Datadog으로 Teleport 감사 이벤트 내보내기

Teleport Event Handler 플러그인과 Fluentd를 구성하여 감사 이벤트 로그를 Datadog으로 전송하는 방법

Teleport의 Event Handler 플러그인은 Teleport Auth Service에서 감사 이벤트를 받아 로그 관리 솔루션으로 전달하여, 과거 분석, 비정상적인 동작 감지, 사용자가 Teleport 클러스터와 상호작용하는 방식에 대한 더 나은 이해를 가능하게 합니다. Datadog은 SaaS 모니터링 및 보안 플랫폼입니다. 이 가이드에서는 Fluentd를 사용하여 Teleport 감사 이벤트를 Datadog으로 전달하는 방법을 설명합니다. 작동 방식 # Teleport Event Handler는 Teleport Auth Service에 인증하여 gRPC 스트림을 통해 감사 이벤트를 수신한 후, 상호 TLS를 통해 설정된 보안 채널을 통해 해당 이벤트를 JSON 페이로드로 Fluentd에 전송합니다: Datadog 에이전트는 원격 소스에서 로그를 TCP 또는 UDP 연결 을 통해 JSON 인코딩된 바이트로만 수신할 수 있으므로, Teleport Event Handler는 Datadog 에이전트를 사용하지 않고 HTTPS 페이로드를 전송해야 합니다. Fluentd는 Datadog API에 대한 인증을 처리합니다. 사전 요구사항 # Datadog 계정. Fluentd 버전 v [fluentd.version] 이상. Teleport Event Handler는 기존 Fluentd 시스템에 통합하거나 새로운 설정과 함께 사용할 수 있는 새 fluent.conf 파일을 생성합니다. Teleport Event Handler 플러그인을 실행할 서버, 가상 머신, Kubernetes 클러스터 또는 Docker 환경. 이 가이드는 Event Handler 설정 가이드 중 하나를 완료했다고 가정합니다: tctl로 Event Handler 설정 Teleport Kubernetes Operator로 Event Handler 설정 아래 지침은 워크스테이션에서 Event Handler 플러그인을 로컬로 테스트하는 방법을 보여줍니다. 다른 환경에서는 경로, 포트 및 도메인을 조정해야 합니다. 1/2단계. Datadog용 Fluentd 출력 플러그인 설치 # Fluentd가 Datadog과 통신하려면 Fluentd output plugin for Datadog 이 필요합니다. gem 또는 설치된 경우 td-agent 를 사용하여 Fluentd 호스트에 플러그인을 설치합니다: # Using Gem $ gem install fluent-plugin-datadog # Using td-agent $ /usr/sbin/td-agent-gem install fluent-plugin-datadog 로컬에서 테스트하는 경우? 테스트를 위해 로컬 Docker 컨테이너에서 Fluentd를 실행하는 경우, 진입점을 루트 사용자의 대화형 셸로 조정하여 Fluentd를 시작하기 전에 플러그인을 설치할 수 있습니다: $ docker run -u $(id -u root):$(id -g root) -p 8888:8888 -v $(pwd):/keys -v \ $(pwd)/fluent.co