Coletar registros do AWS RDS
Este documento descreve como coletar registros do AWS RDS configurando um feed do Google SecOps.
Para mais informações, consulte Ingestão de dados no Google SecOps.
Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos
para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência AWS_RDS.
Antes de começar
Para concluir as tarefas desta página, confira se você tem o seguinte:
Uma conta da AWS em que você possa fazer login.
Um administrador global ou administrador do RDS.
Configurar o AWS RDS
- Use um banco de dados existente ou crie um novo:
- Para usar um banco de dados existente, selecione-o, clique em Modificar e selecione Exportações de registro.
- Para usar um novo banco de dados, selecione Configuração adicional ao criar o banco de dados.
- Para publicar no Amazon CloudWatch, selecione os seguintes tipos de registro:
- Registro de auditoria
- Registro de erros
- Registro geral
- Registro de consulta lenta
- Para especificar a exportação de registros do AWS Aurora PostgreSQL e do PostgreSQL, selecione Registro do PostgreSQL.
- Para especificar a exportação de registros para o AWS Microsoft SQL Server, selecione os seguintes tipos de registro:
- Log do agente
- Registro de erros
- Salve a configuração do registro.
- Selecione CloudWatch > Registros para conferir os registros coletados. Os grupos de registros são criados automaticamente depois que os registros ficam disponíveis na instância.
Para publicar os registros no CloudWatch, configure as políticas de chaves do KMS e do usuário do IAM. Para mais informações, consulte Políticas de chaves do IAM e do KMS.
Com base no serviço e na região, identifique os endpoints de conectividade consultando a documentação da AWS a seguir:
Para informações sobre as origens de registro, consulte Endpoints e cotas do AWS Identity and Access Management.
Para informações sobre as origens de geração de registros do CloudWatch, consulte Endpoints e cotas de registros do CloudWatch.
Para informações específicas do mecanismo, consulte a documentação a seguir:
Publicação de registros do MariaDB nos Amazon CloudWatch Logs.
Publicação de registros da Oracle nos Amazon CloudWatch Logs.
Publicação de registros do PostgreSQL nos Amazon CloudWatch Logs.
Publicar registros do SQL Server nos Amazon CloudWatch Logs.
Configurar um feed no Google SecOps para processar registros do AWS RDS
- Selecione Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- Insira um nome exclusivo para o nome do feed.
- Selecione Amazon S3 ou Amazon SQS como o Tipo de origem.
- Selecione AWS RDS como o Tipo de registro.
- Clique em Próxima.
- O Google SecOps oferece suporte à coleta de registros usando um ID de chave de acesso e um método secreto. Para criar o ID da chave de acesso e o secret, consulte Configurar a autenticação da ferramenta com a AWS.
- Com base na configuração do AWS RDS que você criou, especifique os valores para os parâmetros de entrada:
- Se você usa o Amazon S3, especifique valores para os seguintes campos obrigatórios:
- Região
- URI do S3
- O URI é um
- Opção de exclusão da origem
- Se você usa o Amazon SQS, especifique valores para os seguintes campos obrigatórios:
- Região
- Nome da fila
- Número da conta
- ID da chave de acesso da fila
- Chave de acesso secreta da fila
- Opção de exclusão da origem
- Se você usa o Amazon S3, especifique valores para os seguintes campos obrigatórios:
- Clique em Próxima e em Enviar.
Para mais informações sobre os feeds do Google SecOps, consulte Criar e gerenciar feeds usando a interface de gerenciamento de feeds. Para saber mais sobre os requisitos de cada tipo de feed, consulte a API Feed Management.
Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google SecOps.
Referência do mapeamento de campo
Esse analisador extrai campos das mensagens do syslog do AWS RDS, com foco principalmente no carimbo de data/hora, na descrição e no IP do cliente. Ele usa padrões grok para identificar esses campos e preencher os campos UDM correspondentes, classificando os eventos como GENERIC_EVENT ou STATUS_UPDATE com base na presença de um IP do cliente.
Tabela de mapeamento da UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
client_ip |
principal.ip |
Extraídos da mensagem de registro bruta usando a expressão regular \\[CLIENT: %{IP:client_ip}\\]. |
create_time.nanos |
N/A | Não mapeado para o objeto IDM. |
create_time.seconds |
N/A | Não mapeado para o objeto IDM. |
metadata.description |
A mensagem descritiva do registro, extraída usando padrões grok. Copiado de create_time.nanos. Copiado de create_time.seconds. "GENERIC_EVENT" por padrão. Mudança para "STATUS_UPDATE" se client_ip estiver presente. Valor estático "AWS_RDS", definido pelo analisador. Valor estático "AWS_RDS", definido pelo analisador. |
|
pid |
principal.process.pid |
Extraídos do campo descrip usando a expressão regular process ID of %{INT:pid}. |
Alterações
2023-04-24
- Parser recém-criado.