收集 AWS RDS 記錄

支援以下發布途徑:

本文說明如何設定 Google SecOps 動態饋給,收集 AWS RDS 記錄。

詳情請參閱「將資料匯入 Google SecOps」。

擷取標籤會標示剖析器,將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於使用 AWS_RDS 攝入標籤的剖析器。

事前準備

如要完成本頁中的任務,請確認您具備下列條件:

  • 可供您登入的 AWS 帳戶。

  • 全域管理員或 RDS 管理員。

設定 AWS RDS

  1. 使用現有資料庫或建立新資料庫:
    • 如要使用現有資料庫,請選取資料庫,然後依序點選「修改」和「記錄匯出」
    • 如要使用新的資料庫,請在建立資料庫時選取「其他設定」
  2. 如要發布至 Amazon CloudWatch,請選取下列記錄類型:
    • 稽核記錄
    • 錯誤記錄
    • 一般記錄
    • 慢速查詢記錄
  3. 如要指定 AWS Aurora PostgreSQL 和 PostgreSQL 的記錄匯出作業,請選取「PostgreSQL 記錄」
  4. 如要指定 AWS Microsoft SQL 伺服器的記錄檔匯出作業,請選取下列記錄類型:
    • 代理程式記錄
    • 錯誤記錄
  5. 儲存記錄設定。
  6. 選取「CloudWatch」>「記錄」,即可查看收集到的記錄。系統會在透過執行個體提供記錄後,自動建立記錄群組。

如要將記錄發布至 CloudWatch,請設定 IAM 使用者和 KMS 金鑰政策。詳情請參閱「IAM 使用者和 KMS 金鑰政策」。

根據服務和地區,參閱下列 AWS 說明文件,找出連線端點:

如需引擎專屬資訊,請參閱下列說明文件:

在 Google SecOps 中設定動態饋給,以便擷取 AWS RDS 記錄

  1. 依序選取「SIEM 設定」>「動態消息」
  2. 按一下「新增」
  3. 輸入動態饋給名稱的專屬名稱。
  4. 選取「Source type」(來源類型) 為「Amazon S3」或「Amazon SQS」
  5. 選取「記錄類型」為「AWS RDS」
  6. 點按「Next」
  7. Google SecOps 支援使用存取金鑰 ID 和密鑰方法收集記錄。如要建立存取金鑰 ID 和密鑰,請參閱「使用 AWS 設定工具驗證」。
  8. 根據您建立的 AWS RDS 設定,指定輸入參數的值:
    • 如果您使用 Amazon S3,請為下列必填欄位指定值:
      • 區域
      • S3 URI
      • URI 是
      • 來源刪除選項
    • 如果您使用 Amazon SQS,請為下列必填欄位指定值:
      • 區域
      • 佇列名稱
      • 帳號
      • 佇列存取金鑰 ID
      • 排隊存取密鑰
      • 來源刪除選項
  9. 依序點按「繼續」和「提交」

如要進一步瞭解 Google SecOps 動態饋給,請參閱「使用動態饋給管理 UI 建立及管理動態饋給」。如要進一步瞭解各動態饋給類型的規定,請參閱 動態饋給管理 API

如果在建立動態饋給時遇到問題,請與 Google SecOps 支援團隊聯絡

欄位對應參考資料

這個剖析器會從 AWS RDS syslog 訊息中擷取欄位,主要著重於時間戳記、說明和用戶端 IP。這個函式會使用 grok 模式來識別這些欄位,並填入對應的 UDM 欄位,根據用戶端 IP 的存在與否將事件分類為 GENERIC_EVENTSTATUS_UPDATE

UDM 對應表

記錄欄位 UDM 對應 邏輯
client_ip principal.ip 使用規則運算式 \\[CLIENT: %{IP:client_ip}\\] 從原始記錄訊息中擷取。
create_time.nanos 不適用 未對應至 IDM 物件。
create_time.seconds 不適用 未對應至 IDM 物件。
metadata.description 使用 grok 模式擷取的記錄說明訊息。複製自 create_time.nanos。複製自 create_time.seconds。預設值為「GENERIC_EVENT」。如果有 client_ip,則變更為「STATUS_UPDATE」由剖析器設定的靜態值「AWS_RDS」,由剖析器設定的靜態值「AWS_RDS」。
pid principal.process.pid 使用規則運算式 process ID of %{INT:pid}descrip 欄位中擷取。

異動

2023-04-24

  • 新建的剖析器。

還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。