Mengumpulkan log AWS RDS

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log AWS RDS dengan menyiapkan feed Google SecOps.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google SecOps.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan AWS_RDS.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Akun AWS yang dapat Anda gunakan untuk login

  • Administrator global atau administrator RDS

Cara mengonfigurasi AWS RDS

  1. Gunakan database yang ada atau buat database baru:
    • Untuk menggunakan database yang ada, pilih database, klik Ubah, lalu pilih Ekspor log.
    • Untuk menggunakan database baru, saat Anda membuat database, pilih Konfigurasi tambahan.
  2. Untuk memublikasikan ke Amazon CloudWatch, pilih jenis log berikut:
    • Log audit
    • Log error
    • Log umum
    • Log kueri lambat
  3. Untuk menentukan ekspor log untuk AWS Aurora PostgreSQL dan PostgreSQL, pilih Log PostgreSQL.
  4. Untuk menentukan ekspor log untuk server AWS Microsoft SQL, pilih jenis log berikut:
    • Log agen
    • Log error
  5. Simpan konfigurasi log.
  6. Pilih CloudWatch > Logs untuk melihat log yang dikumpulkan. Grup log dibuat secara otomatis setelah log tersedia melalui instance.

Untuk memublikasikan log ke CloudWatch, konfigurasi kebijakan pengguna IAM dan kunci KMS. Untuk mengetahui informasi selengkapnya, lihat Kebijakan kunci KMS dan pengguna IAM.

Berdasarkan layanan dan region, identifikasi endpoint untuk konektivitas dengan melihat dokumentasi AWS berikut:

Untuk mengetahui informasi khusus mesin, lihat dokumentasi berikut:

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed > Tambahkan Baru
  • Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed AWS RDS

  1. Klik paket Amazon Cloud Platform.
  2. Cari jenis log AWS RDS.
  3. Google SecOps mendukung pengumpulan log menggunakan ID kunci akses dan metode rahasia. Untuk membuat ID kunci akses dan kunci rahasia, lihat Mengonfigurasi autentikasi alat dengan AWS.

  4. Tentukan nilai di kolom berikut.

    • Jenis Sumber: Amazon SQS V2
    • Nama Antrean: Nama antrean SQS yang akan dibaca
    • URI S3: URI bucket.
      • s3://your-log-bucket-name/
        • Ganti your-log-bucket-name dengan nama sebenarnya bucket S3 Anda.

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.

    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.

    • ID Kunci Akses Antrean SQS: Kunci akses akun yang berupa string alfanumerik 20 karakter.

    • Kunci Akses Rahasia Antrean SQS: Kunci akses akun yang berupa string alfanumerik 40 karakter.

    Opsi lanjutan

    • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
    • Namespace Aset: Namespace yang terkait dengan feed.
    • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

  5. Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Referensi pemetaan kolom

Parser ini mengekstrak kolom dari pesan syslog AWS RDS, terutama berfokus pada stempel waktu, deskripsi, dan IP klien. Skrip ini menggunakan pola grok untuk mengidentifikasi kolom ini dan mengisi kolom UDM yang sesuai, mengklasifikasikan peristiwa sebagai GENERIC_EVENT atau STATUS_UPDATE berdasarkan keberadaan IP klien.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
client_ip principal.ip Diekstrak dari pesan log mentah menggunakan ekspresi reguler \\[CLIENT: %{IP:client_ip}\\].
create_time.nanos T/A Tidak dipetakan ke objek IDM.
create_time.seconds T/A Tidak dipetakan ke objek IDM.
metadata.description Pesan deskriptif dari log, diekstrak menggunakan pola grok. Disalin dari create_time.nanos. Disalin dari create_time.seconds. Secara default disetel ke "GENERIC_EVENT". Diubah menjadi "STATUS_UPDATE" jika client_ip ada. Nilai statis "AWS_RDS", ditetapkan oleh parser. Nilai statis "AWS_RDS", ditetapkan oleh parser.
pid principal.process.pid Diekstrak dari kolom descrip menggunakan ekspresi reguler process ID of %{INT:pid}.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.