`	`principal.process.pid`	Extrait du champ `descrip` à l'aide de l'expression régulière `process ID of %{INT:pid}`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.