Mengumpulkan log AWS RDS

Dokumen ini menjelaskan cara mengumpulkan log AWS RDS dengan menyiapkan feed Google SecOps.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google SecOps.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan AWS_RDS.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

• Akun AWS yang dapat Anda gunakan untuk login

• Administrator global atau administrator RDS

Cara mengonfigurasi AWS RDS

1. Gunakan database yang ada atau buat database baru:
   • Untuk menggunakan database yang ada, pilih database, klik Ubah, lalu pilih Ekspor log.
   • Untuk menggunakan database baru, saat Anda membuat database, pilih Konfigurasi tambahan.
2. Untuk memublikasikan ke Amazon CloudWatch, pilih jenis log berikut:
   • Log audit
   • Log error
   • Log umum
   • Log kueri lambat
3. Untuk menentukan ekspor log untuk AWS Aurora PostgreSQL dan PostgreSQL, pilih Log PostgreSQL.
4. Untuk menentukan ekspor log untuk server AWS Microsoft SQL, pilih jenis log berikut:
   • Log agen
   • Log error
5. Simpan konfigurasi log.
6. Pilih CloudWatch > Logs untuk melihat log yang dikumpulkan. Grup log dibuat secara otomatis setelah log tersedia melalui instance.

Untuk memublikasikan log ke CloudWatch, konfigurasi kebijakan pengguna IAM dan kunci KMS. Untuk mengetahui informasi selengkapnya, lihat Kebijakan kunci KMS dan pengguna IAM.

Berdasarkan layanan dan region, identifikasi endpoint untuk konektivitas dengan melihat dokumentasi AWS berikut:

• Untuk mengetahui informasi tentang sumber logging, lihat Endpoint dan kuota AWS Identity and Access Management.

• Untuk mengetahui informasi tentang sumber logging CloudWatch, lihat Endpoint dan kuota log CloudWatch.

Untuk mengetahui informasi khusus mesin, lihat dokumentasi berikut:

• Memublikasikan log MariaDB ke Amazon CloudWatch Logs.

• Memublikasikan log MySQL ke Amazon CloudWatch Logs.

• Memublikasikan log Oracle ke Amazon CloudWatch Logs.

• Memublikasikan log PostgreSQL ke Amazon CloudWatch Logs.

• Memublikasikan log SQL Server ke Amazon CloudWatch Logs.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

• Setelan SIEM > Feed
• Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Khusus pelanggan terpadu Google Security Operations:
Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam rangkaian produk ini, lihat Mengonfigurasi beberapa feed.

Untuk semua pelanggan:
Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:

1. Buka Setelan SIEM > Feed.
2. Klik Tambahkan Feed Baru.
3. Di halaman berikutnya, klik Konfigurasi satu feed. Lewati langkah ini jika Anda menggunakan platform mandiri SIEM Google SecOps.
4. Masukkan nama unik untuk Nama feed.
5. Pilih Amazon S3 atau Amazon SQS sebagai Source type.
6. Pilih AWS RDS sebagai Jenis log.
7. Klik Berikutnya.
8. Google SecOps mendukung pengumpulan log menggunakan ID kunci akses dan metode rahasia. Untuk membuat ID kunci akses dan kunci rahasia, lihat Mengonfigurasi autentikasi alat dengan AWS.
9. Berdasarkan konfigurasi AWS RDS yang Anda buat, tentukan nilai untuk parameter input:
   • Jika Anda menggunakan Amazon S3, tentukan nilai untuk kolom wajib diisi berikut:
     • Region
     • URI S3
     • URI adalah
     • Opsi penghapusan sumber
   • Jika Anda menggunakan Amazon SQS, tentukan nilai untuk kolom wajib diisi berikut:
     • Region
     • Nama antrean
     • Nomor rekening
     • ID kunci akses antrean
     • Kunci akses rahasia antrean
     • Opsi penghapusan sumber
10. Klik Berikutnya, lalu klik Kirim.

Untuk mengetahui informasi selengkapnya tentang feed Google SecOps, lihat Membuat dan mengelola feed menggunakan UI pengelolaan feed. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Feed Management API.

Jika Anda mengalami masalah saat membuat feed, hubungi dukungan SecOps Google.

Menyiapkan feed dari Hub Konten

Anda dapat mengonfigurasi feed penyerapan di Google SecOps menggunakan Amazon SQS (pilihan) atau Amazon S3.

Tentukan nilai untuk kolom berikut:

• Region: Region tempat bucket S3 atau antrean SQS dihosting.
• Nama Antrean: Nama antrean SQS yang akan dibaca data lognya.
• Nomor Akun: Nomor akun yang memiliki antrean SQS.
• Queue Access Key ID: ID kunci akses akun 20 karakter. Contoh, AKIAOSFOODNN7EXAMPLE.
• Queue Secret Access Key: Kunci akses rahasia 40 karakter. Contoh, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
• Opsi penghapusan sumber: Opsi untuk menghapus file dan direktori setelah mentransfer data.

Opsi lanjutan

• Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
• Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
• Namespace Aset: Namespace yang terkait dengan feed.
• Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Referensi pemetaan kolom

Parser ini mengekstrak kolom dari pesan syslog AWS RDS, yang terutama berfokus pada stempel waktu, deskripsi, dan IP klien. Skrip ini menggunakan pola grok untuk mengidentifikasi kolom ini dan mengisi kolom UDM yang sesuai, mengklasifikasikan peristiwa sebagai GENERIC_EVENT atau STATUS_UPDATE berdasarkan keberadaan IP klien.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
client_ip	principal.ip	Diekstrak dari pesan log mentah menggunakan ekspresi reguler \\[CLIENT: %{IP:client_ip}\\].
create_time.nanos	T/A	Tidak dipetakan ke objek IDM.
create_time.seconds	T/A	Tidak dipetakan ke objek IDM.
	metadata.description	Pesan deskriptif dari log, diekstrak menggunakan pola grok. Disalin dari create_time.nanos. Disalin dari create_time.seconds. Secara default disetel ke "GENERIC_EVENT". Diubah menjadi "STATUS_UPDATE" jika client_ip ada. Nilai statis "AWS_RDS", ditetapkan oleh parser. Nilai statis "AWS_RDS", ditetapkan oleh parser.
pid	principal.process.pid	Diekstrak dari kolom descrip menggunakan ekspresi reguler process ID of %{INT:pid}.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.