收集 AWS RDS 日志

本文档介绍如何通过设置 Google SecOps Feed 来收集 AWS RDS 日志。

如需了解详情，请参阅将数据提取到 Google SecOps。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 AWS_RDS 注入标签的解析器。

准备工作

确保您满足以下前提条件：

• 您可以登录的 AWS 账号

• 全局管理员或 RDS 管理员

如何配置 AWS RDS

1. 使用现有数据库或创建新数据库：
   • 如需使用现有数据库，请选择相应数据库，点击修改，然后选择日志导出。
   • 如需使用新数据库，请在创建数据库时选择其他配置。
2. 如需发布到 Amazon CloudWatch，请选择以下日志类型：
   • 审核日志
   • 错误日志
   • 常规日志
   • 慢查询日志
3. 如需为 AWS Aurora PostgreSQL 和 PostgreSQL 指定日志导出，请选择 PostgreSQL 日志。
4. 如需为 AWS Microsoft SQL Server 指定日志导出，请选择以下日志类型：
   • 代理日志
   • 错误日志
5. 保存日志配置。
6. 选择 CloudWatch > 日志，即可查看收集的日志。当日志通过实例可用时，系统会自动创建日志组。

如需将日志发布到 CloudWatch，请配置 IAM 用户和 KMS 密钥政策。如需了解详情，请参阅 IAM 用户和 KMS 密钥政策。

根据服务和区域，参阅以下 AWS 文档来确定连接端点：

• 如需了解任何日志记录来源，请参阅 AWS Identity and Access Management 端点和配额。

• 如需了解 CloudWatch 日志记录来源，请参阅 CloudWatch 日志端点和配额。

如需了解特定于引擎的信息，请参阅以下文档：

• 将 MariaDB 日志发布到 Amazon CloudWatch Logs。

• 将 MySQL 日志发布到 Amazon CloudWatch Logs。

• 将 Oracle 日志发布到 Amazon CloudWatch Logs。

• 将 PostgreSQL 日志发布到 Amazon CloudWatch Logs。

• 将 SQL Server 日志发布到 Amazon CloudWatch Logs。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed：

• SIEM 设置 > Feed > 添加新 Feed
• 内容中心 > 内容包 > 开始

如何设置 AWS RDS Feed

1. 点击 Amazon Cloud Platform 包。
2. 找到 AWS RDS 日志类型。
3. Google SecOps 支持使用访问密钥 ID 和密钥方法收集日志。如需创建访问密钥 ID 和密钥，请参阅使用 AWS 配置工具身份验证。

4. 在以下字段中指定值。

   • 来源类型：Amazon SQS V2
   • 队列名称：要从中读取数据的 SQS 队列名称
   • S3 URI：存储桶 URI。
     • s3://your-log-bucket-name/
       • 将 your-log-bucket-name 替换为您的 S3 存储桶的实际名称。

   • 源删除选项：根据您的提取偏好设置选择删除选项。

   • 文件存在时间上限：包含在过去指定天数内修改的文件。默认值为 180 天。

   • SQS 队列访问密钥 ID：一个包含 20 个字符的字母数字字符串形式的账号访问密钥。

   • SQS 队列私有访问密钥：一个包含 40 个字符的字母数字字符串形式的账号访问密钥。

   高级选项

   • Feed 名称：用于标识 Feed 的预填充值。
   • 资源命名空间：与 Feed 关联的命名空间。
   • 提取标签：应用于相应 Feed 中所有事件的标签。

5. 点击创建 Feed。

如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed，请参阅按产品配置 Feed。

字段映射参考

此解析器从 AWS RDS syslog 消息中提取字段，主要侧重于时间戳、说明和客户端 IP。它使用 grok 模式来识别这些字段，并填充相应的 UDM 字段，根据是否存在客户端 IP 将事件分类为 GENERIC_EVENT 或 STATUS_UPDATE。

UDM 映射表

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。