Raccogliere i log AWS RDS

Questo documento descrive come raccogliere i log AWS RDS configurando un feed Google SecOps.

Per ulteriori informazioni, vedi Importazione dei dati in Google SecOps.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati nel formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione AWS_RDS.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un account AWS a cui puoi accedere

• Un amministratore globale o un amministratore RDS

Come configurare AWS RDS

1. Utilizza un database esistente o creane uno nuovo:
   • Per utilizzare un database esistente, selezionalo, fai clic su Modifica e poi su Esportazioni log.
   • Per utilizzare un nuovo database, quando lo crei, seleziona Configurazione aggiuntiva.
2. Per pubblicare su Amazon CloudWatch, seleziona i seguenti tipi di log:
   • Log di controllo
   • Log degli errori
   • Log generale
   • Log delle query lente
3. Per specificare l'esportazione dei log per AWS Aurora PostgreSQL e PostgreSQL, seleziona Log PostgreSQL.
4. Per specificare l'esportazione dei log per AWS Microsoft SQL Server, seleziona i seguenti tipi di log:
   • Log dell'agente
   • Log degli errori
5. Salva la configurazione dei log.
6. Seleziona CloudWatch > Log per visualizzare i log raccolti. I gruppi di log vengono creati automaticamente dopo che i log sono disponibili tramite l'istanza.

Per pubblicare i log in CloudWatch, configura i criteri per l'utente IAM e la chiave KMS. Per ulteriori informazioni, consulta Norme relative agli utenti IAM e alle chiavi KMS.

In base al servizio e alla regione, identifica gli endpoint per la connettività facendo riferimento alla seguente documentazione AWS:

• Per informazioni su eventuali origini di logging, consulta Endpoint e quote di AWS Identity and Access Management.

• Per informazioni sulle origini di logging di CloudWatch, consulta Endpoint e quote dei log CloudWatch.

Per informazioni specifiche sul motore, consulta la seguente documentazione:

• Pubblicazione dei log MariaDB in Amazon CloudWatch Logs.

• Pubblicazione dei log MySQL in Amazon CloudWatch Logs.

• Pubblicazione dei log Oracle in Amazon CloudWatch Logs.

• Pubblicazione dei log PostgreSQL in Amazon CloudWatch Logs.

• Pubblicazione dei log di SQL Server in Amazon CloudWatch Logs.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

• Impostazioni SIEM > Feed
• Hub dei contenuti > Pacchetti di contenuti

Configurare i feed da Impostazioni SIEM > Feed

Solo per i clienti unificati di Google Security Operations:
Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare più feed.

Per tutti i clienti:
Per configurare un singolo feed:

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Nella pagina successiva, fai clic su Configura un singolo feed. Ignora questo passaggio se utilizzi la piattaforma autonoma Google SecOps SIEM.
4. Inserisci un nome univoco per il nome del feed.
5. Seleziona Amazon S3 o Amazon SQS come Tipo di origine.
6. Seleziona AWS RDS come Tipo di log.
7. Fai clic su Avanti.
8. Google SecOps supporta la raccolta dei log utilizzando un ID chiave di accesso e un metodo segreto. Per creare l'ID chiave di accesso e il segreto, consulta la sezione Configurare l'autenticazione dello strumento con AWS.
9. In base alla configurazione di AWS RDS che hai creato, specifica i valori per i parametri di input:
   • Se utilizzi Amazon S3, specifica i valori per i seguenti campi obbligatori:
     • Regione
     • URI S3
     • L'URI è un
     • Opzione di eliminazione dell'origine
   • Se utilizzi Amazon SQS, specifica i valori per i seguenti campi obbligatori:
     • Regione
     • Nome coda
     • Numero di conto
     • ID chiave di accesso alla coda
     • Chiave di accesso segreta della coda
     • Opzione di eliminazione dell'origine
10. Fai clic su Avanti, quindi su Invia.

Per ulteriori informazioni sui feed Google SecOps, consulta Creare e gestire i feed utilizzando l'UI di gestione dei feed. Per informazioni sui requisiti per ogni tipo di feed, consulta la Feed Management API.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza Google SecOps.

Configurare i feed dall'hub dei contenuti

Puoi configurare il feed di importazione in Google SecOps utilizzando Amazon SQS (opzione preferita) o Amazon S3.

Specifica i valori per i seguenti campi:

• Regione: la regione in cui è ospitato il bucket S3 o la coda SQS.
• Nome coda: nome della coda SQS da cui leggere i dati di log.
• Numero di account: il numero di account proprietario della coda SQS.
• ID chiave di accesso alla coda: ID chiave di accesso all'account di 20 caratteri. Ad esempio, AKIAOSFOODNN7EXAMPLE.
• Queue Secret Access Key (Chiave di accesso segreta della coda): chiave di accesso segreta di 40 caratteri. Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
• Opzione di eliminazione dell'origine: opzione per eliminare file e directory dopo il trasferimento dei dati.

Opzioni avanzate

• Nome feed: un valore precompilato che identifica il feed.
• Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
• Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
• Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Riferimento alla mappatura dei campi

Questo parser estrae i campi dai messaggi syslog di AWS RDS, concentrandosi principalmente su timestamp, descrizione e IP client. Utilizza i pattern grok per identificare questi campi e compila i campi UDM corrispondenti, classificando gli eventi come GENERIC_EVENT o STATUS_UPDATE in base alla presenza di un IP client.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
client_ip	principal.ip	Estratto dal messaggio di log non elaborato utilizzando l'espressione regolare \\[CLIENT: %{IP:client_ip}\\].
create_time.nanos	N/D	Non mappato all'oggetto IDM.
create_time.seconds	N/D	Non mappato all'oggetto IDM.
	metadata.description	Il messaggio descrittivo del log, estratto utilizzando i pattern grok. Copiato da create_time.nanos. Copiato da create_time.seconds. Impostato su "GENERIC_EVENT" per impostazione predefinita. Valore modificato in "STATUS_UPDATE" se è presente client_ip. Valore statico "AWS_RDS", impostato dal parser. Valore statico "AWS_RDS", impostato dal parser.
pid	principal.process.pid	Estratto dal campo descrip utilizzando l'espressione regolare process ID of %{INT:pid}.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.