Teleport 감사 이벤트를 Elastic Stack으로 내보내기

Teleport의 Event Handler 플러그인을 구성하여 감사 이벤트를 Elastic Stack으로 전송하는 방법

Teleport의 Event Handler 플러그인은 Teleport Auth Service에서 감사 이벤트를 수신하여 로그 관리 솔루션으로 전달하므로, 기록 분석, 비정상적인 동작 감지, Teleport 클러스터와 사용자가 상호 작용하는 방식에 대한 더 나은 이해를 얻을 수 있습니다. 이 가이드에서는 Teleport 감사 이벤트를 Elastic Stack으로 전송하도록 Teleport의 Event Handler 플러그인을 구성하는 방법을 보여줍니다. 작동 방식 # 이 설정에서 Event Handler 플러그인은 Teleport에서 Logstash로 감사 이벤트를 전달하며, Logstash는 Kibana에서 시각화 및 알림을 위해 Elasticsearch에 저장합니다. 사전 요구사항 # Linux 호스트에서 실행되는 Logstash 버전 8.4.1 이상. 이 가이드에서는 이 호스트에서 Event Handler 플러그인도 실행합니다. Elastic Cloud 계정 또는 자체 인프라에서 실행되는 Elasticsearch 및 Kibana 버전 8.4.1 이상. Elasticsearch에서 사용자를 생성하고 관리할 권한이 필요합니다. 이 가이드는 Elastic Stack 버전 8.4.1에서 테스트되었습니다. 1단계/4. Event Handler 플러그인 설정 # Event Handler 플러그인은 Teleport 클러스터와 독립적으로 실행되는 바이너리입니다. 상호 TLS를 사용하여 Teleport 클러스터와 Logstash에 인증합니다. 이 섹션에서는 Logstash를 실행하는 Linux 호스트에 Event Handler 플러그인을 설치하고 플러그인이 인증에 사용할 자격 증명을 생성합니다. Event Handler 플러그인 설치 # 환경에 맞는 지침에 따라 Logstash 호스트에 Event Handler 플러그인을 설치합니다. 시작 구성 파일 생성 # Teleport Event Handler 플러그인에 대한 플레이스홀더 값이 있는 구성 파일을 생성합니다. 이 가이드의 뒷부분에서 환경에 맞게 구성 파일을 편집합니다. Fluentd용으로 생성된 파일을 Logstash 구성에서 재사용합니다. RBAC 리소스 정의 # Logstash 호스트에서 tctl을 사용하는 경우? 예를 들어 Teleport Application Service를 통해 Kibana의 HTTP 엔드포인트를 노출하는 경우처럼 Elastic Stack 호스트에서 Teleport를 실행하는 경우, 위의 tctl create 명령을 실행하면 다음과 유사한 오류가 생성됩니다: ERROR: tctl must be either used on the auth server or provided with the identity file via --identity flag 이 오류를 피하려면 워크스테이션에서 teleport-event-handler-role.yaml 파일을 생성한 다음 Teleport 클러스터에 로그인하여 로컬에서 tctl 명령을 실행합니다. Event Handler 역할에 대한 자격