AWS RDS のログを収集する

このドキュメントでは、Google SecOps フィードを設定して AWS RDS ログを収集する方法について説明します。

詳細については、Google SecOps へのデータの取り込みをご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル AWS_RDS が付加されたパーサーに適用されます。

始める前に

次の前提条件を満たしていることを確認します。

• ログインできる AWS アカウント

• グローバル管理者または RDS 管理者

AWS RDS の構成方法

1. 既存のデータベースを使用するか、新しいデータベースを作成します。
   • 既存のデータベースを使用するには、データベースを選択し、[Modify] をクリックして、[Log exports] を選択します。
   • 新しいデータベースを使用するには、データベースを作成するときに [Additional configuration] を選択します。
2. Amazon CloudWatch に公開するには、次のログタイプを選択します。
   • 監査ログ
   • エラーログ
   • General log
   • Slow query log
3. AWS Aurora PostgreSQL と PostgreSQL のログ エクスポートを指定するには、[PostgreSQL log] を選択します。
4. AWS Microsoft SQL Server のログ エクスポートを指定するには、次のログタイプを選択します。
   • Agent log
   • エラーログ
5. ログ構成を保存します。
6. [CloudWatch] > [Logs] を選択して、収集されたログを表示します。ロググループは、インスタンスからログが利用可能になった後に自動的に作成されます。

ログを CloudWatch にパブリッシュするには、IAM ユーザーと KMS 鍵のポリシーを構成します。詳細については、IAM ユーザーと KMS 鍵ポリシーをご覧ください。

サービスとリージョンに基づいて、次の AWS ドキュメントを参照して接続のエンドポイントを特定します。

• ロギングソースの詳細については、AWS Identity and Access Management エンドポイントとクォータをご覧ください。

• CloudWatch ロギングソースの詳細については、Amazon CloudWatch Logs エンドポイントとクォータをご覧ください。

エンジン固有の情報については、次のドキュメントをご覧ください。

• Amazon CloudWatch Logs への MariaDB ログの発行。

• Amazon CloudWatch Logs への MySQL ログの発行。

• Amazon CloudWatch Logs への Oracle ログの発行。

• Amazon CloudWatch Logs への PostgreSQL ログの発行。

• Amazon CloudWatch Logs への SQL Server ログの発行。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

• [SIEM 設定] > [フィード]
• [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

Google Security Operations 統合のお客様のみ:
このプロダクト ファミリー内の異なるログタイプに複数のフィードを構成するには、複数のフィードを構成するをご覧ください。

すべてのお客様:
単一のフィードを設定する手順は次のとおりです。

1. [SIEM 設定] > [フィード] に移動します。
2. [Add New Feed] をクリックします。
3. 次のページで、[単一フィードを設定] をクリックします。Google SecOps SIEM スタンドアロン プラットフォームを使用している場合は、この手順をスキップします。
4. [Feed name] に一意の名前を入力します。
5. [Source type] として [Amazon S3] または [Amazon SQS] を選択します。
6. [Log type] で [AWS RDS] を選択します。
7. [次へ] をクリックします。
8. Google SecOps は、アクセスキー ID とシークレット メソッドを使用したログ収集をサポートしています。アクセスキー ID とシークレットを作成するには、AWS でツールの認証を構成するをご覧ください。
9. 作成した AWS RDS 構成に基づいて、入力パラメータの値を指定します。
   • Amazon S3 を使用する場合は、次の必須フィールドの値を指定します。
     • リージョン
     • S3 URI
     • URI は
     • ソース削除オプション
   • Amazon SQS を使用する場合は、次の必須フィールドに値を指定します。
     • リージョン
     • キュー名
     • 口座番号
     • Queue access key ID
     • Queue secret access key
     • ソース削除オプション
10. [次へ] をクリックしてから、[送信] をクリックします。

Google SecOps フィードの詳細については、フィード管理 UI を使用してフィードを作成および管理するをご覧ください。各フィードタイプの要件については、Feed Management API をご覧ください。

フィードの作成時に問題が発生した場合は、Google SecOps サポートにお問い合わせください。

コンテンツ ハブからフィードを設定する

Google SecOps で取り込みフィードを構成するには、Amazon SQS（推奨）または Amazon S3 を使用します。

次のフィールドに値を指定します。

• リージョン: S3 バケットまたは SQS キューがホストされているリージョン。
• キュー名: ログデータの読み取り元となる SQS キューの名前。
• アカウント番号: SQS キューを所有するアカウント番号。
• Queue Access Key ID: 20 文字のアカウント アクセスキー ID。例: AKIAOSFOODNN7EXAMPLE
• Queue Secret Access Key: 40 文字のシークレット アクセスキー。例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
• ソース削除オプション: データの転送後にファイルとディレクトリを削除するオプション。

詳細オプション

• フィード名: フィードを識別する事前入力された値。
• ソースタイプ: Google SecOps にログを収集するために使用される方法。
• Asset Namespace: フィードに関連付けられた名前空間。
• Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

フィールド マッピング リファレンス

このパーサーは、AWS RDS syslog メッセージからフィールドを抽出します。主に、タイムスタンプ、説明、クライアント IP に焦点を当てています。Grok パターンを使用してこれらのフィールドを特定し、対応する UDM フィールドに入力します。クライアント IP の有無に基づいて、イベントを GENERIC_EVENT または STATUS_UPDATE のいずれかに分類します。

UDM マッピング テーブル

ログフィールド	UDM マッピング	論理
client_ip	principal.ip	正規表現 \\[CLIENT: %{IP:client_ip}\\] を使用して未加工ログのメッセージから抽出されます。
create_time.nanos	N/A	IDM オブジェクトにはマッピングされません。
create_time.seconds	N/A	IDM オブジェクトにはマッピングされません。
	metadata.description	ログからの説明メッセージ。Grok パターンを使用して抽出されます。コピー元: create_time.nanos。コピー元: create_time.seconds。デフォルトは「GENERIC_EVENT」に設定されます。client_ip が存在する場合は「STATUS_UPDATE」に変更されます。パーサーによって設定される静的値「AWS_RDS」。パーサーによって設定される静的値「AWS_RDS」。
pid	principal.process.pid	正規表現 process ID of %{INT:pid} を使用して descrip フィールドから抽出されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。