감사 이벤트 및 레코드

Teleport 감사 이벤트 및 세션 레코드 참조

Teleport는 감사 로그에 다양한 이벤트를 기록하여 클러스터 활동을 로깅합니다. 감사 로그는 두 가지 구성 요소로 이루어져 있습니다: Self-Hosted Cloud-Hosted 클러스터 이벤트: Teleport는 원격 IP 주소, 시간, 세션 ID 등의 메타데이터와 함께 성공적인 사용자 로그인과 같은 이벤트를 기록합니다. 녹화된 세션: 모든 SSH, 데스크톱 또는 Kubernetes 셸 세션이 녹화되며 나중에 재생할 수 있습니다. 기본적으로 녹화는 Teleport 노드에 의해 수행되지만, 프록시에서 수행하도록 구성할 수도 있습니다. 클러스터 이벤트: Teleport는 원격 IP 주소, 시간, 세션 ID 등의 메타데이터와 함께 성공적인 사용자 로그인과 같은 이벤트를 기록합니다. 녹화된 세션: 모든 SSH, 데스크톱 또는 Kubernetes 셸 세션이 녹화되며 나중에 재생할 수 있습니다. Teleport Cloud가 세션 녹화 데이터의 저장을 관리합니다. Tip BPF를 사용한 향상된 세션 녹화 를 사용하면 고급 보안 기능을 갖춘 더욱 포괄적인 감사 로그를 얻을 수 있습니다. 이벤트 # Self-Hosted Cloud-Hosted Teleport는 감사 이벤트를 저장하기 위한 여러 스토리지 백엔드를 지원합니다. dir 백엔드는 Auth Service 호스트의 로컬 파일 시스템을 사용합니다. 이 백엔드를 사용할 경우, 이벤트는 JSON 형식으로 파일 시스템에 기록됩니다. dir 백엔드는 약 24시간마다 이벤트 파일을 순환하지만, 캡처된 이벤트는 삭제하지 않습니다. 고가용성 구성의 경우, SSH 이벤트 및 녹화된 세션을 네트워크 스토리지에 저장하는 방법에 대한 정보는 Athena , DynamoDB 또는 Firestore 챕터를 참조하세요. 이러한 백엔드를 사용하면 감사 이벤트가 결국 만료되어 로그에서 제거됩니다. 기본 보존 기간은 1년이지만, retention_period 구성 매개변수를 사용하여 재정의할 수 있습니다. 감사 로그를 여러 위치에 동시에 저장하는 것도 가능합니다. 감사 로그 구성 방법에 대한 자세한 내용은 Teleport 구성 참조 의 예제 구성 파일에서 storage 섹션을 참조하세요. dir 백엔드를 사용하여 Teleport 감사 로그를 살펴보겠습니다. Teleport Auth Service 인스턴스는 서비스의 UUID를 기반으로 이름이 지정된 Teleport의 구성된 데이터 디렉토리의 하위 디렉토리에 로그를 기록합니다. 각 날은 하나의 파일로 표현됩니다: $ ls -l /var/lib/teleport/log/bbdfe5be-fb97-43af-bf3b-29ef2e302941 # total 104 # -rw-r----- 1 root root 31638 Jan 22 20:00 2022-01-23.00:00:00.log # -rw-r----- 1 root root 91256 Jan 31 21:00 2022-02-01.00:00:00.log # -rw-r----- 1 root root 15815 Feb 32 22:54 2022