Esta página se ha traducido con Cloud Translation API.

Recoger registros de AWS RDS

Disponible en:

SecOps de Google SIEM

En este documento se describe cómo puede recoger registros de AWS RDS configurando un feed de Google SecOps.

Para obtener más información, consulta Ingestión de datos en Google SecOps.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión AWS_RDS.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Una cuenta de AWS en la que puedas iniciar sesión
Administrador global o administrador de RDS

Cómo configurar AWS RDS

Usa una base de datos que ya tengas o crea una:
- Para usar una base de datos que ya tengas, selecciónala, haz clic en Modificar y, a continuación, en Exportaciones de registros.
- Para usar una base de datos nueva, cuando la crees, selecciona Configuración adicional.
Para publicar en Amazon CloudWatch, seleccione los siguientes tipos de registro:
- Registro de auditoría
- Registro de errores
- Registro general
- Registro de consultas lentas
Para especificar la exportación de registros de AWS Aurora PostgreSQL y PostgreSQL, selecciona Registro de PostgreSQL.
Para especificar la exportación de registros de AWS Microsoft SQL Server, selecciona los siguientes tipos de registros:
- Registro de agente
- Registro de errores
Guarda la configuración del registro.
Selecciona CloudWatch > Logs (Registros) para ver los registros recogidos. Los grupos de registros se crean automáticamente después de que los registros estén disponibles a través de la instancia.

Para publicar los registros en CloudWatch, configura las políticas de usuario de IAM y de clave de KMS. Para obtener más información, consulta las políticas de usuarios de IAM y de claves de KMS.

En función del servicio y la región, identifique los endpoints de conectividad consultando la siguiente documentación de AWS:

Para obtener información sobre las fuentes de registro, consulta Endpoints y cuotas de AWS Identity and Access Management.
Para obtener información sobre las fuentes de registro de CloudWatch, consulta Endpoints y cuotas de los registros de CloudWatch.

Para obtener información específica sobre cada motor, consulta la siguiente documentación:

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

Configuración de SIEM > Feeds > Añadir nuevo
Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de AWS RDS

Haz clic en el paquete Amazon Cloud Platform.
Busca el tipo de registro AWS RDS.
Google SecOps admite la recogida de registros mediante un ID de clave de acceso y un método secreto. Para crear el ID de clave de acceso y el secreto, consulta Configurar la autenticación de la herramienta con AWS.
Especifique los valores en los campos siguientes.
- Tipo de fuente: Amazon SQS V2
- Nombre de la cola: el nombre de la cola de SQS de la que se va a leer.
- URI de S3: el URI del segmento.
  - s3://your-log-bucket-name/
    - Sustituye your-log-bucket-name por el nombre real de tu segmento de S3.
- Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras según tus preferencias de ingesta.
  
  Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de que has concedido los permisos adecuados a la cuenta de servicio.
- Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es de 180 días.
- ID de clave de acceso a la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 20 caracteres.
- Clave de acceso secreta de la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 40 caracteres.
Opciones avanzadas
- Nombre del feed: valor rellenado automáticamente que identifica el feed.
- Espacio de nombres del recurso: espacio de nombres asociado al feed.
- Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.
Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Referencia de asignación de campos

Este analizador extrae campos de mensajes syslog de AWS RDS, centrándose principalmente en la marca de tiempo, la descripción y la IP del cliente. Usa patrones grok para identificar estos campos y rellena los campos de UDM correspondientes, clasificando los eventos como GENERIC_EVENT o STATUS_UPDATE en función de si hay una IP de cliente.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`client_ip`	`principal.ip`	Se extrae del mensaje de registro sin procesar mediante la expresión regular `\\[CLIENT: %{IP:client_ip}\\]`.
`create_time.nanos`	N/A	No está asignado al objeto IDM.
`create_time.seconds`	N/A	No está asignado al objeto IDM.
	`metadata.description`	El mensaje descriptivo del registro, extraído mediante patrones grok. Copiado de `create_time.nanos`. Copiado de `create_time.seconds`. El valor predeterminado es "GENERIC_EVENT". Cambia a "STATUS_UPDATE" si `client_ip` está presente. Valor estático "AWS_RDS", definido por el analizador. Valor estático "AWS_RDS", definido por el analizador.
`pid`	`principal.process.pid`	Se extrae del campo `descrip` mediante la expresión regular `process ID of %{INT:pid}`.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.