此页面由 Cloud Translation API 翻译。

收集 AWS RDS 日志

支持的语言：

Google SecOps SIEM

本文档介绍如何通过设置 Google SecOps Feed 来收集 AWS RDS 日志。

如需了解详情，请参阅将数据提取到 Google SecOps。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 AWS_RDS 注入标签的解析器。

准备工作

确保您满足以下前提条件：

使用现有数据库或创建新数据库：
- 如需使用现有数据库，请选择相应数据库，点击修改，然后选择日志导出。
- 如需使用新数据库，请在创建数据库时选择其他配置。
如需发布到 Amazon CloudWatch，请选择以下日志类型：
- 审核日志
- 错误日志
- 常规日志
- 慢查询日志
如需为 AWS Aurora PostgreSQL 和 PostgreSQL 指定日志导出，请选择 PostgreSQL 日志。
如需为 AWS Microsoft SQL Server 指定日志导出，请选择以下日志类型：
- 代理日志
- 错误日志
保存日志配置。
选择 CloudWatch > 日志，即可查看收集的日志。当日志通过实例可用时，系统会自动创建日志组。

如需将日志发布到 CloudWatch，请配置 IAM 用户和 KMS 密钥政策。如需了解详情，请参阅 IAM 用户和 KMS 密钥政策。

根据服务和区域，参阅以下 AWS 文档来确定连接端点：

如需了解特定于引擎的信息，请参阅以下文档：

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed：

如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed，请参阅按产品配置 Feed。

此解析器从 AWS RDS syslog 消息中提取字段，主要侧重于时间戳、说明和客户端 IP。它使用 grok 模式来识别这些字段，并填充相应的 UDM 字段，根据是否存在客户端 IP 将事件分类为 GENERIC_EVENT 或 STATUS_UPDATE。

日志字段	UDM 映射	逻辑
`client_ip`	`principal.ip`	使用正则表达式 `\\[CLIENT: %{IP:client_ip}\\]` 从原始日志消息中提取。
`create_time.nanos`	不适用	未映射到 IDM 对象。
`create_time.seconds`	不适用	未映射到 IDM 对象。
	`metadata.description`	使用 Grok 模式从日志中提取的描述性消息。从 `create_time.nanos` 复制的联系人。从 `create_time.seconds` 复制的联系人。默认设置为“GENERIC_EVENT”。如果存在 `client_ip`，则更改为“STATUS_UPDATE”。由解析器设置的静态值“AWS_RDS”。由解析器设置的静态值“AWS_RDS”。
`pid`	`principal.process.pid`	使用正则表达式 `process ID of %{INT:pid}` 从 `descrip` 字段中提取。