收集 AWS RDS 記錄

本文說明如何設定 Google SecOps 動態饋給，收集 AWS RDS 記錄。

詳情請參閱「將資料匯入 Google SecOps」。

擷取標籤會標示剖析器，將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於使用 AWS_RDS 攝入標籤的剖析器。

事前準備

如要完成本頁中的任務，請確認您具備下列條件：

• 可供您登入的 AWS 帳戶。

• 全域管理員或 RDS 管理員。

設定 AWS RDS

1. 使用現有資料庫或建立新資料庫：
   • 如要使用現有資料庫，請選取資料庫，然後依序點選「修改」和「記錄匯出」。
   • 如要使用新的資料庫，請在建立資料庫時選取「其他設定」。
2. 如要發布至 Amazon CloudWatch，請選取下列記錄類型：
   • 稽核記錄
   • 錯誤記錄
   • 一般記錄
   • 慢速查詢記錄
3. 如要指定 AWS Aurora PostgreSQL 和 PostgreSQL 的記錄匯出作業，請選取「PostgreSQL 記錄」。
4. 如要指定 AWS Microsoft SQL 伺服器的記錄檔匯出作業，請選取下列記錄類型：
   • 代理程式記錄
   • 錯誤記錄
5. 儲存記錄設定。
6. 選取「CloudWatch」>「記錄」，即可查看收集到的記錄。系統會在透過執行個體提供記錄後，自動建立記錄群組。

如要將記錄發布至 CloudWatch，請設定 IAM 使用者和 KMS 金鑰政策。詳情請參閱「IAM 使用者和 KMS 金鑰政策」。

根據服務和地區，參閱下列 AWS 說明文件，找出連線端點：

• 如要瞭解任何記錄來源，請參閱「AWS Identity and Access Management 端點和配額」。

• 如要瞭解 CloudWatch 記錄來源，請參閱「CloudWatch 記錄端點和配額」。

如需引擎專屬資訊，請參閱下列說明文件：

• 將 MariaDB 記錄發布至 Amazon CloudWatch Logs。

• 將 MySQL 記錄發布至 Amazon CloudWatch Logs。

• 將 Oracle 記錄發布至 Amazon CloudWatch Logs。

• 將 PostgreSQL 記錄發布至 Amazon CloudWatch Logs。

• 將 SQL Server 記錄發布至 Amazon CloudWatch Logs。

在 Google SecOps 中設定動態饋給，以便擷取 AWS RDS 記錄

1. 依序選取「SIEM 設定」>「動態消息」。
2. 按一下「新增」。
3. 輸入動態饋給名稱的專屬名稱。
4. 選取「Source type」(來源類型) 為「Amazon S3」或「Amazon SQS」。
5. 選取「記錄類型」為「AWS RDS」。
6. 點按「Next」。
7. Google SecOps 支援使用存取金鑰 ID 和密鑰方法收集記錄。如要建立存取金鑰 ID 和密鑰，請參閱「使用 AWS 設定工具驗證」。
8. 根據您建立的 AWS RDS 設定，指定輸入參數的值：
   • 如果您使用 Amazon S3，請為下列必填欄位指定值：
     • 區域
     • S3 URI
     • URI 是
     • 來源刪除選項
   • 如果您使用 Amazon SQS，請為下列必填欄位指定值：
     • 區域
     • 佇列名稱
     • 帳號
     • 佇列存取金鑰 ID
     • 排隊存取密鑰
     • 來源刪除選項
9. 依序點按「繼續」和「提交」。

如要進一步瞭解 Google SecOps 動態饋給，請參閱「使用動態饋給管理 UI 建立及管理動態饋給」。如要進一步瞭解各動態饋給類型的規定，請參閱 動態饋給管理 API。

如果在建立動態饋給時遇到問題，請與 Google SecOps 支援團隊聯絡。

欄位對應參考資料

這個剖析器會從 AWS RDS syslog 訊息中擷取欄位，主要著重於時間戳記、說明和用戶端 IP。這個函式會使用 grok 模式來識別這些欄位，並填入對應的 UDM 欄位，根據用戶端 IP 的存在與否將事件分類為 GENERIC_EVENT 或 STATUS_UPDATE。

UDM 對應表

異動

2023-04-24

• 新建的剖析器。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。