AWS RDS 로그 수집
이 문서에서는 Google SecOps 피드를 설정하여 AWS RDS 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google SecOps에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 AWS_RDS 수집 라벨이 있는 파서에 적용됩니다.
시작하기 전에
이 페이지의 태스크를 완료하려면 다음이 있어야 합니다.
로그인할 수 있는 AWS 계정
전역 관리자 또는 RDS 관리자
AWS RDS 구성
- 기존 데이터베이스를 사용하거나 새 데이터베이스를 만듭니다.
- 기존 데이터베이스를 사용하려면 데이터베이스를 선택하고 수정을 클릭한 다음 로그 내보내기를 선택합니다.
- 새 데이터베이스를 사용하려면 데이터베이스를 만들 때 추가 구성을 선택합니다.
- Amazon CloudWatch에 게시하려면 다음 로그 유형을 선택합니다.
- 감사 로그
- 오류 로그
- 일반 로그
- 느린 쿼리 로그
- AWS Aurora PostgreSQL 및 PostgreSQL의 로그 내보내기를 지정하려면 PostgreSQL 로그를 선택합니다.
- AWS Microsoft SQL Server의 로그 내보내기를 지정하려면 다음 로그 유형을 선택합니다.
- 상담사 로그
- 오류 로그
- 로그 구성을 저장합니다.
- CloudWatch > 로그를 선택하여 수집된 로그를 확인합니다. 로그 그룹은 인스턴스를 통해 로그를 사용할 수 있게 된 후에 자동으로 생성됩니다.
로그를 CloudWatch에 게시하려면 IAM 사용자 및 KMS 키 정책을 구성합니다. 자세한 내용은 IAM 사용자 및 KMS 키 정책을 참고하세요.
서비스 및 리전에 따라 다음 AWS 문서를 참고하여 연결 엔드포인트를 식별합니다.
로깅 소스에 관한 자세한 내용은 AWS Identity and Access Management 엔드포인트 및 할당량을 참고하세요.
CloudWatch 로깅 소스에 관한 자세한 내용은 CloudWatch 로그 엔드포인트 및 할당량을 참고하세요.
엔진 관련 정보는 다음 문서를 참고하세요.
AWS RDS 로그를 수집하도록 Google SecOps에서 피드 구성
- SIEM 설정 > 피드를 선택합니다.
- 새로 추가를 클릭합니다.
- 피드 이름에 고유한 이름을 입력합니다.
- 소스 유형으로 Amazon S3 또는 Amazon SQS를 선택합니다.
- 로그 유형으로 AWS RDS를 선택합니다.
- 다음을 클릭합니다.
- Google SecOps는 액세스 키 ID 및 보안 비밀 메서드를 사용하여 로그 수집을 지원합니다. 액세스 키 ID와 보안 비밀을 만들려면 AWS로 도구 인증 구성을 참고하세요.
- 사용자가 만든 AWS RDS 구성에 따라 입력 매개변수의 값을 지정합니다.
- Amazon S3를 사용하는 경우 다음 필수 입력란에 값을 지정합니다.
- 리전
- S3 URI
- URI
- 소스 삭제 옵션
- Amazon SQS를 사용하는 경우 다음 필수 입력란에 값을 지정합니다.
- 리전
- 대기열 이름
- 계정 번호
- 현재 재생목록 액세스 키 ID
- 현재 재생목록 보안 비밀 액세스 키
- 소스 삭제 옵션
- Amazon S3를 사용하는 경우 다음 필수 입력란에 값을 지정합니다.
- 다음을 클릭한 후 제출을 클릭합니다.
Google SecOps 피드에 관한 자세한 내용은 피드 관리 UI를 사용하여 피드 만들기 및 관리를 참고하세요. 각 피드 유형의 요구사항은 피드 관리 API를 참고하세요.
피드를 만들 때 문제가 발생하면 Google SecOps 지원팀에 문의하세요.
필드 매핑 참조
이 파서는 주로 타임스탬프, 설명, 클라이언트 IP에 중점을 두고 AWS RDS syslog 메시지에서 필드를 추출합니다. grok 패턴을 사용하여 이러한 필드를 식별하고 상응하는 UDM 필드를 채웁니다. 그러면 클라이언트 IP의 존재 여부에 따라 이벤트가 GENERIC_EVENT 또는 STATUS_UPDATE로 분류됩니다.
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
client_ip |
principal.ip |
정규 표현식 \\[CLIENT: %{IP:client_ip}\\]을 사용하여 원시 로그 메시지에서 추출됩니다. |
create_time.nanos |
해당 사항 없음 | IDM 객체에 매핑되지 않았습니다. |
create_time.seconds |
해당 사항 없음 | IDM 객체에 매핑되지 않았습니다. |
metadata.description |
grok 패턴을 사용하여 추출된 로그의 설명 메시지입니다. create_time.nanos에서 복사되었습니다. create_time.seconds에서 복사되었습니다. 기본값은 'GENERIC_EVENT'입니다. client_ip가 있는 경우 'STATUS_UPDATE'로 변경되었습니다. 파서가 설정한 정적 값 'AWS_RDS'입니다. 파서가 설정한 정적 값 'AWS_RDS'입니다. |
|
pid |
principal.process.pid |
정규 표현식 process ID of %{INT:pid}을 사용하여 descrip 필드에서 추출됩니다. |
변경사항
2023-04-24
- 파서를 새로 만들었습니다.