Teleport 감사 이벤트를 Elastic Stack으로 내보내기

Teleport의 Event Handler 플러그인을 구성하여 감사 이벤트 로그를 Elastic Stack으로 전송하는 방법

작동 방식

사전 요구사항

1/3단계. Logstash 파이프라인 구성

Event Handler 플러그인을 위한 역할 생성

Event Handler를 위한 Elasticsearch 사용자 생성

Logstash를 위한 TLS 자격 증명 준비

인덱스 템플릿 정의

Logstash 파이프라인 정의

파이프라인에 대한 Elastic Common Schema 비활성화

Logstash 파이프라인 실행

문제 진단

Elasticsearch TLS 비활성화

2/3단계. Event Handler 플러그인 실행

Event Handler 구성

concurrency is the number of concurrent sessions to process. By default, this is set to 5.

The window size configures the duration of the time window for the event handler

to request events from Teleport. By default, this is set to 24 hours.

Reduce the window size if the events backend cannot manage the event volume

for the default window size.

The window size should be specified as a duration string, parsed by Go's time.ParseDuration.

types is a comma-separated list of event types to search when forwarding audit

events. For example, to limit forwarded events to user logins

and new Access Requests, you can assign this field to

"user.login,access_request.create".

skip-event-types is a comma-separated list of audit log event types to skip.

For example, to forward all audit events except for new app deletion events,

you can include the following assignment:

skip-event-types = ["app.delete"]

skip-session-types is a comma-separated list of session recording event types to skip.

For example, to forward all session events except for malformed SQL packet

events, you can include the following assignment:

skip-session-types = ["db.session.malformed_packet"]

Event Handler 시작

3/3단계. Kibana에서 데이터 뷰 생성

연결 문제 해결

다음 단계

Teleport의 Event Handler 플러그인은 Teleport Auth Service에서 감사 이벤트를 수신하여 로그 관리 솔루션으로 전달하므로, 기록 분석, 비정상적인 동작 감지, Teleport 클러스터와 사용자가 상호 작용하는 방식에 대한 더 나은 이해를 얻을 수 있습니다. 이 가이드에서는 Teleport 감사 이벤트를 Elastic Stack으로 전송하도록 Teleport의 Event Handler 플러그인을 구성하는 방법을 보여줍니다. 작동 방식 # Teleport Event Handler는 Teleport Auth Service에 인증하여 gRPC 스트림을 통해 감사 이벤트를 수신한 후, 해당 이벤트를 Logstash로 전송합니다. Logstash는 Kibana에서 시각화 및 알림을 위해 Elasticsearch에 저장합니다. 사전 요구사항 # Linux 호스트에서 실행되는 Logstash 버전 8.4.1 이상. 이 가이드에서는 이 호스트에서 Event Handler 플러그인도 실행합니다. Elastic Cloud 계정 또는 자체 인프라에서 실행되는 Elasticsearch 및 Kibana 버전 8.4.1 이상. Elasticsearch에서 사용자를 생성하고 관리할 권한이 필요합니다. 이 가이드는 Elastic Stack 버전 8.4.1에서 테스트되었습니다. Teleport Event Handler 플러그인을 실행할 서버, 가상 머신, Kubernetes 클러스터 또는 Docker 환경. 이 가이드는 Event Handler 설정 가이드 중 하나를 완료했다고 가정합니다: tctl로 Event Handler 설정 Teleport Kubernetes Operator로 Event Handler 설정 아래 지침은 워크스테이션에서 Event Handler 플러그인을 로컬로 테스트하는 방법을 보여줍니다. 다른 환경에서는 경로, 포트 및 도메인을 조정해야 합니다. 1/3단계. Logstash 파이프라인 구성 # Event Handler 플러그인은 사용자 구성 엔드포인트로 HTTP 요청을 전송하여 Teleport에서 감사 로그를 전달합니다. 이러한 요청을 처리하고, 로그를 추출하고, Elasticsearch로 전송하는 Logstash 파이프라인을 정의합니다. Event Handler 플러그인을 위한 역할 생성 # Logstash 파이프라인은 Elasticsearch 인덱스 및 인덱스 수명 주기 관리 정책을 생성 및 관리하는 권한과 Elasticsearch 배포 정보를 가져오는 권한이 필요합니다. Event Handler를 위해 생성할 Elasticsearch 사용자에게 나중에 할당할 수 있도록 이러한 권한이 있는 역할을 만듭니다. Kibana에서 "Management" > "Roles"로 이동하여 "Create role"을 클릭합니다. 새 역할의 이름으로 teleport-plugin 을 입력합니다. "Elasticsearch" 섹션의 "Cluster privileges" 아래에서 manage_index_templates , manag