Fluentd로 Teleport 감사 이벤트 내보내기

Fluentd와 Teleport Event Handler로 감사 이벤트 로그 전달

Teleport의 Event Handler 플러그인은 Teleport Auth Service에서 감사 이벤트를 수신하여 로그 관리 솔루션으로 전달하므로, 기록 분석, 비정상적인 동작 감지, Teleport 클러스터와 사용자가 상호 작용하는 방식에 대한 더 나은 이해를 얻을 수 있습니다. Fluentd는 통합 로깅 레이어를 위한 오픈 소스 데이터 수집기입니다. 이 가이드는 Fluentd를 대상 서비스로 사용하여 Teleport Event Handler 플러그인에 대한 설명 역할도 합니다. 작동 방식 # Teleport Event Handler는 Teleport Auth Service에 인증하여 gRPC 스트림을 통해 감사 이벤트를 수신한 후, 상호 TLS를 통해 설정된 보안 채널을 통해 해당 이벤트를 JSON 페이로드로 Fluentd에 전송합니다. 이 데모에서는 Event Handler의 목적지로 로컬 Docker 컨테이너를 생성합니다: 로컬 개념 증명 데모를 위한 아래 지침을 따르거나, 추가 설치 지침 중 하나를 사용하여 인프라와 통합되도록 Teleport Event Handler를 구성할 수 있습니다. 사전 요구사항 # Fluentd 버전 v [fluentd.version] 이상. Teleport Event Handler는 기존 Fluentd 시스템에 통합하거나 새로운 설정과 함께 사용할 수 있는 새 fluent.conf 파일을 생성합니다. Teleport Event Handler 플러그인을 실행할 서버, 가상 머신, Kubernetes 클러스터 또는 Docker 환경. 이 가이드는 Event Handler 설정 가이드 중 하나를 완료했다고 가정합니다: tctl로 Event Handler 설정 Teleport Kubernetes Operator로 Event Handler 설정 아래 지침은 워크스테이션에서 Event Handler 플러그인을 로컬로 테스트하는 방법을 보여줍니다. 다른 환경에서는 경로, 포트 및 도메인을 조정해야 합니다. 1/2단계. Fluentd 포워더 시작 # Fluentd 플러그인은 이전 단계에서 생성된 키를 사용하여 Fluentd 인스턴스로 이벤트를 전송합니다. 사전 요구사항 설정 가이드에서 생성된 fluent.conf 파일은 TLS를 사용하여 이벤트를 수락하고 출력하도록 Fluentd 인스턴스를 구성합니다: <source> @type http port 8888 <transport tls> client_cert_auth true # We are going to run fluentd in Docker. /keys will be mounted from the host file system. ca_path /keys/ca.crt cert_path /keys/server.crt private_key_path /keys/server.key private_key_passphrase ********** # Passphrase generated along with the keys </transport>