AWS RDS ログを収集する

このドキュメントでは、Google SecOps フィードを設定して AWS RDS のログを収集する方法について説明します。

詳細については、Google SecOps へのデータの取り込みをご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル AWS_RDS が付加されたパーサーに適用されます。

始める前に

このページのタスクを完了するには、次のものが必要です。

• ログインできる AWS アカウント。

• グローバル管理者または RDS 管理者。

AWS RDS を構成する

1. 既存のデータベースを使用するか、新しいデータベースを作成します。
   • 既存のデータベースを使用するには、データベースを選択し、[変更] をクリックして、[ログのエクスポート] を選択します。
   • 新しいデータベースを使用するには、データベースを作成するときに [追加の構成] を選択します。
2. Amazon CloudWatch にパブリッシュするには、次のログタイプを選択します。
   • 監査ログ
   • エラーログ
   • 一般ログ
   • スロークエリログ
3. AWS Aurora PostgreSQL と PostgreSQL のログ エクスポートを指定するには、[PostgreSQL ログ] を選択します。
4. AWS Microsoft SQL Server のログ エクスポートを指定するには、次のログタイプを選択します。
   • エージェント ログ
   • エラーログ
5. ログ構成を保存します。
6. [CloudWatch] > [ログ] を選択して、収集されたログを表示します。ロググループは、インスタンスでログが使用可能になると自動的に作成されます。

ログを CloudWatch にパブリッシュするには、IAM ユーザーと KMS 鍵のポリシーを構成します。詳細については、IAM ユーザーと KMS 鍵のポリシーをご覧ください。

サービスとリージョンに基づいて、次の AWS ドキュメントを参照して接続のエンドポイントを特定します。

• ロギング ソースの詳細については、AWS Identity and Access Management のエンドポイントと割り当てをご覧ください。

• CloudWatch ロギング ソースの詳細については、CloudWatch ログのエンドポイントと割り当てをご覧ください。

エンジン固有の情報については、次のドキュメントをご覧ください。

• MariaDB ログを Amazon CloudWatch Logs にパブリッシュする。

• MySQL ログを Amazon CloudWatch Logs にパブリッシュする。

• Oracle ログを Amazon CloudWatch Logs にパブリッシュする。

• PostgreSQL ログを Amazon CloudWatch Logs にパブリッシュする。

• SQL Server ログを Amazon CloudWatch Logs にパブリッシュする。

AWS RDS ログを取り込むように Google SecOps でフィードを構成する

1. [SIEM 設定] > [フィード] を選択します。
2. [新しく追加] をクリックします。
3. [フィード名] に固有の名前を入力します。
4. [ソースタイプ] として [Amazon S3] または [Amazon SQS] を選択します。
5. [ログタイプ] で [AWS RDS] を選択します。
6. [次へ] をクリックします。
7. Google SecOps は、アクセスキー ID とシークレット メソッドを使用したログ収集をサポートしています。アクセスキー ID とシークレットを作成するには、AWS でツールの認証を構成するをご覧ください。
8. 作成した AWS RDS 構成に基づいて、次の入力パラメータの値を指定します。
   • Amazon S3 を使用する場合は、次の必須フィールドに値を指定します。
     • 地域
     • S3 URI
     • URI は
     • ソース削除オプション
   • Amazon SQS を使用する場合は、次の必須フィールドに値を指定します。
     • 地域
     • キュー名
     • アカウント番号
     • キューのアクセスキー ID
     • キューのシークレット アクセスキー
     • ソース削除オプション
9. [次へ]、[送信] の順にクリックします。

Google SecOps フィードの詳細については、フィード管理 UI を使用してフィードを作成および管理するをご覧ください。各フィードタイプの要件については、Feed Management API をご覧ください。

フィードの作成時に問題が発生した場合は、Google SecOps サポートにお問い合わせください。

フィールド マッピング リファレンス

このパーサーは、AWS RDS syslog メッセージからフィールドを抽出します。主にタイムスタンプ、説明、クライアント IP に焦点を当てます。grok パターンを使用してこれらのフィールドを特定し、対応する UDM フィールドに入力します。クライアント IP の有無に基づいて、イベントを GENERIC_EVENT または STATUS_UPDATE に分類します。

UDM マッピング テーブル

ログフィールド	UDM マッピング	ロジック
client_ip	principal.ip	正規表現 \\[CLIENT: %{IP:client_ip}\\] を使用して未加工ログ メッセージから抽出されます。
create_time.nanos	なし	IDM オブジェクトにマッピングされていません。
create_time.seconds	なし	IDM オブジェクトにマッピングされていません。
	metadata.description	grok パターンを使用して抽出された、ログの説明メッセージ。create_time.nanos からコピーしました。create_time.seconds からコピーしました。デフォルトは「GENERIC_EVENT」に設定されています。client_ip が存在する場合は「STATUS_UPDATE」に変更しました。パーサーによって設定される静的値「AWS_RDS」。パーサーによって設定される静的値「AWS_RDS」。
pid	principal.process.pid	正規表現 process ID of %{INT:pid} を使用して descrip フィールドから抽出されます。

変更点

2023-04-24

• 新しく作成されたパーサー。