Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di AWS RDS

Supportato in:

Google SecOps SIEM

Questo documento descrive come raccogliere i log di AWS RDS impostando un feed Google SecOps.

Per ulteriori informazioni, vedi Importazione dei dati in Google SecOps.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione AWS_RDS.

Prima di iniziare

Per completare le attività in questa pagina, assicurati di disporre di quanto segue:

Un account AWS a cui puoi accedere.
Un amministratore globale o RDS.

Configurare AWS RDS

Utilizza un database esistente o creane uno nuovo:
- Per utilizzare un database esistente, selezionalo, fai clic su Modifica e poi su Esporta log.
- Per utilizzare un nuovo database, seleziona Configurazione aggiuntiva quando lo crei.
Per pubblicare in Amazon CloudWatch, seleziona i seguenti tipi di log:
- Log di controllo
- Log degli errori
- Log generale
- Log delle query lente
Per specificare l'esportazione dei log per AWS Aurora PostgreSQL e PostgreSQL, seleziona Log PostgreSQL.
Per specificare l'esportazione dei log per il server Microsoft SQL di AWS, seleziona i seguenti tipi di log:
- Log dell'agente
- Log degli errori
Salva la configurazione dei log.
Seleziona CloudWatch > Log per visualizzare i log raccolti. I gruppi di log vengono creati automaticamente quando i log sono disponibili tramite l'istanza.

Per pubblicare i log in CloudWatch, configura i criteri per gli utenti IAM e le chiavi KMS. Per ulteriori informazioni, consulta i criteri per gli utenti IAM e le chiavi KMS.

In base al servizio e alla regione, identifica gli endpoint per la connettività facendo riferimento alla seguente documentazione AWS:

Per informazioni su eventuali origini di log, consulta Endpoint e quote di AWS Identity and Access Management.
Per informazioni sulle origini di log CloudWatch, consulta Endpoint e quote dei log CloudWatch.

Per informazioni specifiche sul motore, consulta la seguente documentazione:

Configura un feed in Google SecOps per importare i log di AWS RDS

Seleziona Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo.
Inserisci un nome univoco per il nome del feed.
Seleziona Amazon S3 o Amazon SQS come Tipo di origine.
Seleziona AWS RDS come Tipo di log.
Fai clic su Avanti.
Google SecOps supporta la raccolta dei log utilizzando un ID chiave di accesso e un metodo secret. Per creare l'ID chiave di accesso e il segreto, consulta Configurare l'autenticazione dello strumento con AWS.
In base alla configurazione di AWS RDS che hai creato, specifica i valori per i parametri di input:
- Se utilizzi Amazon S3, specifica i valori per i seguenti campi obbligatori:
  - Regione
  - URI S3
  - L'URI è un
  - Opzione di eliminazione dell'origine
- Se utilizzi Amazon SQS, specifica i valori per i seguenti campi obbligatori:
  - Regione
  - Nome coda
  - Numero account
  - ID chiave di accesso alla coda
  - Mettere in coda la chiave di accesso segreta
  - Opzione di eliminazione dell'origine
Fai clic su Avanti, quindi su Invia.

Per ulteriori informazioni sui feed Google SecOps, vedi Creare e gestire i feed utilizzando l'interfaccia utente di gestione dei feed. Per informazioni sui requisiti per ogni tipo di feed, consulta l'API Feed Management.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google SecOps.

Riferimento alla mappatura dei campi

Questo parser estrae i campi dai messaggi syslog di AWS RDS, concentrandosi principalmente su timestamp, descrizione e IP client. Utilizza pattern grok per identificare questi campi e compila i campi UDM corrispondenti, classificando gli eventi come GENERIC_EVENT o STATUS_UPDATE in base alla presenza di un indirizzo IP client.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`client_ip`	`principal.ip`	Estratto dal messaggio del log non elaborato utilizzando l'espressione regolare `\\[CLIENT: %{IP:client_ip}\\]`.
`create_time.nanos`	N/D	Non mappato all'oggetto IDM.
`create_time.seconds`	N/D	Non mappato all'oggetto IDM.
	`metadata.description`	Il messaggio descrittivo del log, estratto utilizzando i pattern grok. Copiato da `create_time.nanos`. Copiato da `create_time.seconds`. Impostato su "GENERIC_EVENT" per impostazione predefinita. Modificato in "STATUS_UPDATE" se è presente `client_ip`. Valore statico "AWS_RDS", impostato dal parser. Valore statico "AWS_RDS", impostato dal parser.
`pid`	`principal.process.pid`	Estratto dal campo `descrip` utilizzando l'espressione regolare `process ID of %{INT:pid}`.

Modifiche

2023-04-24

Parser appena creato.