本頁面由 Cloud Translation API 翻譯而成。

收集 AWS RDS 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何設定 Google SecOps 資訊動態，以收集 AWS RDS 記錄。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 AWS_RDS 攝入標籤的剖析器。

事前準備

請確認您已完成下列事前準備事項：

使用現有資料庫或建立新資料庫：
- 如要使用現有資料庫，請選取資料庫，按一下「修改」，然後選取「記錄匯出」。
- 如要使用新資料庫，請在建立資料庫時選取「其他設定」。
如要發布至 Amazon CloudWatch，請選取下列記錄類型：
- 稽核記錄
- 錯誤記錄
- 一般記錄
- 慢速查詢記錄
如要為 AWS Aurora PostgreSQL 和 PostgreSQL 指定記錄檔匯出作業，請選取「PostgreSQL log」(PostgreSQL 記錄檔)。
如要指定 AWS Microsoft SQL 伺服器的記錄檔匯出作業，請選取下列記錄檔類型：
- 代理程式記錄
- 錯誤記錄
儲存記錄設定。
選取「CloudWatch」>「Logs」，即可查看收集到的記錄。透過執行個體提供記錄後，系統會自動建立記錄群組。

如要將記錄發布至 CloudWatch，請設定 IAM 使用者和 KMS 金鑰政策。詳情請參閱「IAM 使用者和 KMS 金鑰政策」。

根據服務和區域，參閱下列 AWS 說明文件，找出連線端點：

如需引擎專屬資訊，請參閱下列說明文件：

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給，請參閱「依產品設定動態饋給」。

這個剖析器會從 AWS RDS 系統記錄訊息中擷取欄位，主要著重於時間戳記、說明和用戶端 IP。它會使用 grok 模式識別這些欄位，並填入對應的 UDM 欄位，根據用戶端 IP 的存在與否，將事件分類為 GENERIC_EVENT 或 STATUS_UPDATE。

記錄欄位	UDM 對應	邏輯
`client_ip`	`principal.ip`	使用規則運算式 `\\[CLIENT: %{IP:client_ip}\\]` 從原始記錄訊息中擷取。
`create_time.nanos`	不適用	未對應至 IDM 物件。
`create_time.seconds`	不適用	未對應至 IDM 物件。
	`metadata.description`	使用 grok 模式從記錄中擷取的說明訊息。從「`create_time.nanos`」複製的項目。從「`create_time.seconds`」複製的項目。預設為「GENERIC_EVENT」。如果存在 `client_ip`，則變更為「STATUS_UPDATE」。剖析器設定的靜態值「AWS_RDS」。剖析器設定的靜態值「AWS_RDS」。
`pid`	`principal.process.pid`	使用規則運算式 `process ID of %{INT:pid}` 從 `descrip` 欄位擷取。