收集 AWS RDS 日志

支持的平台:

本文档介绍了如何通过设置 Google SecOps Feed 来收集 AWS RDS 日志。

如需了解详情,请参阅将数据提取到 Google SecOps

提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 AWS_RDS 注入标签的解析器。

准备工作

如需完成本页中的任务,请确保您拥有以下资源:

  • 您可以登录的 AWS 账号。

  • 全局管理员或 RDS 管理员。

配置 AWS RDS

  1. 使用现有数据库或创建新数据库:
    • 如需使用现有数据库,请选择该数据库,点击修改,然后选择日志导出
    • 如需使用新数据库,请在创建数据库时选择其他配置
  2. 如需发布到 Amazon CloudWatch,请选择以下日志类型:
    • 审核日志
    • 错误日志
    • 常规日志
    • 慢查询日志
  3. 如需为 AWS Aurora PostgreSQL 和 PostgreSQL 指定日志导出,请选择 PostgreSQL 日志
  4. 如需为 AWS Microsoft SQL Server 指定日志导出,请选择以下日志类型:
    • 代理日志
    • 错误日志
  5. 保存日志配置。
  6. 依次选择 CloudWatch > 日志以查看收集的日志。日志通过实例提供后,系统会自动创建日志组。

如需将日志发布到 CloudWatch,请配置 IAM 用户和 KMS 密钥政策。如需了解详情,请参阅 IAM 用户和 KMS 密钥政策

根据服务和区域,参阅以下 AWS 文档,确定连接端点:

如需了解特定于引擎的信息,请参阅以下文档:

在 Google SecOps 中配置 Feed 以注入 AWS RDS 日志

  1. 依次选择 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称输入一个具有唯一性的名称。
  4. 选择 Amazon S3Amazon SQS 作为来源类型
  5. 选择 AWS RDS 作为日志类型
  6. 点击下一步
  7. Google SecOps 支持使用访问密钥 ID 和密钥方法收集日志。如需创建访问密钥 ID 和密钥,请参阅使用 AWS 配置工具身份验证
  8. 根据您创建的 AWS RDS 配置,为输入参数指定值:
    • 如果您使用 Amazon S3,请为以下必填字段指定值:
      • 区域
      • S3 URI
      • URI 是
      • 来源删除选项
    • 如果您使用 Amazon SQS,请为以下必填字段指定值:
      • 区域
      • 队列名称
      • 账号
      • 队列访问密钥 ID
      • 队列私有访问密钥
      • 来源删除选项
  9. 点击下一步,然后点击提交

如需详细了解 Google SecOps Feed,请参阅使用 Feed 管理界面创建和管理 Feed。如需了解每种 Feed 类型的要求,请参阅 Feed 管理 API

如果您在创建 Feed 时遇到问题,请与 Google SecOps 支持团队联系

字段映射参考文档

此解析器会从 AWS RDS syslog 消息中提取字段,主要关注时间戳、说明和客户端 IP。它使用 Grok 模式来识别这些字段并填充相应的 UDM 字段,根据客户端 IP 的存在情况将事件分类为 GENERIC_EVENTSTATUS_UPDATE

UDM 映射表

日志字段 UDM 映射 逻辑
client_ip principal.ip 使用正则表达式 \\[CLIENT: %{IP:client_ip}\\] 从原始日志消息中提取。
create_time.nanos 不适用 未映射到 IDM 对象。
create_time.seconds 不适用 未映射到 IDM 对象。
metadata.description 日志中的描述性消息,使用 Grok 模式提取。从 create_time.nanos 复制。从 create_time.seconds 复制。默认设置为“GENERIC_EVENT”。如果存在 client_ip,则更改为“STATUS_UPDATE”。由解析器设置的静态值“AWS_RDS”。由解析器设置的静态值“AWS_RDS”。
pid principal.process.pid 使用正则表达式 process ID of %{INT:pid}descrip 字段中提取。

变化

2023-04-24

  • 新创建的解析器。