收集 AWS RDS 日志

本文档介绍如何通过设置 Google SecOps Feed 来收集 AWS RDS 日志。

如需了解详情，请参阅将数据提取到 Google SecOps。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 AWS_RDS 注入标签的解析器。

准备工作

确保您满足以下前提条件：

• 您可以登录的 AWS 账号

• 全局管理员或 RDS 管理员

如何配置 AWS RDS

1. 使用现有数据库或创建新数据库：
   • 如需使用现有数据库，请选择相应数据库，点击修改，然后选择日志导出。
   • 如需使用新数据库，请在创建数据库时选择其他配置。
2. 如需发布到 Amazon CloudWatch，请选择以下日志类型：
   • 审核日志
   • 错误日志
   • 常规日志
   • 慢查询日志
3. 如需为 AWS Aurora PostgreSQL 和 PostgreSQL 指定日志导出，请选择 PostgreSQL 日志。
4. 如需为 AWS Microsoft SQL Server 指定日志导出，请选择以下日志类型：
   • 代理日志
   • 错误日志
5. 保存日志配置。
6. 选择 CloudWatch > 日志，即可查看收集的日志。当日志通过实例可用时，系统会自动创建日志组。

如需将日志发布到 CloudWatch，请配置 IAM 用户和 KMS 密钥政策。如需了解详情，请参阅 IAM 用户和 KMS 密钥政策。

根据服务和区域，参阅以下 AWS 文档来确定连接端点：

• 如需了解任何日志记录来源，请参阅 AWS Identity and Access Management 端点和配额。

• 如需了解 CloudWatch 日志记录来源，请参阅 CloudWatch 日志端点和配额。

如需了解特定于引擎的信息，请参阅以下文档：

• 将 MariaDB 日志发布到 Amazon CloudWatch Logs。

• 将 MySQL 日志发布到 Amazon CloudWatch Logs。

• 将 Oracle 日志发布到 Amazon CloudWatch Logs。

• 将 PostgreSQL 日志发布到 Amazon CloudWatch Logs。

• 将 SQL Server 日志发布到 Amazon CloudWatch Logs。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed：

• SIEM 设置 > Feed
• 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

仅限 Google Security Operations 统一版客户：
如需在此产品系列中为不同类型的日志配置多个 Feed，请参阅配置多个 Feed。

对于所有客户：
如需配置单个 Feed，请按以下步骤操作：

1. 依次前往 SIEM 设置> Feed。
2. 点击添加新 Feed。
3. 在下一页上，点击配置单个 Feed。如果您使用的是 Google SecOps SIEM 独立平台，请跳过此步骤。
4. 为Feed 名称输入一个唯一名称。
5. 选择 Amazon S3 或 Amazon SQS 作为来源类型。
6. 选择 AWS RDS 作为日志类型。
7. 点击下一步。
8. Google SecOps 支持使用访问密钥 ID 和密钥方法收集日志。如需创建访问密钥 ID 和密钥，请参阅使用 AWS 配置工具身份验证。
9. 根据您创建的 AWS RDS 配置，为输入参数指定值：
   • 如果您使用 Amazon S3，请为以下必填字段指定值：
     • 区域
     • S3 URI
     • URI 是
     • 来源删除选项
   • 如果您使用 Amazon SQS，请为以下必填字段指定值：
     • 区域
     • 队列名称
     • 账号
     • 队列访问密钥 ID
     • 队列私有访问密钥
     • 来源删除选项
10. 点击下一步，然后点击提交。

如需详细了解 Google SecOps Feed，请参阅使用 Feed 管理界面创建和管理 Feed。如需了解每种 Feed 类型的要求，请参阅 Feed 管理 API。

如果您在创建 Feed 时遇到问题，请与 Google SecOps 支持团队联系。

设置来自内容中心的 Feed

您可以使用 Amazon SQS（首选）或 Amazon S3 在 Google SecOps 中配置提取 Feed。

为以下字段指定值：

• 区域：S3 存储桶或 SQS 队列托管的区域。
• 队列名称：要从中读取日志数据的 SQS 队列的名称。
• 账号：拥有 SQS 队列的账号。
• 队列访问密钥 ID：20 字符的账号访问密钥 ID。例如 AKIAOSFOODNN7EXAMPLE。
• 队列私有访问密钥：40 字符的私有访问密钥。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY。
• 源删除选项：用于在转移数据后删除文件和目录的选项。

高级选项

• Feed 名称：用于标识 Feed 的预填充值。
• 来源类型：用于将日志收集到 Google SecOps 中的方法。
• 资产命名空间：与 Feed 关联的命名空间。
• 提取标签：应用于相应 Feed 中所有事件的标签。

字段映射参考

此解析器从 AWS RDS syslog 消息中提取字段，主要侧重于时间戳、说明和客户端 IP。它使用 grok 模式来识别这些字段，并填充相应的 UDM 字段，根据是否存在客户端 IP 将事件分类为 GENERIC_EVENT 或 STATUS_UPDATE。

UDM 映射表

日志字段	UDM 映射	逻辑
client_ip	principal.ip	使用正则表达式 \\[CLIENT: %{IP:client_ip}\\] 从原始日志消息中提取。
create_time.nanos	不适用	未映射到 IDM 对象。
create_time.seconds	不适用	未映射到 IDM 对象。
	metadata.description	使用 Grok 模式从日志中提取的描述性消息。从 create_time.nanos 复制的联系人。从 create_time.seconds 复制的联系人。默认设置为“GENERIC_EVENT”。如果存在 client_ip，则更改为“STATUS_UPDATE”。由解析器设置的静态值“AWS_RDS”。由解析器设置的静态值“AWS_RDS”。
pid	principal.process.pid	使用正则表达式 process ID of %{INT:pid} 从 descrip 字段中提取。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。