Raccogliere i log di AWS RDS
Questo documento descrive come raccogliere i log di AWS RDS impostando un feed Google SecOps.
Per ulteriori informazioni, consulta Importazione dei dati in Google SecOps.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione AWS_RDS
.
Prima di iniziare
Assicurati di disporre dei seguenti prerequisiti:
Un account AWS a cui puoi accedere
Un amministratore globale o RDS
Come configurare AWS RDS
- Utilizza un database esistente o creane uno nuovo:
- Per utilizzare un database esistente, selezionalo, fai clic su Modifica e poi su Esporta log.
- Per utilizzare un nuovo database, seleziona Configurazione aggiuntiva quando lo crei.
- Per pubblicare in Amazon CloudWatch, seleziona i seguenti tipi di log:
- Log di controllo
- Log degli errori
- Log generale
- Log delle query lente
- Per specificare l'esportazione dei log per AWS Aurora PostgreSQL e PostgreSQL, seleziona Log PostgreSQL.
- Per specificare l'esportazione dei log per il server Microsoft SQL di AWS, seleziona i seguenti tipi di log:
- Log dell'agente
- Log degli errori
- Salva la configurazione dei log.
- Seleziona CloudWatch > Log per visualizzare i log raccolti. I gruppi di log vengono creati automaticamente quando i log sono disponibili tramite l'istanza.
Per pubblicare i log in CloudWatch, configura i criteri per gli utenti IAM e le chiavi KMS. Per ulteriori informazioni, consulta i criteri per gli utenti IAM e le chiavi KMS.
In base al servizio e alla regione, identifica gli endpoint per la connettività facendo riferimento alla seguente documentazione AWS:
Per informazioni su eventuali origini di log, consulta Endpoint e quote di AWS Identity and Access Management.
Per informazioni sulle origini di log CloudWatch, consulta Endpoint e quote dei log CloudWatch.
Per informazioni specifiche sull'engine, consulta la seguente documentazione:
Configurare i feed
Esistono due diversi punti di contatto per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed
- Content Hub > Pacchetti di contenuti
Configura i feed da Impostazioni SIEM > Feed
Solo per i clienti di Google Security Operations unificato:
Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare più feed.
Per tutti i clienti:
Per configurare un singolo feed:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed. Ignora questo passaggio se utilizzi la piattaforma SIEM autonoma Google SecOps.
- Inserisci un nome univoco per il nome del feed.
- Seleziona Amazon S3 o Amazon SQS come Tipo di origine.
- Seleziona AWS RDS come Tipo di log.
- Fai clic su Avanti.
- Google SecOps supporta la raccolta dei log utilizzando un ID chiave di accesso e un metodo segreto. Per creare l'ID chiave di accesso e il segreto, consulta Configurare l'autenticazione dello strumento con AWS.
- In base alla configurazione di AWS RDS che hai creato, specifica i valori per i parametri di input:
- Se utilizzi Amazon S3, specifica i valori per i seguenti campi obbligatori:
- Regione
- URI S3
- L'URI è un
- Opzione di eliminazione dell'origine
- Se utilizzi Amazon SQS, specifica i valori per i seguenti campi obbligatori:
- Regione
- Nome coda
- Numero account
- ID chiave di accesso alla coda
- Mettere in coda la chiave di accesso segreta
- Opzione di eliminazione dell'origine
- Se utilizzi Amazon S3, specifica i valori per i seguenti campi obbligatori:
- Fai clic su Avanti, quindi su Invia.
Per ulteriori informazioni sui feed di Google SecOps, consulta Creare e gestire i feed utilizzando l'interfaccia utente di gestione dei feed. Per informazioni sui requisiti per ogni tipo di feed, consulta l'API Feed Management.
Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google SecOps.
Configurare i feed da Content Hub
Puoi configurare il feed di importazione in Google SecOps utilizzando Amazon SQS (opzione preferita) o Amazon S3.
Specifica i valori per i seguenti campi:
- Regione: la regione in cui è ospitato il bucket S3 o la coda SQS.
- Nome coda: il nome della coda SQS da cui leggere i dati dei log.
- Numero account: il numero dell'account proprietario della coda SQS.
- ID chiave di accesso alla coda: ID chiave di accesso all'account di 20 caratteri. Ad esempio,
AKIAOSFOODNN7EXAMPLE
. - Chiave di accesso segreta coda: chiave di accesso segreta di 40 caratteri. Ad esempio,
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
. - Opzione di eliminazione dell'origine: opzione per eliminare file e directory dopo il trasferimento dei dati.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
- Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
- Etichette di importazione: le etichette applicate a tutti gli eventi di questo feed.
Riferimento alla mappatura dei campi
Questo parser estrae i campi dai messaggi syslog di AWS RDS, concentrandosi principalmente su timestamp, descrizione e IP client. Utilizza pattern grok per identificare questi campi e compila i campi UDM corrispondenti, classificando gli eventi come GENERIC_EVENT
o STATUS_UPDATE
in base alla presenza di un indirizzo IP client.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
client_ip |
principal.ip |
Estratto dal messaggio del log non elaborato utilizzando l'espressione regolare \\[CLIENT: %{IP:client_ip}\\] . |
create_time.nanos |
N/D | Non mappato all'oggetto IDM. |
create_time.seconds |
N/D | Non mappato all'oggetto IDM. |
metadata.description |
Il messaggio descrittivo del log, estratto utilizzando i pattern grok. Copiato da create_time.nanos . Copiato da create_time.seconds . Impostato su "GENERIC_EVENT" per impostazione predefinita. Modificato in "STATUS_UPDATE" se è presente client_ip . Valore statico "AWS_RDS", impostato dal parser. Valore statico "AWS_RDS", impostato dal parser. |
|
pid |
principal.process.pid |
Estratto dal campo descrip utilizzando l'espressione regolare process ID of %{INT:pid} . |
Modifiche
2023-04-24
- Parser appena creato.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.