收集 AWS RDS 記錄

支援的國家/地區:

本文說明如何設定 Google SecOps 資訊動態,以收集 AWS RDS 記錄。

詳情請參閱「將資料擷取至 Google SecOps」。

擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 AWS_RDS 攝入標籤的剖析器。

事前準備

請確認您已完成下列事前準備事項:

  • 可登入的 AWS 帳戶

  • 全域管理員或 RDS 管理員

如何設定 AWS RDS

  1. 使用現有資料庫或建立新資料庫:
    • 如要使用現有資料庫,請選取資料庫,按一下「修改」,然後選取「記錄匯出」
    • 如要使用新資料庫,請在建立資料庫時選取「其他設定」
  2. 如要發布至 Amazon CloudWatch,請選取下列記錄類型:
    • 稽核記錄
    • 錯誤記錄
    • 一般記錄
    • 慢速查詢記錄
  3. 如要為 AWS Aurora PostgreSQL 和 PostgreSQL 指定記錄檔匯出作業,請選取「PostgreSQL log」(PostgreSQL 記錄檔)
  4. 如要指定 AWS Microsoft SQL 伺服器的記錄檔匯出作業,請選取下列記錄檔類型:
    • 代理程式記錄
    • 錯誤記錄
  5. 儲存記錄設定。
  6. 選取「CloudWatch」>「Logs」,即可查看收集到的記錄。透過執行個體提供記錄後,系統會自動建立記錄群組。

如要將記錄發布至 CloudWatch,請設定 IAM 使用者和 KMS 金鑰政策。詳情請參閱「IAM 使用者和 KMS 金鑰政策」。

根據服務和區域,參閱下列 AWS 說明文件,找出連線端點:

如需引擎專屬資訊,請參閱下列說明文件:

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 依序點選「SIEM 設定」>「動態饋給」>「新增」
  • 依序點選「內容中心」「內容包」「開始使用」

如何設定 AWS RDS 動態饋給

  1. 按一下「Amazon Cloud Platform」套件。
  2. 找出 AWS RDS 記錄類型。
  3. Google SecOps 支援使用存取金鑰 ID 和私密方法收集記錄檔。如要建立存取金鑰 ID 和密鑰,請參閱「使用 AWS 設定工具驗證」。
  4. 在下列欄位中指定值。

    • 來源類型:Amazon SQS V2
    • 佇列名稱:要從中讀取的 SQS 佇列名稱
    • S3 URI:bucket URI。
      • s3://your-log-bucket-name/
        • 請將 your-log-bucket-name 替換為 S3 值區的實際名稱。
    • 來源刪除選項:根據擷取偏好設定選取刪除選項。

    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。

    • SQS 佇列存取金鑰 ID:帳戶存取金鑰,為 20 個字元的英數字串。

    • SQS 佇列存取密鑰:帳戶存取金鑰,為 40 個字元的英數字串。

    進階選項

    • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
    • 資產命名空間:與動態饋給相關聯的命名空間。
    • 擷取標籤:套用至這個動態饋給所有事件的標籤。
  5. 點選「建立動態饋給」

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

欄位對應參考資料

這個剖析器會從 AWS RDS 系統記錄訊息中擷取欄位,主要著重於時間戳記、說明和用戶端 IP。它會使用 grok 模式識別這些欄位,並填入對應的 UDM 欄位,根據用戶端 IP 的存在與否,將事件分類為 GENERIC_EVENTSTATUS_UPDATE

UDM 對應表

記錄欄位 UDM 對應 邏輯
client_ip principal.ip 使用規則運算式 \\[CLIENT: %{IP:client_ip}\\] 從原始記錄訊息中擷取。
create_time.nanos 不適用 未對應至 IDM 物件。
create_time.seconds 不適用 未對應至 IDM 物件。
metadata.description 使用 grok 模式從記錄中擷取的說明訊息。從「create_time.nanos」複製的項目。從「create_time.seconds」複製的項目。預設為「GENERIC_EVENT」。如果存在 client_ip,則變更為「STATUS_UPDATE」。剖析器設定的靜態值「AWS_RDS」。剖析器設定的靜態值「AWS_RDS」。
pid principal.process.pid 使用規則運算式 process ID of %{INT:pid}descrip 欄位擷取。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。