AWS RDS-Protokolle erfassen
In diesem Dokument wird beschrieben, wie Sie AWS RDS-Logs erfassen, indem Sie einen Google SecOps-Feed einrichten.
Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.
Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel AWS_RDS.
Hinweise
Für die Aufgaben auf dieser Seite benötigen Sie Folgendes:
Ein AWS-Konto, in dem Sie sich anmelden können.
Globaler Administrator oder RDS-Administrator
AWS RDS konfigurieren
- Verwenden Sie eine vorhandene Datenbank oder erstellen Sie eine neue:
- Wenn Sie eine vorhandene Datenbank verwenden möchten, wählen Sie sie aus, klicken Sie auf Ändern und dann auf Protokollexporte.
- Wenn Sie eine neue Datenbank verwenden möchten, wählen Sie beim Erstellen der Datenbank Zusätzliche Konfiguration aus.
- Wählen Sie die folgenden Protokolltypen aus, um sie in Amazon CloudWatch zu veröffentlichen:
- Audit-Log
- Fehlerprotokoll
- Allgemeines Protokoll
- Log für langsame Abfragen
- Wenn Sie den Protokollexport für AWS Aurora PostgreSQL und PostgreSQL angeben möchten, wählen Sie PostgreSQL-Protokoll aus.
- Wenn Sie den Log-Export für den Microsoft SQL Server von AWS angeben möchten, wählen Sie die folgenden Logtypen aus:
- Kundenservicemitarbeiterprotokoll
- Fehlerprotokoll
- Speichern Sie die Log-Konfiguration.
- Wählen Sie CloudWatch > Protokolle aus, um die erfassten Protokolle aufzurufen. Die Loggruppen werden automatisch erstellt, sobald die Logs über die Instanz verfügbar sind.
Konfigurieren Sie IAM-Nutzer- und KMS-Schlüsselrichtlinien, um die Protokolle in CloudWatch zu veröffentlichen. Weitere Informationen finden Sie unter IAM-Nutzer- und KMS-Schlüsselrichtlinien.
Bestimme anhand der folgenden AWS-Dokumentation die Endpunkte für die Konnektivität, je nach Dienst und Region:
Informationen zu Protokollierungsquellen finden Sie unter Endpunkte und Kontingente für die AWS Identity and Access Management.
Informationen zu CloudWatch-Logging-Quellen finden Sie unter Endpunkte und Kontingente für CloudWatch-Logs.
Informationen zur jeweiligen Engine finden Sie in der folgenden Dokumentation:
MariaDB-Protokolle in Amazon CloudWatch Logs veröffentlichen
PostgreSQL-Protokolle in Amazon CloudWatch Logs veröffentlichen
Feed in Google SecOps für die Aufnahme von AWS RDS-Logs konfigurieren
- Wählen Sie SIEM-Einstellungen > Feeds aus.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie einen eindeutigen Namen für den Feednamen ein.
- Wählen Sie als Quelltyp Amazon S3 oder Amazon SQS aus.
- Wählen Sie AWS RDS als Logtyp aus.
- Klicken Sie auf Weiter.
- Google SecOps unterstützt die Protokollerhebung mit einer Zugriffsschlüssel-ID und der Secret-Methode. Informationen zum Erstellen der Zugriffsschlüssel-ID und des geheimen Schlüssels finden Sie unter Toolauthentifizierung mit AWS konfigurieren.
- Geben Sie anhand der von Ihnen erstellten AWS RDS-Konfiguration Werte für die Eingabeparameter an:
- Wenn Sie Amazon S3 verwenden, geben Sie Werte für die folgenden Pflichtfelder an:
- Region
- S3-URI
- URI ist ein
- Option zum Löschen von Quellen
- Wenn Sie Amazon SQS verwenden, geben Sie Werte für die folgenden Pflichtfelder an:
- Region
- Name der Warteschlange
- Kontonummer
- Zugriffsschlüssel-ID der Warteschlange
- Secret-Zugriffsschlüssel für die Warteschlange
- Option zum Löschen von Quellen
- Wenn Sie Amazon S3 verwenden, geben Sie Werte für die folgenden Pflichtfelder an:
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google SecOps-Feeds finden Sie unter Feeds über die Benutzeroberfläche für die Feedverwaltung erstellen und verwalten. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedverwaltung API.
Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google SecOps-Support.
Referenz für die Feldzuordnung
Dieser Parser extrahiert Felder aus AWS RDS-Syslog-Nachrichten, wobei der Schwerpunkt auf Zeitstempel, Beschreibung und Client-IP liegt. Dabei werden Grok-Muster verwendet, um diese Felder zu identifizieren und die entsprechenden UDM-Felder zu befüllen. Ereignisse werden je nach Vorhandensein einer Client-IP als GENERIC_EVENT oder STATUS_UPDATE klassifiziert.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
client_ip |
principal.ip |
Mit dem regulären Ausdruck \\[CLIENT: %{IP:client_ip}\\] aus der Roh-Lognachricht extrahiert. |
create_time.nanos |
– | Nicht dem IDM-Objekt zugeordnet. |
create_time.seconds |
– | Nicht dem IDM-Objekt zugeordnet. |
metadata.description |
Die beschreibende Nachricht aus dem Protokoll, die mithilfe von Grok-Mustern extrahiert wurde. Kopiert von create_time.nanos. Kopiert von create_time.seconds. Standardmäßig auf „GENERIC_EVENT“ festgelegt. In „STATUS_UPDATE“ geändert, wenn client_ip vorhanden ist. Statischer Wert „AWS_RDS“, vom Parser festgelegt. Statischer Wert „AWS_RDS“, vom Parser festgelegt. |
|
pid |
principal.process.pid |
Aus dem Feld descrip mit dem regulären Ausdruck process ID of %{INT:pid} extrahiert. |
Änderungen
2023-04-24
- Neu erstellter Parser.