Drupal Core 的来源配置
与 Drupal Core 集成
Drupal Core 是基于 PHP 构建的基础开源 Web 应用程序框架,为构建网站、应用程序和数字体验提供了基础平台。CloudWatch 管道使用基于视图的自定义 REST API,从 Drupal Core 站点检索审核日志数据,包括内容更改、用户身份验证事件和管理操作。该 API 允许通过 REST 端点访问经过时间筛选的日志数据,从而支持检索可配置时段内的活动记录。
使用 Drupal Core 进行身份验证
要读取日志,该管道需要通过 Drupal Core 站点进行身份验证。该插件支持基本身份验证(使用用户名和密码进行 HTTP 基本身份验证)。
为 Drupal Core 配置基本身份验证
登录您的 Drupal Core 管理界面,然后导航到“管理”→“扩展 (
/admin/modules)”。启用以下模块:RESTful Web 服务、序列化、HTTP 基本身份验证和视图。选择安装。
通过编辑器 (
composer require drupal/admin_audit_trail) 安装并启用管理员审计跟踪记录模块,然后运行drush en admin_audit_trail -y && drush cr将其激活。导航到“结构”→“视图”,然后创建名为
Audit Logs API的新视图。将“显示”设置为Log entries,启用“提供 REST 导出”,并将 REST 导出路径设置为/api/v1/audit-logs。在“视图”编辑器中,添加两个公开的监视程序:时间戳筛选器 – 一个带有运算符
is greater than or equal to和筛选器标识符starttime;另一个带有运算符is less than和筛选器标识符endtime。在视图的“REST 导出设置”部分中,选择“身份验证”并启用
basic_auth。导航到“人员”→“权限”,向需要 API 访问权限的角色授予“访问管理员审计跟踪记录”和“管理员 REST 资源配置”权限。保存视图。
在 AWS Secrets Manager 中,创建一个密钥并将 Drupal Core 用户名存储在
username键下,将账户密码存储在password键下。
配置 CloudWatch 管道
要将管道配置为读取日志,请选择 Drupal Core 作为数据来源。填写所需的信息:
域名:Drupal Core 站点的基本 URL(例如
https://your-drupal-site.example.com)。API 端点:视图 REST 导出端点的路径(例如
/api/v1/audit-logs)。必须以/开头。范围:以 ISO 8601 格式指定回顾持续时间(例如,过去 21 小时为
PT21H,过去 7 天为P7D)。默认值为 0 小时,最大值为 90 天。
创建管道后,数据将在选定的 CloudWatch Logs 日志组中可用。
支持的开放式网络安全架构框架事件类
此集成支持 OCSF 架构版本 1.5.0,并会转换映射到“身份验证”(3002)、“实体管理”(3004)、“HTTP 活动”(4002)和“应用程序生命周期”(6002)的事件。未列出的事件不会映射到 OCSF,并将作为原始日志转发到接收器。
身份验证包含以下事件类型:
用户:与登录和身份验证相关的事件
实体管理包含以下事件类型:
用户:用户创建和删除
content
comment
HTTP 活动包含以下事件类型:
访问被拒绝
未找到页面
php
新的自定义类型
应用程序生命周期包含以下事件类型:
系统
cron
