Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log AWS RDS

Supportato in:

Google secops SIEM

Questo documento descrive come raccogliere i log di AWS RDS configurando un feed Google SecOps.

Per saperne di più, consulta Importazione dei dati in Google SecOps.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati nel formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione AWS_RDS.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un account AWS a cui puoi accedere
Un amministratore globale o un amministratore RDS

Come configurare AWS RDS

Utilizza un database esistente o creane uno nuovo:
- Per utilizzare un database esistente, selezionalo, fai clic su Modifica e poi su Esportazioni log.
- Per utilizzare un nuovo database, quando lo crei, seleziona Configurazione aggiuntiva.
Per pubblicare su Amazon CloudWatch, seleziona i seguenti tipi di log:
- Log di controllo
- Log degli errori
- Log generale
- Log delle query lente
Per specificare l'esportazione dei log per AWS Aurora PostgreSQL e PostgreSQL, seleziona Log PostgreSQL.
Per specificare l'esportazione dei log per AWS Microsoft SQL Server, seleziona i seguenti tipi di log:
- Log dell'agente
- Log degli errori
Salva la configurazione dei log.
Seleziona CloudWatch > Log per visualizzare i log raccolti. I gruppi di log vengono creati automaticamente dopo che i log sono disponibili tramite l'istanza.

Per pubblicare i log in CloudWatch, configura i criteri per l'utente IAM e la chiave KMS. Per maggiori informazioni, consulta Policy IAM per utenti e chiavi KMS.

In base al servizio e alla regione, identifica gli endpoint per la connettività facendo riferimento alla seguente documentazione AWS:

Per informazioni su eventuali origini di logging, consulta Endpoint e quote di AWS Identity and Access Management.
Per informazioni sulle origini di logging di CloudWatch, consulta Endpoint e quote dei log di CloudWatch.

Per informazioni specifiche sul motore, consulta la seguente documentazione:

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

Impostazioni SIEM > Feed > Aggiungi nuovo
Hub dei contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed AWS RDS

Fai clic sul pacchetto Amazon Cloud Platform.
Individua il tipo di log AWS RDS.
Google SecOps supporta la raccolta dei log utilizzando un ID chiave di accesso e un metodo segreto. Per creare l'ID chiave di accesso e il segreto, consulta la sezione Configurare l'autenticazione dello strumento con AWS.
Specifica i valori nei seguenti campi.
- Tipo di origine: Amazon SQS V2
- Nome coda: il nome della coda SQS da cui leggere
- URI S3: l'URI del bucket.
  - s3://your-log-bucket-name/
    - Sostituisci your-log-bucket-name con il nome effettivo del tuo bucket S3.
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.
  
  Nota: se selezioni l'opzione Delete transferred files o Delete transferred files and empty directories, assicurati di aver concesso le autorizzazioni appropriate al service account.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- ID chiave di accesso alla coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri.
- Chiave di accesso segreta della coda SQS: una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Riferimento alla mappatura dei campi

Questo parser estrae i campi dai messaggi syslog di AWS RDS, concentrandosi principalmente su timestamp, descrizione e IP client. Utilizza i pattern grok per identificare questi campi e compila i campi UDM corrispondenti, classificando gli eventi come GENERIC_EVENT o STATUS_UPDATE in base alla presenza di un IP client.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`client_ip`	`principal.ip`	Estratto dal messaggio di log non elaborato utilizzando l'espressione regolare `\\[CLIENT: %{IP:client_ip}\\]`.
`create_time.nanos`	N/D	Non mappato all'oggetto IDM.
`create_time.seconds`	N/D	Non mappato all'oggetto IDM.
	`metadata.description`	Il messaggio descrittivo del log, estratto utilizzando i pattern grok. Copiato da `create_time.nanos`. Copiato da `create_time.seconds`. Impostato su "GENERIC_EVENT" per impostazione predefinita. Valore modificato in "STATUS_UPDATE" se è presente `client_ip`. Valore statico "AWS_RDS", impostato dal parser. Valore statico "AWS_RDS", impostato dal parser.
`pid`	`principal.process.pid`	Estratto dal campo `descrip` utilizzando l'espressione regolare `process ID of %{INT:pid}`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.