このページは Cloud Translation API によって翻訳されました。

AWS RDS のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Google SecOps フィードを設定して AWS RDS ログを収集する方法について説明します。

詳細については、Google SecOps へのデータの取り込みをご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル AWS_RDS が付加されたパーサーに適用されます。

始める前に

次の前提条件を満たしていることを確認します。

ログインできる AWS アカウント
グローバル管理者または RDS 管理者

AWS RDS の構成方法

既存のデータベースを使用するか、新しいデータベースを作成します。
- 既存のデータベースを使用するには、データベースを選択し、[Modify] をクリックして、[Log exports] を選択します。
- 新しいデータベースを使用するには、データベースを作成するときに [Additional configuration] を選択します。
Amazon CloudWatch に公開するには、次のログタイプを選択します。
- 監査ログ
- エラーログ
- General log
- Slow query log
AWS Aurora PostgreSQL と PostgreSQL のログエクスポートを指定するには、[PostgreSQL log] を選択します。
AWS Microsoft SQL Server のログエクスポートを指定するには、次のログタイプを選択します。
- Agent log
- エラーログ
ログ構成を保存します。
[CloudWatch] > [Logs] を選択して、収集されたログを表示します。ロググループは、インスタンスからログが利用可能になった後に自動的に作成されます。

ログを CloudWatch にパブリッシュするには、IAM ユーザーと KMS 鍵のポリシーを構成します。詳細については、IAM ユーザーと KMS 鍵ポリシーをご覧ください。

サービスとリージョンに基づいて、次の AWS ドキュメントを参照して接続のエンドポイントを特定します。

ロギングソースの詳細については、AWS Identity and Access Management エンドポイントとクォータをご覧ください。
CloudWatch ロギングソースの詳細については、Amazon CloudWatch Logs エンドポイントとクォータをご覧ください。

エンジン固有の情報については、次のドキュメントをご覧ください。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード] > [新規追加]
Content Hub > Content Packs > Get Started

AWS RDS フィードの設定方法

[Amazon Cloud Platform] パックをクリックします。
[AWS RDS] ログタイプを見つけます。
Google SecOps は、アクセスキー ID とシークレットメソッドを使用したログ収集をサポートしています。アクセスキー ID とシークレットを作成するには、AWS でツールの認証を構成するをご覧ください。
次のフィールドで値を指定します。
- ソースタイプ: Amazon SQS V2
- キュー名: 読み取る SQS キュー名
- S3 URI: バケット URI。
  - s3://your-log-bucket-name/
    - your-log-bucket-name は、実際の S3 バケットの名前に置き換えます。
- Source deletion options: 取り込みの設定に応じて削除オプションを選択します。
  
  注: Delete transferred files オプションまたは Delete transferred files and empty directories オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
- ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
- SQS キューアクセスキー ID: 20 文字の英数字の文字列であるアカウントアクセスキー。
- SQS キューのシークレットアクセスキー: 40 文字の英数字の文字列であるアカウントアクセスキー。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- アセットの名前空間: フィードに関連付けられた名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
[フィードを作成] をクリックします。

このプロダクトファミリー内の異なるログタイプに対して複数のフィードを構成する方法については、プロダクト別にフィードを構成するをご覧ください。

フィールドマッピングリファレンス

このパーサーは、主にタイムスタンプ、説明、クライアント IP に焦点を当てて、AWS RDS syslog メッセージからフィールドを抽出します。Grok パターンを使用してこれらのフィールドを特定し、対応する UDM フィールドに入力します。クライアント IP の有無に基づいて、イベントを GENERIC_EVENT または STATUS_UPDATE のいずれかに分類します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`client_ip`	`principal.ip`	正規表現 `\\[CLIENT: %{IP:client_ip}\\]` を使用して未加工ログのメッセージから抽出されます。
`create_time.nanos`	N/A	IDM オブジェクトにはマッピングされません。
`create_time.seconds`	N/A	IDM オブジェクトにはマッピングされません。
	`metadata.description`	ログからの説明メッセージ。Grok パターンを使用して抽出されます。コピー元: `create_time.nanos`。コピー元: `create_time.seconds`。デフォルトは「GENERIC_EVENT」に設定されます。`client_ip` が存在する場合は「STATUS_UPDATE」に変更されます。パーサーによって設定される静的値「AWS_RDS」。パーサーによって設定される静的値「AWS_RDS」。
`pid`	`principal.process.pid`	正規表現 `process ID of %{INT:pid}` を使用して `descrip` フィールドから抽出されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。