Raccogliere i log di AWS RDS

Supportato in:

Questo documento descrive come raccogliere i log di AWS RDS impostando un feed Google SecOps.

Per ulteriori informazioni, vedi Importazione dei dati in Google SecOps.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione AWS_RDS.

Prima di iniziare

Per completare le attività in questa pagina, assicurati di disporre di quanto segue:

  • Un account AWS a cui puoi accedere.

  • Un amministratore globale o RDS.

Configurare AWS RDS

  1. Utilizza un database esistente o creane uno nuovo:
    • Per utilizzare un database esistente, selezionalo, fai clic su Modifica e poi su Esporta log.
    • Per utilizzare un nuovo database, seleziona Configurazione aggiuntiva quando lo crei.
  2. Per pubblicare in Amazon CloudWatch, seleziona i seguenti tipi di log:
    • Log di controllo
    • Log degli errori
    • Log generale
    • Log delle query lente
  3. Per specificare l'esportazione dei log per AWS Aurora PostgreSQL e PostgreSQL, seleziona Log PostgreSQL.
  4. Per specificare l'esportazione dei log per il server Microsoft SQL di AWS, seleziona i seguenti tipi di log:
    • Log dell'agente
    • Log degli errori
  5. Salva la configurazione dei log.
  6. Seleziona CloudWatch > Log per visualizzare i log raccolti. I gruppi di log vengono creati automaticamente dopo che i log sono disponibili tramite l'istanza.

Per pubblicare i log in CloudWatch, configura i criteri per gli utenti IAM e le chiavi KMS. Per ulteriori informazioni, consulta i criteri per gli utenti IAM e le chiavi KMS.

In base al servizio e alla regione, identifica gli endpoint per la connettività facendo riferimento alla seguente documentazione AWS:

Per informazioni specifiche sul motore, consulta la seguente documentazione:

Configura un feed in Google SecOps per importare i log di AWS RDS

  1. Seleziona Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Inserisci un nome univoco per il nome del feed.
  4. Seleziona Amazon S3 o Amazon SQS come Tipo di origine.
  5. Seleziona AWS RDS come Tipo di log.
  6. Fai clic su Avanti.
  7. Google SecOps supporta la raccolta dei log utilizzando un ID chiave di accesso e un metodo secret. Per creare l'ID chiave di accesso e il segreto, consulta Configurare l'autenticazione dello strumento con AWS.
  8. In base alla configurazione di AWS RDS che hai creato, specifica i valori per i parametri di input:
    • Se utilizzi Amazon S3, specifica i valori per i seguenti campi obbligatori:
      • Regione
      • URI S3
      • L'URI è un
      • Opzione di eliminazione dell'origine
    • Se utilizzi Amazon SQS, specifica i valori per i seguenti campi obbligatori:
      • Regione
      • Nome coda
      • Numero account
      • ID chiave di accesso alla coda
      • Mettere in coda la chiave di accesso segreta
      • Opzione di eliminazione dell'origine
  9. Fai clic su Avanti, quindi su Invia.

Per ulteriori informazioni sui feed Google SecOps, vedi Creare e gestire i feed utilizzando l'interfaccia utente di gestione dei feed. Per informazioni sui requisiti per ogni tipo di feed, consulta l'API Feed Management.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google SecOps.

Riferimento alla mappatura dei campi

Questo parser estrae i campi dai messaggi syslog di AWS RDS, concentrandosi principalmente su timestamp, descrizione e IP client. Utilizza pattern grok per identificare questi campi e compila i campi UDM corrispondenti, classificando gli eventi come GENERIC_EVENT o STATUS_UPDATE in base alla presenza di un indirizzo IP client.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
client_ip principal.ip Estratto dal messaggio del log non elaborato utilizzando l'espressione regolare \\[CLIENT: %{IP:client_ip}\\].
create_time.nanos N/D Non mappato all'oggetto IDM.
create_time.seconds N/D Non mappato all'oggetto IDM.
metadata.description Il messaggio descrittivo del log, estratto utilizzando i pattern grok. Copiato da create_time.nanos. Copiato da create_time.seconds. Impostato su "GENERIC_EVENT" per impostazione predefinita. Modificato in "STATUS_UPDATE" se è presente client_ip. Valore statico "AWS_RDS", impostato dal parser. Valore statico "AWS_RDS", impostato dal parser.
pid principal.process.pid Estratto dal campo descrip utilizzando l'espressione regolare process ID of %{INT:pid}.

Modifiche

2023-04-24

  • Parser appena creato.