Mengumpulkan log AWS RDS

Dokumen ini menjelaskan cara mengumpulkan log AWS RDS dengan menyiapkan feed Google SecOps.

Untuk informasi selengkapnya, lihat Penambahan data ke Google SecOps.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer AWS_RDS.

Sebelum memulai

Untuk menyelesaikan tugas di halaman ini, pastikan Anda memiliki hal berikut:

• Akun AWS yang dapat Anda gunakan untuk login.

• Administrator global atau administrator RDS.

Mengonfigurasi AWS RDS

1. Gunakan database yang ada atau buat database baru:
   • Untuk menggunakan database yang ada, pilih database, klik Ubah, lalu pilih Ekspor log.
   • Untuk menggunakan database baru, saat membuat database, pilih Konfigurasi tambahan.
2. Untuk memublikasikan ke Amazon CloudWatch, pilih jenis log berikut:
   • Log audit
   • Log error
   • Log umum
   • Log kueri lambat
3. Untuk menentukan ekspor log untuk AWS Aurora PostgreSQL dan PostgreSQL, pilih Log PostgreSQL.
4. Untuk menentukan ekspor log untuk server Microsoft SQL AWS, pilih jenis log berikut:
   • Log agen
   • Log error
5. Simpan konfigurasi log.
6. Pilih CloudWatch > Logs untuk melihat log yang dikumpulkan. Grup log akan otomatis dibuat setelah log tersedia melalui instance.

Untuk memublikasikan log ke CloudWatch, konfigurasikan kebijakan kunci KMS dan pengguna IAM. Untuk informasi selengkapnya, lihat Kebijakan kunci KMS dan pengguna IAM.

Berdasarkan layanan dan region, identifikasi endpoint untuk konektivitas dengan merujuk ke dokumentasi AWS berikut:

• Untuk mengetahui informasi tentang sumber logging, lihat Endpoint dan kuota AWS Identity and Access Management.

• Untuk mengetahui informasi tentang sumber logging CloudWatch, lihat Kuota dan endpoint log CloudWatch.

Untuk informasi khusus mesin, lihat dokumentasi berikut:

• Memublikasikan log MariaDB ke Amazon CloudWatch Logs.

• Memublikasikan log MySQL ke Amazon CloudWatch Logs.

• Memublikasikan log Oracle ke Amazon CloudWatch Logs.

• Memublikasikan log PostgreSQL ke Amazon CloudWatch Logs.

• Memublikasikan log SQL Server ke Amazon CloudWatch Logs.

Mengonfigurasi feed di Google SecOps untuk menyerap log AWS RDS

1. Pilih Setelan SIEM > Feed.
2. Klik Tambahkan baru.
3. Masukkan nama unik untuk Nama feed.
4. Pilih Amazon S3 atau Amazon SQS sebagai Source type.
5. Pilih AWS RDS sebagai Log type.
6. Klik Berikutnya.
7. Google SecOps mendukung pengumpulan log menggunakan ID kunci akses dan metode rahasia. Untuk membuat ID kunci akses dan secret, lihat Mengonfigurasi autentikasi alat dengan AWS.
8. Berdasarkan konfigurasi AWS RDS yang Anda buat, tentukan nilai untuk parameter input:
   • Jika Anda menggunakan Amazon S3, tentukan nilai untuk kolom wajib berikut:
     • Region
     • URI S3
     • URI adalah
     • Opsi penghapusan sumber
   • Jika Anda menggunakan Amazon SQS, tentukan nilai untuk kolom wajib berikut:
     • Region
     • Nama antrean
     • Nomor akun
     • ID kunci akses antrean
     • Antrean kunci akses rahasia
     • Opsi penghapusan sumber
9. Klik Berikutnya, lalu klik Kirim.

Untuk mengetahui informasi selengkapnya tentang feed Google SecOps, lihat Membuat dan mengelola feed menggunakan UI pengelolaan feed. Untuk informasi tentang persyaratan untuk setiap jenis feed, lihat Feed management API.

Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google SecOps.

Referensi pemetaan kolom

Parser ini mengekstrak kolom dari pesan syslog AWS RDS, terutama berfokus pada stempel waktu, deskripsi, dan IP klien. Fungsi ini menggunakan pola grok untuk mengidentifikasi kolom ini dan mengisi kolom UDM yang sesuai, yang mengklasifikasikan peristiwa sebagai GENERIC_EVENT atau STATUS_UPDATE berdasarkan keberadaan IP klien.

Tabel pemetaan UDM

Perubahan

2023-04-24

• Parser yang baru dibuat.