Splunk으로 Teleport 감사 이벤트 내보내기

Teleport Event Handler 플러그인을 구성하여 감사 이벤트를 Splunk로 전송하는 방법

작동 방식

사전 요구사항

1단계/5. Event Handler 플러그인 설정

Event Handler 플러그인 설치

시작 구성 파일 생성

RBAC 리소스 정의

Event Handler 역할에 대한 자격 증명 발급 활성화

플러그인 아이덴티티 내보내기

2단계/5. Splunk 구성

Teleport 감사 이벤트를 위한 인덱스 생성

[선택 사항] Teleport 감사 이벤트를 위한 소스 유형 생성

HTTP Event Collector 토큰 생성

3단계/5. Fluentd를 Splunk HTTP Event Collector에 연결

4단계/5. Teleport Event Handler 플러그인 실행

Teleport Event Handler 구성

Teleport Event Handler 시작

5단계/5. Splunk에서 감사 이벤트 시각화

연결 문제 해결

다음 단계

Teleport의 Event Handler 플러그인은 Teleport Auth Service에서 감사 이벤트를 수신하여 로그 관리 솔루션으로 전달하므로, 기록 분석, 비정상적인 동작 감지, Teleport 클러스터와 사용자가 상호 작용하는 방식에 대한 더 나은 이해를 얻을 수 있습니다. 이 가이드에서는 Teleport 감사 이벤트를 Splunk로 전송하도록 Teleport Event Handler 플러그인을 구성하는 방법을 보여줍니다. 작동 방식 # 이 설정에서 Teleport Event Handler 플러그인은 gRPC 채널을 통해 Teleport Auth Service에서 감사 이벤트를 수신하여 HTTP 요청으로 로컬 Fluentd 인스턴스에 전송합니다. Fluentd 인스턴스는 이 요청을 Splunk HTTP Event Collector(HEC)로 전달하고, HEC는 시각화 및 알림을 위해 이를 Splunk Cloud Platform 또는 Splunk Enterprise로 전송합니다. 사전 요구사항 # Splunk Cloud Platform 또는 Splunk Enterprise v9.0.1 이상. Fluentd 버전 v1.12.4 이상. Teleport Event Handler는 기존 Fluentd 시스템에 통합하거나 새로운 설정과 함께 사용할 수 있는 새 fluent.conf 파일을 생성합니다. Teleport Event Handler 플러그인을 실행할 서버, 가상 머신, Kubernetes 클러스터 또는 Docker 환경. Splunk Enterprise에서 포트 8088 은 Teleport Event Handler와 Fluentd 인스턴스를 실행하는 호스트의 트래픽에 열려 있어야 합니다. 1단계/5. Event Handler 플러그인 설정 # Event Handler 플러그인은 Teleport 클러스터와 독립적으로 실행되는 바이너리입니다. 상호 TLS를 사용하여 Teleport 클러스터와 Fluentd 인스턴스에 인증합니다. 이 섹션에서는 Teleport Event Handler 플러그인을 설치하고 플러그인이 인증에 사용할 자격 증명을 생성합니다. Event Handler 플러그인 설치 # 환경에 맞는 지침에 따라 Teleport Event Handler 플러그인을 설치합니다. 시작 구성 파일 생성 # Teleport Event Handler 플러그인에 대한 플레이스홀더 값이 있는 구성 파일을 생성합니다. 이 가이드의 뒷부분에서 환경에 맞게 구성 파일을 편집합니다. RBAC 리소스 정의 # Event Handler 역할에 대한 자격 증명 발급 활성화 # Machine & Workload Identity 방식 또는 장기 아이덴티티 파일 방식 을 사용하여 자격 증명 발급을 활성화합니다. 플러그인 아이덴티티 내보내기 # 플러그인에 Teleport 아이덴티티 파일 접근 권한을 부여합니다. 유출 시 위험성이 낮은 단기 아이덴티티 파일을 생성하기 위해 Machine ID 사용을 권장하지만, 데모 배포에서는 tctl 로 장기 아이