SQS キューと S3 バケットを使用した Amazon AWS Route 53 ログ・ソースの構成

複数のアカウントまたはリージョンから 1 つの Amazon S3 バケットに AWS Route 53 Resolver クエリー・ログを収集できます。 Amazon AWS Route 53 が Amazon AWS S3 REST API プロトコルおよび Simple Queue Service (SQS) キューを使用して QRadar と通信できるように、 QRadar Console でログ・ソースを構成します。

このタスクについて

ディレクトリー接頭部ではなく、Amazon AWS S3 REST API プロトコルと Simple Queue Service (SQS) キューを使用すると、以下のような利点があります。
  • リージョンとアカウントごとに 1 つのログ・ソースではなく、S3 バケットに 1 つのログ・ソースを使用できます。
  • この方法は、ObjectCreated 通知を使用して新しいファイルの準備ができているかを判断するため、ファイルが失われる可能性が低くなります。
  • SQS キューは複数のクライアントからの接続をサポートするため、複数の Event Collectors 間で負荷のバランスを取るのは簡単です。
  • ディレクトリー接頭部方式とは異なり、SQS キュー方式では、フォルダー内のファイル名は絶対パスに基づいて昇順でソートされたストリングである必要はありません。 カスタム・アプリケーションからのファイル名は、常にこの方式に準拠しているとは限りません。
  • SQS キューをモニターし、レコードが特定の数を超えた場合には、アラートをセットアップできます。 これらのアラートは、 QRadar がイベントの収集に遅れているかどうかに関する情報を提供します。
  • SQS を使用した IAM ロール認証を使用することができます。これは、Amazon のセキュリティーのベスト・プラクティスです。
  • 証明書の処理は SQS 方式で改善されており、 Event Collectorへの証明書のダウンロードは必要ありません。

手順

  1. リゾルバー照会ロギングを構成します。 この手順のステップ 5 で、クエリー・ログの宛先として「S3 bucket」を選択します。
  2. ObjectCreated 通知を受信するために使用される SQS キューを作成します。
  3. Amazon AWS Identity and Access Management (IAM) ユーザーを作成し、 AmazonS3ReadOnlyAccess ポリシーを適用します。
  4. AWS ユーザー・アカウント用のセキュリティー資格情報を構成します。
  5. Amazon AWS S3 SWS キュー使用時の Amazon AWS Route 53 の REST API ログ・ソース・パラメーター