View a markdown version of this page

Quellkonfiguration für Drupal Core - Amazon CloudWatch
Integration mit Drupal CoreAuthentifizierung mit Drupal CoreKonfiguration der Pipeline CloudWatchUnterstützte Open Cybersecurity Schema Framework-Eventklassen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Quellkonfiguration für Drupal Core

Integration mit Drupal Core

Drupal Core ist das grundlegende Open-Source-Framework für Webanwendungen, das auf PHP basiert und die Basisplattform für die Erstellung von Websites, Anwendungen und digitalen Erlebnissen bietet. CloudWatch Pipeline verwendet die benutzerdefinierte View-basierte REST-API, um Audit-Protokolldaten — einschließlich Inhaltsänderungen, Benutzerauthentifizierungsereignissen und administrativen Aktionen — von Ihrer Drupal Core-Website abzurufen. Die API ermöglicht den Zugriff auf zeitgefilterte Protokolldaten über REST-Endpunkte und ermöglicht so das Abrufen von Aktivitätsdatensätzen in einem konfigurierbaren Zeitfenster.

Authentifizierung mit Drupal Core

Um die Protokolle lesen zu können, muss sich die Pipeline bei Ihrer Drupal Core-Site authentifizieren. Das Plugin unterstützt die Standardauthentifizierung (HTTP Basic Auth mit einem Benutzernamen und einem Passwort).

Konfigurieren Sie die Standardauthentifizierung für Drupal Core

  • Loggen Sie sich in Ihre Drupal Core-Administrationsoberfläche ein und navigieren Sie zu Administration → Extend ()/admin/modules.

  • Aktivieren Sie die folgenden Module: RESTful Webdienste, Serialisierung, HTTP-Basisauthentifizierung und Views. Wählen Sie Installieren aus.

  • Installieren und aktivieren Sie das Admin Audit Trail-Modul über Composer (composer require drupal/admin_audit_trail) und führen Sie es ausdrush en admin_audit_trail -y && drush cr, um es zu aktivieren.

  • Navigieren Sie zu Struktur → Ansichten und erstellen Sie eine neue Ansicht mit dem NamenAudit Logs API. Stellen Sie Anzeigen auf einLog entries, aktivieren Sie die Option REST-Export bereitstellen und legen Sie den REST-Exportpfad auf fest/api/v1/audit-logs.

  • Fügen Sie im View-Editor zwei sichtbare Watchdog: Timestamp-Filter hinzu — einen mit Operator is greater than or equal to - und Filter-ID starttime und einen weiteren mit Operator- is less than und Filter-ID. endtime

  • Wählen Sie in der Ansicht im Bereich REST-EXPORTEINSTELLUNGEN die Option Authentifizierung aus und aktivieren Sie sie. basic_auth

  • Navigieren Sie zu Personen → Berechtigungen und gewähren Sie den Rollen, die API-Zugriff benötigen, die Berechtigungen Access-Admin-Audit-Trail und REST-Ressourcenkonfiguration verwalten. Speichern Sie die Ansicht.

  • Erstellen Sie in AWS Secrets Manager ein Geheimnis und speichern Sie den Drupal Core-Benutzernamen unter dem Schlüssel username und das Kontopasswort unter dem Schlüsselpassword.

Konfiguration der Pipeline CloudWatch

Um die Pipeline für das Lesen von Protokollen zu konfigurieren, wählen Sie Drupal Core als Datenquelle. Geben Sie die erforderlichen Informationen ein:

  • Domain — Die Basis-URL Ihrer Drupal Core-Site (zum Beispielhttps://your-drupal-site.example.com).

  • API-Endpunkt — Der Pfad zum View-REST-Export-Endpunkt (z. B./api/v1/audit-logs). Muss mit beginnen/.

  • Bereich — Geben Sie die Lookback-Dauer im Format ISO 8601 an (z. B. PT21H für die letzten 21 Stunden, P7D für die letzten 7 Tage). Die Standardeinstellung ist 0 Stunden und das Maximum ist 90 Tage.

Sobald Sie die Pipeline erstellt haben, sind Daten in der ausgewählten Protokollgruppe CloudWatch Logs verfügbar.

Unterstützte Open Cybersecurity Schema Framework-Eventklassen

Diese Integration unterstützt die OCSF-Schemaversion v1.5.0 und transformiert Ereignisse, die Authentication (3002), Entity Management (3004), HTTP Activity (4002) und Application Lifecycle (6002) zugeordnet sind. Ereignisse, die nicht aufgeführt sind, sind nicht OCSF zugeordnet und werden als Rohprotokolle an die Senke weitergeleitet.

Die Authentifizierung umfasst die folgenden Ereignistypen:

  • user — Ereignisse im Zusammenhang mit Anmeldung und Authentifizierung

Entity Management enthält die folgenden Ereignistypen:

  • user — Erstellung und Löschung von Benutzern

  • Inhalt

  • Kommentar

Die HTTP-Aktivität umfasst die folgenden Ereignistypen:

  • Zugriff verweigert

  • Seite wurde nicht gefunden

  • php

  • neue benutzerdefinierte Typen

Der Anwendungslebenszyklus umfasst die folgenden Ereignistypen:

  • system

  • Cron