AWS RDS のログを収集する

以下でサポートされています。

このドキュメントでは、Google SecOps フィードを設定して AWS RDS ログを収集する方法について説明します。

詳細については、Google SecOps へのデータの取り込みをご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル AWS_RDS が付加されたパーサーに適用されます。

始める前に

次の前提条件を満たしていることを確認します。

  • ログインできる AWS アカウント

  • グローバル管理者または RDS 管理者

AWS RDS の構成方法

  1. 既存のデータベースを使用するか、新しいデータベースを作成します。
    • 既存のデータベースを使用するには、データベースを選択し、[Modify] をクリックして、[Log exports] を選択します。
    • 新しいデータベースを使用するには、データベースを作成するときに [Additional configuration] を選択します。
  2. Amazon CloudWatch に公開するには、次のログタイプを選択します。
    • 監査ログ
    • エラーログ
    • General log
    • Slow query log
  3. AWS Aurora PostgreSQL と PostgreSQL のログ エクスポートを指定するには、[PostgreSQL log] を選択します。
  4. AWS Microsoft SQL Server のログ エクスポートを指定するには、次のログタイプを選択します。
    • Agent log
    • エラーログ
  5. ログ構成を保存します。
  6. [CloudWatch] > [Logs] を選択して、収集されたログを表示します。ロググループは、インスタンスからログが利用可能になった後に自動的に作成されます。

ログを CloudWatch にパブリッシュするには、IAM ユーザーと KMS 鍵のポリシーを構成します。詳細については、IAM ユーザーと KMS 鍵ポリシーをご覧ください。

サービスとリージョンに基づいて、次の AWS ドキュメントを参照して接続のエンドポイントを特定します。

エンジン固有の情報については、次のドキュメントをご覧ください。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード] > [新規追加]
  • Content Hub > Content Packs > Get Started

AWS RDS フィードの設定方法

  1. [Amazon Cloud Platform] パックをクリックします。
  2. [AWS RDS] ログタイプを見つけます。
  3. Google SecOps は、アクセスキー ID とシークレット メソッドを使用したログ収集をサポートしています。アクセスキー ID とシークレットを作成するには、AWS でツールの認証を構成するをご覧ください。
  4. 次のフィールドで値を指定します。

    • ソースタイプ: Amazon SQS V2
    • キュー名: 読み取る SQS キュー名
    • S3 URI: バケット URI。
      • s3://your-log-bucket-name/
        • your-log-bucket-name は、実際の S3 バケットの名前に置き換えます。
    • Source deletion options: 取り込みの設定に応じて削除オプションを選択します。

    • ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。

    • SQS キュー アクセスキー ID: 20 文字の英数字の文字列であるアカウント アクセスキー。

    • SQS キューのシークレット アクセスキー: 40 文字の英数字の文字列であるアカウント アクセスキー。

    詳細オプション

    • フィード名: フィードを識別する事前入力された値。
    • アセットの名前空間: フィードに関連付けられた名前空間。
    • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
  5. [フィードを作成] をクリックします。

このプロダクト ファミリー内の異なるログタイプに対して複数のフィードを構成する方法については、プロダクト別にフィードを構成するをご覧ください。

フィールド マッピング リファレンス

このパーサーは、主にタイムスタンプ、説明、クライアント IP に焦点を当てて、AWS RDS syslog メッセージからフィールドを抽出します。Grok パターンを使用してこれらのフィールドを特定し、対応する UDM フィールドに入力します。クライアント IP の有無に基づいて、イベントを GENERIC_EVENT または STATUS_UPDATE のいずれかに分類します。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
client_ip principal.ip 正規表現 \\[CLIENT: %{IP:client_ip}\\] を使用して未加工ログのメッセージから抽出されます。
create_time.nanos N/A IDM オブジェクトにはマッピングされません。
create_time.seconds N/A IDM オブジェクトにはマッピングされません。
metadata.description ログからの説明メッセージ。Grok パターンを使用して抽出されます。コピー元: create_time.nanos。コピー元: create_time.seconds。デフォルトは「GENERIC_EVENT」に設定されます。client_ip が存在する場合は「STATUS_UPDATE」に変更されます。パーサーによって設定される静的値「AWS_RDS」。パーサーによって設定される静的値「AWS_RDS」。
pid principal.process.pid 正規表現 process ID of %{INT:pid} を使用して descrip フィールドから抽出されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。