Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux AWS RDS

Compatible avec:

Google SecOps SIEM

Ce document explique comment collecter les journaux AWS RDS en configurant un flux Google SecOps.

Pour en savoir plus, consultez Ingestion de données dans Google SecOps.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion AWS_RDS.

Avant de commencer

Pour effectuer les tâches de cette page, assurez-vous de disposer des éléments suivants:

Un compte AWS auquel vous pouvez vous connecter.
Un administrateur global ou un administrateur RDS.

Configurer AWS RDS

Utilisez une base de données existante ou créez-en une :
- Pour utiliser une base de données existante, sélectionnez-la, cliquez sur Modifier, puis sur Journaliser les exportations.
- Pour utiliser une nouvelle base de données, sélectionnez Configuration supplémentaire lorsque vous la créez.
Pour publier dans Amazon CloudWatch, sélectionnez les types de journaux suivants :
- Journal d'audit
- Journal des erreurs
- Journal général
- Journal des requêtes lentes
Pour spécifier l'exportation des journaux pour AWS Aurora PostgreSQL et PostgreSQL, sélectionnez Journal PostgreSQL.
Pour spécifier l'exportation des journaux pour AWS Microsoft SQL Server, sélectionnez les types de journaux suivants :
- Journal de l'agent
- Journal des erreurs
Enregistrez la configuration des journaux.
Sélectionnez CloudWatch > Journaux pour afficher les journaux collectés. Les groupes de journaux sont créés automatiquement une fois les journaux disponibles via l'instance.

Pour publier les journaux dans CloudWatch, configurez des stratégies d'utilisateur IAM et de clé KMS. Pour en savoir plus, consultez Règles de clé IAM et règles de clé KMS.

Identifiez les points de terminaison de connectivité en fonction du service et de la région en consultant la documentation AWS suivante:

Pour en savoir plus sur les sources de journalisation, consultez Points de terminaison et quotas AWS Identity and Access Management.
Pour en savoir plus sur les sources de journalisation CloudWatch, consultez Points de terminaison et quotas de journaux CloudWatch.

Pour en savoir plus sur les moteurs, consultez la documentation suivante:

Configurer un flux dans Google SecOps pour ingérer les journaux AWS RDS

Sélectionnez Paramètres du SIEM > Flux.
Cliquez sur Ajouter.
Saisissez un nom unique pour le nom du flux.
Sélectionnez Amazon S3 ou Amazon SQS comme Type de source.
Sélectionnez AWS RDS comme Type de journal.
Cliquez sur Suivant.
Google SecOps prend en charge la collecte des journaux à l'aide d'un ID de clé d'accès et d'une méthode secrète. Pour créer l'ID de clé d'accès et le secret, consultez Configurer l'authentification de l'outil avec AWS.
En fonction de la configuration AWS RDS que vous avez créée, spécifiez des valeurs pour les paramètres d'entrée :
- Si vous utilisez Amazon S3, spécifiez des valeurs pour les champs obligatoires suivants :
  - Région
  - URI S3
  - Un URI est un
  - Option de suppression de la source
- Si vous utilisez Amazon SQS, spécifiez les valeurs des champs obligatoires suivants :
  - Région
  - Nom de la file d'attente
  - Numéro de compte
  - ID de clé d'accès de la file d'attente
  - Clé d'accès secrète mise en file d'attente
  - Option de suppression de la source
Cliquez sur Suivant, puis sur Envoyer.

Pour en savoir plus sur les flux Google SecOps, consultez Créer et gérer des flux à l'aide de l'UI de gestion des flux. Pour en savoir plus sur les exigences de chaque type de flux, consultez la page API de gestion des flux.

Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google SecOps.

Référence de mappage de champ

Cet analyseur extrait des champs des messages syslog AWS RDS, en se concentrant principalement sur le code temporel, la description et l'adresse IP du client. Il utilise des modèles Grok pour identifier ces champs et renseigne les champs UDM correspondants, classant les événements en tant que GENERIC_EVENT ou STATUS_UPDATE en fonction de la présence d'une adresse IP client.

Tableau de mappage UDM

Champ de journal	Mappage UDM	Logique
`client_ip`	`principal.ip`	Extrait du message de journal brut à l'aide de l'expression régulière `\\[CLIENT: %{IP:client_ip}\\]`.
`create_time.nanos`	N/A	Non mappé sur l'objet IDM.
`create_time.seconds`	N/A	Non mappé sur l'objet IDM.
	`metadata.description`	Message descriptif du journal, extrait à l'aide de modèles Grok. Copié depuis `create_time.nanos`. Copié depuis `create_time.seconds`. La valeur par défaut est "GENERIC_EVENT". Remplacement par "STATUS_UPDATE" si `client_ip` est présent. Valeur statique "AWS_RDS", définie par l'analyseur. Valeur statique "AWS_RDS", définie par l'analyseur.
`pid`	`principal.process.pid`	Extrait du champ `descrip` à l'aide de l'expression régulière `process ID of %{INT:pid}`.

Modifications

2023-04-24

Analyseur nouvellement créé.