Esta página foi traduzida pela API Cloud Translation.

Coletar registros do AWS RDS

Compatível com:

Google SecOps SIEM

Neste documento, descrevemos como coletar registros do AWS RDS configurando um feed do Google SecOps.

Para mais informações, consulte Ingestão de dados no Google SecOps.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão AWS_RDS.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Uma conta da AWS em que você possa fazer login
Um administrador global ou do RDS

Como configurar o AWS RDS

Use um banco de dados existente ou crie um novo:
- Para usar um banco de dados existente, selecione-o, clique em Modificar e selecione Exportações de registros.
- Para usar um novo banco de dados, selecione Configuração adicional ao criar o banco de dados.
Para publicar no Amazon CloudWatch, selecione os seguintes tipos de registros:
- Registro de auditoria
- Registro de erros
- Registro geral
- Registro de consulta lenta
Para especificar a exportação de registros do AWS Aurora PostgreSQL e do PostgreSQL, selecione Registro do PostgreSQL.
Para especificar a exportação de registros do AWS Microsoft SQL Server, selecione os seguintes tipos de registros:
- Registro do agente
- Registro de erros
Salve a configuração de registro.
Selecione CloudWatch > Registros para ver os registros coletados. Os grupos de registros são criados automaticamente depois que os registros ficam disponíveis na instância.

Para publicar os registros no CloudWatch, configure as políticas de usuário do IAM e de chave do KMS. Para mais informações, consulte Políticas de usuário do IAM e de chaves do KMS.

Com base no serviço e na região, identifique os endpoints de conectividade consultando a seguinte documentação da AWS:

Para informações sobre fontes de geração de registros, consulte Endpoints e cotas do AWS Identity and Access Management.
Para informações sobre fontes de geração de registros do CloudWatch, consulte Endpoints e cotas de registros do CloudWatch.

Para informações específicas do mecanismo, consulte a seguinte documentação:

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

Configurações do SIEM > Feeds > Adicionar novo
Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed do AWS RDS

Clique no pacote Amazon Cloud Platform.
Localize o tipo de registro AWS RDS.
O Google SecOps oferece suporte à coleta de registros usando um ID de chave de acesso e um método secreto. Para criar o ID da chave de acesso e o secret, consulte Configurar a autenticação da ferramenta com a AWS.
Especifique os valores nos campos a seguir.
- Tipo de origem: Amazon SQS V2
- Nome da fila: o nome da fila do SQS de onde ler.
- URI do S3: o URI do bucket.
  - s3://your-log-bucket-name/
    - Substitua your-log-bucket-name pelo nome real do seu bucket do S3.
- Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.
  
  Observação: se você selecionar a opção Delete transferred files ou Delete transferred files and empty directories, verifique se concedeu as permissões adequadas à conta de serviço.
- Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
- ID da chave de acesso à fila do SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 caracteres.
- Chave de acesso secreta da fila do SQS: uma chave de acesso da conta que é uma string alfanumérica de 40 caracteres.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Namespace do recurso: namespace associado ao feed.
- Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Referência de mapeamento de campos

Esse analisador extrai campos de mensagens syslog do AWS RDS, principalmente carimbo de data/hora, descrição e IP do cliente. Ele usa padrões grok para identificar esses campos e preenche os campos correspondentes da UDM, classificando os eventos como GENERIC_EVENT ou STATUS_UPDATE com base na presença de um IP do cliente.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
`client_ip`	`principal.ip`	Extraído da mensagem de registro bruta usando a expressão regular `\\[CLIENT: %{IP:client_ip}\\]`.
`create_time.nanos`	N/A	Não mapeado para o objeto IDM.
`create_time.seconds`	N/A	Não mapeado para o objeto IDM.
	`metadata.description`	A mensagem descritiva do registro, extraída usando padrões grok. Copiado de `create_time.nanos`. Copiado de `create_time.seconds`. Definido como "GENERIC_EVENT" por padrão. Mudou para "STATUS_UPDATE" se `client_ip` estiver presente. Valor estático "AWS_RDS", definido pelo analisador. Valor estático "AWS_RDS", definido pelo analisador.
`pid`	`principal.process.pid`	Extraído do campo `descrip` usando a expressão regular `process ID of %{INT:pid}`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.