Recolha registos do AWS RDS
Este documento descreve como pode recolher registos do AWS RDS configurando um feed do Google SecOps.
Para mais informações, consulte o artigo Ingestão de dados no Google SecOps.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados
para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento AWS_RDS.
Antes de começar
Certifique-se de que cumpre os seguintes pré-requisitos:
Uma conta da AWS na qual pode iniciar sessão
Um administrador global ou um administrador do RDS
Como configurar o AWS RDS
- Use uma base de dados existente ou crie uma nova:
- Para usar uma base de dados existente, selecione a base de dados, clique em Modificar e, de seguida, selecione Exportações de registos.
- Para usar uma nova base de dados, quando a criar, selecione Configuração adicional.
- Para publicar no Amazon CloudWatch, selecione os seguintes tipos de registos:
- Registo de auditoria
- Registo de erros
- Registo geral
- Registo de consultas lentas
- Para especificar a exportação de registos para o AWS Aurora PostgreSQL e o PostgreSQL, selecione Registo do PostgreSQL.
- Para especificar a exportação de registos para o servidor AWS Microsoft SQL, selecione os seguintes tipos de registos:
- Registo do agente
- Registo de erros
- Guarde a configuração do registo.
- Selecione CloudWatch > Registos para ver os registos recolhidos. Os grupos de registos são criados automaticamente depois de os registos estarem disponíveis através da instância.
Para publicar os registos no CloudWatch, configure as políticas de utilizadores da IAM e de chaves do KMS. Para mais informações, consulte as políticas de utilizadores do IAM e chaves do KMS.
Com base no serviço e na região, identifique os pontos finais para a conetividade consultando a seguinte documentação da AWS:
Para obter informações sobre quaisquer origens de registo, consulte Pontos finais e quotas da gestão de identidade e acesso da AWS.
Para ver informações sobre as origens de registo do CloudWatch, consulte o artigo Endpoints e quotas dos registos do CloudWatch.
Para informações específicas do motor, consulte a seguinte documentação:
Publicar registos do MariaDB nos registos do Amazon CloudWatch.
Publicar registos do MySQL nos registos do Amazon CloudWatch.
Publicar registos do PostgreSQL nos registos do Amazon CloudWatch.
Publicar registos do SQL Server nos registos do Amazon CloudWatch.
Configure feeds
Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:
- Definições do SIEM > Feeds > Adicionar novo
- Content Hub > Pacotes de conteúdo > Começar
Como configurar o feed do AWS RDS
- Clique no pacote Amazon Cloud Platform.
- Localize o tipo de registo AWS RDS.
- O Google SecOps suporta a recolha de registos através de um ID da chave de acesso e de um método secreto. Para criar o ID da chave de acesso e o segredo, consulte o artigo Configure a autenticação de ferramentas com a AWS.
Especifique os valores nos seguintes campos.
- Tipo de origem: Amazon SQS V2
- Nome da fila: o nome da fila SQS a partir da qual ler
- URI do S3: o URI do contentor.
s3://your-log-bucket-name/- Substitua
your-log-bucket-namepelo nome real do seu contentor do S3.
- Substitua
Opções de eliminação de origens: selecione a opção de eliminação de acordo com as suas preferências de carregamento.
Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
ID da chave de acesso à fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 carateres.
Chave de acesso secreta da fila SQS: uma chave de acesso à conta que é uma string alfanumérica de 40 carateres.
Opções avançadas
- Nome do feed: um valor pré-preenchido que identifica o feed.
- Espaço de nomes do recurso: espaço de nomes associado ao feed.
- Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.
Clique em Criar feed.
Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.
Referência de mapeamento de campos
Este analisador extrai campos de mensagens syslog do AWS RDS, focando-se principalmente na data/hora, na descrição e no IP do cliente. Usa padrões grok para identificar estes campos e preenche os campos UDM correspondentes, classificando os eventos como GENERIC_EVENT ou STATUS_UPDATE com base na presença de um IP do cliente.
Tabela de mapeamento do UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
client_ip |
principal.ip |
Extraído da mensagem de registo não processada através da expressão regular \\[CLIENT: %{IP:client_ip}\\]. |
create_time.nanos |
N/A | Não está mapeado para o objeto IDM. |
create_time.seconds |
N/A | Não está mapeado para o objeto IDM. |
metadata.description |
A mensagem descritiva do registo, extraída através de padrões grok. Copiado de create_time.nanos. Copiado de create_time.seconds. A predefinição é "GENERIC_EVENT". Alterado para "STATUS_UPDATE" se client_ip estiver presente. Valor estático "AWS_RDS", definido pelo analisador. Valor estático "AWS_RDS", definido pelo analisador. |
|
pid |
principal.process.pid |
Extraído do campo descrip através da expressão regular process ID of %{INT:pid}. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.