Collecter les journaux AWS RDS

Ce document explique comment collecter les journaux AWS RDS en configurant un flux Google SecOps.

Pour en savoir plus, consultez Ingérer des données dans Google SecOps.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion AWS_RDS.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

• Un compte AWS auquel vous pouvez vous connecter

• Un administrateur général ou un administrateur RDS

Configurer AWS RDS

1. Utilisez une base de données existante ou créez-en une :
   • Pour utiliser une base de données existante, sélectionnez-la, cliquez sur Modifier, puis sélectionnez Exporter les journaux.
   • Pour utiliser une nouvelle base de données, sélectionnez Configuration supplémentaire lorsque vous la créez.
2. Pour publier des journaux dans Amazon CloudWatch, sélectionnez les types de journaux suivants :
   • Journal d'audit
   • Journal des erreurs
   • Journal général
   • Journal des requêtes lentes
3. Pour spécifier l'exportation des journaux pour AWS Aurora PostgreSQL et PostgreSQL, sélectionnez Journal PostgreSQL.
4. Pour spécifier l'exportation des journaux pour AWS Microsoft SQL Server, sélectionnez les types de journaux suivants :
   • Journal de l'agent
   • Journal des erreurs
5. Enregistrez la configuration des journaux.
6. Sélectionnez CloudWatch > Logs (Journaux) pour afficher les journaux collectés. Les groupes de journaux sont créés automatiquement une fois que les journaux sont disponibles via l'instance.

Pour publier les journaux sur CloudWatch, configurez les stratégies d'utilisateur IAM et de clé KMS. Pour en savoir plus, consultez Stratégies IAM pour les utilisateurs et les clés KMS.

En fonction du service et de la région, identifiez les points de terminaison pour la connectivité en vous référant à la documentation AWS suivante :

• Pour en savoir plus sur les sources de journaux, consultez Points de terminaison et quotas AWS Identity and Access Management.

• Pour en savoir plus sur les sources de journalisation CloudWatch, consultez Points de terminaison et quotas des journaux CloudWatch.

Pour obtenir des informations spécifiques aux moteurs, consultez la documentation suivante :

• Publier les journaux MariaDB dans Amazon CloudWatch Logs

• Publier les journaux MySQL dans Amazon CloudWatch Logs

• Publier des journaux Oracle dans Amazon CloudWatch Logs

• Publier les journaux PostgreSQL dans Amazon CloudWatch Logs

• Publier les journaux SQL Server dans Amazon CloudWatch Logs

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

• Paramètres SIEM> Flux
• Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour les clients Google Security Operations Unified uniquement :
Pour configurer plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer plusieurs flux.

Pour tous les clients :
Pour configurer un seul flux, procédez comme suit :

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Sur la page suivante, cliquez sur Configurer un seul flux. Ignorez cette étape si vous utilisez la plate-forme autonome Google SecOps SIEM.
4. Saisissez un nom unique pour le nom du flux.
5. Sélectionnez Amazon S3 ou Amazon SQS comme Type de source.
6. Sélectionnez AWS RDS comme Type de journal.
7. Cliquez sur Suivant.
8. Google SecOps permet de collecter des journaux à l'aide d'un ID de clé d'accès et d'une méthode secrète. Pour créer l'ID de clé d'accès et le secret, consultez Configurer l'authentification de l'outil avec AWS.
9. En fonction de la configuration AWS RDS que vous avez créée, spécifiez des valeurs pour les paramètres d'entrée :
   • Si vous utilisez Amazon S3, spécifiez les valeurs des champs obligatoires suivants :
     • Région
     • URI S3
     • L'URI est un
     • Option de suppression de la source
   • Si vous utilisez Amazon SQS, spécifiez les valeurs des champs obligatoires suivants :
     • Région
     • Nom de la file d'attente
     • Numéro de compte
     • ID de clé d'accès à la file d'attente
     • Clé d'accès secrète de la file d'attente
     • Option de suppression de la source
10. Cliquez sur Suivant, puis sur Envoyer.

Pour en savoir plus sur les flux Google SecOps, consultez Créer et gérer des flux à l'aide de l'interface utilisateur de gestion des flux. Pour en savoir plus sur les exigences de chaque type de flux, consultez API Feed Management.

Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google SecOps.

Configurer des flux depuis le Hub de contenu

Vous pouvez configurer le flux d'ingestion dans Google SecOps à l'aide d'Amazon SQS (méthode recommandée) ou d'Amazon S3.

Indiquez les valeurs des champs suivants :

• Région : région où le bucket S3 ou la file d'attente SQS sont hébergés.
• Nom de la file d'attente : nom de la file d'attente SQS à partir de laquelle lire les données de journaux.
• Numéro de compte : numéro de compte propriétaire de la file d'attente SQS.
• ID de clé d'accès à la file d'attente : ID de clé d'accès au compte de 20 caractères. Exemple :AKIAOSFOODNN7EXAMPLE
• Clé d'accès secrète de la file d'attente : clé d'accès secrète de 40 caractères. Exemple :wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
• Option de suppression de la source : option permettant de supprimer les fichiers et les répertoires après le transfert des données.

Options avancées

• Nom du flux : valeur préremplie qui identifie le flux.
• Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
• Espace de noms de l'élément : espace de noms associé au flux.
• Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Référence du mappage de champs

Ce parseur extrait les champs des messages syslog AWS RDS, en se concentrant principalement sur le code temporel, la description et l'adresse IP du client. Il utilise des modèles Grok pour identifier ces champs et renseigne les champs UDM correspondants, en classant les événements comme GENERIC_EVENT ou STATUS_UPDATE en fonction de la présence d'une adresse IP du client.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
client_ip	principal.ip	Extrait du message de journal brut à l'aide de l'expression régulière \\[CLIENT: %{IP:client_ip}\\].
create_time.nanos	N/A	Non mappé à l'objet IDM.
create_time.seconds	N/A	Non mappé à l'objet IDM.
	metadata.description	Message descriptif du journal, extrait à l'aide de modèles Grok. Copié depuis create_time.nanos. Copié depuis create_time.seconds. La valeur par défaut est "GENERIC_EVENT". Passé sur "STATUS_UPDATE" si client_ip est présent. Valeur statique "AWS_RDS", définie par l'analyseur. Valeur statique "AWS_RDS", définie par l'analyseur.
pid	principal.process.pid	Extrait du champ descrip à l'aide de l'expression régulière process ID of %{INT:pid}.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.