收集 AWS RDS 記錄
本文說明如何設定 Google SecOps 動態饋給,收集 AWS RDS 記錄。
詳情請參閱「將資料匯入 Google SecOps」。
擷取標籤會標示剖析器,將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於使用 AWS_RDS
攝入標籤的剖析器。
事前準備
如要完成本頁中的任務,請確認您具備下列條件:
可供您登入的 AWS 帳戶。
全域管理員或 RDS 管理員。
設定 AWS RDS
- 使用現有資料庫或建立新資料庫:
- 如要使用現有資料庫,請選取資料庫,然後依序點選「修改」和「記錄匯出」。
- 如要使用新的資料庫,請在建立資料庫時選取「其他設定」。
- 如要發布至 Amazon CloudWatch,請選取下列記錄類型:
- 稽核記錄
- 錯誤記錄
- 一般記錄
- 慢速查詢記錄
- 如要指定 AWS Aurora PostgreSQL 和 PostgreSQL 的記錄匯出作業,請選取「PostgreSQL 記錄」。
- 如要指定 AWS Microsoft SQL 伺服器的記錄檔匯出作業,請選取下列記錄類型:
- 代理程式記錄
- 錯誤記錄
- 儲存記錄設定。
- 選取「CloudWatch」>「記錄」,即可查看收集到的記錄。系統會在透過執行個體提供記錄後,自動建立記錄群組。
如要將記錄發布至 CloudWatch,請設定 IAM 使用者和 KMS 金鑰政策。詳情請參閱「IAM 使用者和 KMS 金鑰政策」。
根據服務和地區,參閱下列 AWS 說明文件,找出連線端點:
如要瞭解任何記錄來源,請參閱「AWS Identity and Access Management 端點和配額」。
如要瞭解 CloudWatch 記錄來源,請參閱「CloudWatch 記錄端點和配額」。
如需引擎專屬資訊,請參閱下列說明文件:
在 Google SecOps 中設定動態饋給,以便擷取 AWS RDS 記錄
- 依序選取「SIEM 設定」>「動態消息」。
- 按一下「新增」。
- 輸入動態饋給名稱的專屬名稱。
- 選取「Source type」(來源類型) 為「Amazon S3」或「Amazon SQS」。
- 選取「記錄類型」為「AWS RDS」。
- 點按「Next」。
- Google SecOps 支援使用存取金鑰 ID 和密鑰方法收集記錄。如要建立存取金鑰 ID 和密鑰,請參閱「使用 AWS 設定工具驗證」。
- 根據您建立的 AWS RDS 設定,指定輸入參數的值:
- 如果您使用 Amazon S3,請為下列必填欄位指定值:
- 區域
- S3 URI
- URI 是
- 來源刪除選項
- 如果您使用 Amazon SQS,請為下列必填欄位指定值:
- 區域
- 佇列名稱
- 帳號
- 佇列存取金鑰 ID
- 排隊存取密鑰
- 來源刪除選項
- 如果您使用 Amazon S3,請為下列必填欄位指定值:
- 依序點按「繼續」和「提交」。
如要進一步瞭解 Google SecOps 動態饋給,請參閱「使用動態饋給管理 UI 建立及管理動態饋給」。如要進一步瞭解各動態饋給類型的規定,請參閱 動態饋給管理 API。
如果在建立動態饋給時遇到問題,請與 Google SecOps 支援團隊聯絡。
欄位對應參考資料
這個剖析器會從 AWS RDS syslog 訊息中擷取欄位,主要著重於時間戳記、說明和用戶端 IP。這個函式會使用 grok 模式來識別這些欄位,並填入對應的 UDM 欄位,根據用戶端 IP 的存在與否將事件分類為 GENERIC_EVENT
或 STATUS_UPDATE
。
UDM 對應表
記錄欄位 | UDM 對應 | 邏輯 |
---|---|---|
client_ip |
principal.ip |
使用規則運算式 \\[CLIENT: %{IP:client_ip}\\] 從原始記錄訊息中擷取。 |
create_time.nanos |
不適用 | 未對應至 IDM 物件。 |
create_time.seconds |
不適用 | 未對應至 IDM 物件。 |
metadata.description |
使用 grok 模式擷取的記錄說明訊息。複製自 create_time.nanos 。複製自 create_time.seconds 。預設值為「GENERIC_EVENT」。如果有 client_ip ,則變更為「STATUS_UPDATE」由剖析器設定的靜態值「AWS_RDS」,由剖析器設定的靜態值「AWS_RDS」。 |
|
pid |
principal.process.pid |
使用規則運算式 process ID of %{INT:pid} 從 descrip 欄位中擷取。 |
異動
2023-04-24
- 新建的剖析器。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。