Datadog으로 Teleport 감사 이벤트 내보내기

Teleport Event Handler 플러그인과 Fluentd를 구성하여 감사 로그를 Datadog으로 전송하는 방법

작동 방식

사전 요구사항

1단계/6. Event Handler 플러그인 설치

2단계/6. 플러그인 구성 생성

3단계/6. 감사 이벤트 읽기를 위한 사용자 및 역할 생성

4단계/6. teleport-event-handler 자격 증명 생성

Event Handler 역할에 대한 자격 증명 발급 활성화

Event Handler 플러그인 사용자의 아이덴티티 파일 내보내기

5단계/6. Datadog용 Fluentd 출력 플러그인 설치

Using Gem

Using td-agent

Fluentd 구성

6단계/6. Teleport Event Handler 플러그인 실행

Event Handler 구성

Teleport Event Handler 시작

연결 문제 해결

Datadog은 SaaS 모니터링 및 보안 플랫폼입니다. 이 가이드에서는 Fluentd를 사용하여 Teleport 감사 이벤트를 Datadog으로 전달하는 방법을 설명합니다. 작동 방식 # Teleport Event Handler는 Teleport Auth Service에 인증하여 gRPC 스트림을 통해 감사 이벤트를 수신한 후, 상호 TLS를 통해 설정된 보안 채널을 통해 해당 이벤트를 JSON 페이로드로 Fluentd에 전송합니다: Datadog 에이전트는 원격 소스에서 로그를 TCP 또는 UDP 연결 을 통해 JSON 인코딩된 바이트로만 수신할 수 있으므로, Teleport Event Handler는 Datadog 에이전트를 사용하지 않고 HTTPS 페이로드를 전송해야 합니다. Fluentd는 Datadog API에 대한 인증을 처리합니다. 사전 요구사항 # Datadog 계정. Event Handler를 실행할 서버, 가상 머신, Kubernetes 클러스터 또는 Docker 환경. 아래 지침은 테스트용 로컬 Docker 컨테이너를 가정합니다. Fluentd 버전 v [fluentd.version] 이상. Teleport Event Handler는 기존 Fluentd 시스템에 통합하거나 새로운 설정과 함께 사용할 수 있는 새 fluent.conf 파일을 생성합니다. 아래 지침은 워크스테이션에서 Event Handler 플러그인을 로컬로 테스트하는 방법을 보여줍니다. 다른 환경에서는 경로, 포트 및 도메인을 조정해야 합니다. 1단계/6. Event Handler 플러그인 설치 # Teleport Event Handler는 Fluentd 포워더와 함께 실행되며, Teleport의 이벤트 API에서 이벤트를 받아 Fluentd로 전달합니다. 2단계/6. 플러그인 구성 생성 # Teleport Event Handler 플러그인에 대한 플레이스홀더 값이 있는 구성 파일을 생성합니다. 3단계/6. 감사 이벤트 읽기를 위한 사용자 및 역할 생성 # 4단계/6. teleport-event-handler 자격 증명 생성 # Teleport Event Handler는 Teleport Auth Service에 인증하기 위한 자격 증명이 필요합니다. 이 섹션에서는 Event Handler가 이 자격 증명에 접근할 수 있도록 합니다. Event Handler 역할에 대한 자격 증명 발급 활성화 # Machine & Workload Identity 방식 또는 장기 아이덴티티 파일 방식 을 사용하여 자격 증명 발급을 활성화합니다. Event Handler 플러그인 사용자의 아이덴티티 파일 내보내기 # 플러그인에 Teleport 아이덴티티 파일 접근 권한을 부여합니다. 유출 시 위험성이 낮은 단기 아이덴티티 파일을 생성하기 위해 Machine ID 사용을 권장하지만, 데모 배포에서는 tctl 로 장기 아이덴티티 파일을 생성할 수 있습니다. 5단계/6. Datadog용 Fluentd 출력 플러그인 설치 # Fluentd가 Datadog과 통신하려면 F