AWS RDS 로그 수집

다음에서 지원:

이 문서에서는 Google SecOps 피드를 설정하여 AWS RDS 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google SecOps에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 AWS_RDS 수집 라벨이 있는 파서에 적용됩니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • 로그인할 수 있는 AWS 계정

  • 전역 관리자 또는 RDS 관리자

AWS RDS를 구성하는 방법

  1. 기존 데이터베이스를 사용하거나 새 데이터베이스를 만듭니다.
    • 기존 데이터베이스를 사용하려면 데이터베이스를 선택하고 수정을 클릭한 다음 로그 내보내기를 선택합니다.
    • 새 데이터베이스를 사용하려면 데이터베이스를 만들 때 추가 구성을 선택합니다.
  2. Amazon CloudWatch에 게시하려면 다음 로그 유형을 선택하세요.
    • 감사 로그
    • 오류 로그
    • 일반 로그
    • 느린 쿼리 로그
  3. AWS Aurora PostgreSQL 및 PostgreSQL의 로그 내보내기를 지정하려면 PostgreSQL 로그를 선택합니다.
  4. AWS Microsoft SQL 서버의 로그 내보내기를 지정하려면 다음 로그 유형을 선택하세요.
    • 에이전트 로그
    • 오류 로그
  5. 로그 구성을 저장합니다.
  6. CloudWatch > Logs를 선택하여 수집된 로그를 확인합니다. 로그 그룹은 인스턴스를 통해 로그를 사용할 수 있게 된 후에 자동으로 생성됩니다.

로그를 CloudWatch에 게시하려면 IAM 사용자 및 KMS 키 정책을 구성합니다. 자세한 내용은 IAM 사용자 및 KMS 키 정책을 참고하세요.

서비스 및 지역에 따라 다음 AWS 문서를 참조하여 연결 엔드포인트를 식별합니다.

엔진별 정보는 다음 문서를 참고하세요.

피드 설정

Google SecOps 플랫폼에서 피드를 설정하는 방법은 두 가지입니다.

  • SIEM 설정 > 피드 > 새로 추가
  • 콘텐츠 허브 > 콘텐츠 팩 > 시작하기

AWS RDS 피드를 설정하는 방법

  1. Amazon Cloud Platform 팩을 클릭합니다.
  2. AWS RDS 로그 유형을 찾습니다.
  3. Google SecOps는 액세스 키 ID 및 보안 비밀 메서드를 사용한 로그 수집을 지원합니다. 액세스 키 ID와 보안 비밀을 만드는 방법은 AWS로 도구 인증 구성을 참고하세요.
  4. 다음 필드에 값을 지정합니다.

    • 소스 유형: Amazon SQS V2
    • Queue Name: 읽어올 SQS 큐 이름
    • S3 URI: 버킷 URI입니다.
      • s3://your-log-bucket-name/
        • your-log-bucket-name을 실제 S3 버킷 이름으로 바꿉니다.
    • 소스 삭제 옵션: 수집 환경설정에 따라 삭제 옵션을 선택합니다.

    • 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.

    • SQS 대기열 액세스 키 ID: 20자리 영숫자 문자열인 계정 액세스 키입니다.

    • SQS 대기열 보안 비밀 액세스 키: 40자로 된 영숫자 문자열인 계정 액세스 키입니다.

    고급 옵션

    • 피드 이름: 피드를 식별하는 미리 채워진 값입니다.
    • 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
    • 수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.
  5. 피드 만들기를 클릭합니다.

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

필드 매핑 참조

이 파서는 AWS RDS syslog 메시지에서 필드를 추출하며, 주로 타임스탬프, 설명, 클라이언트 IP에 중점을 둡니다. 그로크 패턴을 사용하여 이러한 필드를 식별하고 해당 UDM 필드를 채우며, 클라이언트 IP의 존재 여부에 따라 이벤트를 GENERIC_EVENT 또는 STATUS_UPDATE로 분류합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
client_ip principal.ip 정규 표현식 \\[CLIENT: %{IP:client_ip}\\]을 사용하여 원시 로그 메시지에서 추출됩니다.
create_time.nanos 해당 사항 없음 IDM 객체에 매핑되지 않았습니다.
create_time.seconds 해당 사항 없음 IDM 객체에 매핑되지 않았습니다.
metadata.description grok 패턴을 사용하여 추출한 로그의 설명 메시지입니다. create_time.nanos에서 복사됨 create_time.seconds에서 복사됨 기본적으로 'GENERIC_EVENT'로 설정됩니다. client_ip이 있는 경우 'STATUS_UPDATE'로 변경됩니다. 파서에 의해 설정된 정적 값 'AWS_RDS'입니다. 파서에 의해 설정된 정적 값 'AWS_RDS'입니다.
pid principal.process.pid 정규 표현식 process ID of %{INT:pid}을 사용하여 descrip 필드에서 추출됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.