Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de AWS RDS

Se admite en los siguientes países:

Google SecOps SIEM

En este documento, se describe cómo puedes recopilar registros de AWS RDS configurando un feed de Google SecOps.

Para obtener más información, consulta Transferencia de datos a Google SecOps.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia AWS_RDS.

Antes de comenzar

Para completar las tareas de esta página, asegúrate de tener lo siguiente:

Una cuenta de AWS a la que puedas acceder.
Un administrador global o de RDS

Configura AWS RDS

Usa una base de datos existente o crea una nueva:
- Para usar una base de datos existente, selecciónala, haz clic en Modificar y, luego, en Registrar exportaciones.
- Para usar una base de datos nueva, selecciona Configuración adicional cuando la crees.
Para publicar en Amazon CloudWatch, selecciona los siguientes tipos de registros:
- Registro de auditoría
- Registro de errores
- Registro general
- Registro de consultas lentas
Para especificar la exportación de registros de AWS Aurora PostgreSQL y PostgreSQL, selecciona Registro de PostgreSQL.
Para especificar la exportación de registros para el servidor Microsoft SQL de AWS, selecciona los siguientes tipos de registros:
- Registro del agente
- Registro de errores
Guarda la configuración del registro.
Selecciona CloudWatch > Registros para ver los registros recopilados. Los grupos de registros se crean automáticamente después de que los registros están disponibles a través de la instancia.

Para publicar los registros en CloudWatch, configura las políticas de claves de IAM y de usuarios de KMS. Para obtener más información, consulta Políticas de claves de IAM y usuarios de KMS.

Según el servicio y la región, identifica los extremos de conectividad consultando la siguiente documentación de AWS:

Para obtener información sobre las fuentes de registro, consulta Extremos y cuotas de Identity and Access Management de AWS.
Para obtener información sobre las fuentes de registro de CloudWatch, consulta Cuotas y extremos de los registros de CloudWatch.

Para obtener información específica del motor, consulta la siguiente documentación:

Configura un feed en Google SecOps para transferir registros de AWS RDS

Selecciona Configuración de SIEM > Feeds.
Haz clic en Agregar nueva.
Ingresa un nombre único para el Nombre del feed.
Selecciona Amazon S3 o Amazon SQS como Tipo de fuente.
Selecciona AWS RDS como el Tipo de registro.
Haz clic en Siguiente.
Google SecOps admite la recopilación de registros con un ID de clave de acceso y un método secreto. Para crear el ID de clave de acceso y el secreto, consulta Cómo configurar la autenticación de herramientas con AWS.
Según la configuración de AWS RDS que creaste, especifica valores para los parámetros de entrada:
- Si usas Amazon S3, especifica valores para los siguientes campos obligatorios:
  - Región
  - URI de S3
  - Un URI es un
  - Opción de eliminación de fuentes
- Si usas Amazon SQS, especifica valores para los siguientes campos obligatorios:
  - Región
  - Nombre de la cola
  - Número de cuenta
  - ID de clave de acceso de la cola
  - Coloca en cola la clave de acceso secreta
  - Opción de eliminación de fuentes
Haz clic en Siguiente y, luego, en Enviar.

Para obtener más información sobre los feeds de SecOps de Google, consulta Crea y administra feeds con la IU de administración de feeds. Para obtener información sobre los requisitos de cada tipo de feed, consulta la API de administración de feeds.

Si tienes problemas cuando creas feeds, comunícate con el equipo de asistencia de SecOps de Google.

Referencia de la asignación de campos

Este analizador extrae campos de los mensajes de syslog de AWS RDS, enfocándose principalmente en la marca de tiempo, la descripción y la IP del cliente. Usa patrones de grok para identificar estos campos y propaga los campos de la UDM correspondientes, clasificando los eventos como GENERIC_EVENT o STATUS_UPDATE según la presencia de una IP de cliente.

Tabla de asignación de la UDM

Campo de registro	Asignación de UDM	Lógica
`client_ip`	`principal.ip`	Se extrae del mensaje de registro sin procesar con la expresión regular `\\[CLIENT: %{IP:client_ip}\\]`.
`create_time.nanos`	N/A	No está asignado al objeto IDM.
`create_time.seconds`	N/A	No está asignado al objeto IDM.
	`metadata.description`	El mensaje descriptivo del registro, extraído con patrones de grok Se copió desde `create_time.nanos`. Se copió desde `create_time.seconds`. Se establece en "GENERIC_EVENT" de forma predeterminada. Se cambió a "STATUS_UPDATE" si `client_ip` está presente. Valor estático "AWS_RDS", establecido por el analizador. Es el valor estático "AWS_RDS", que establece el analizador.
`pid`	`principal.process.pid`	Se extrae del campo `descrip` con la expresión regular `process ID of %{INT:pid}`.

Cambios

2023-04-24

Sin embargo, el analizador se creó recientemente.