Splunk 연동
Overview
QueryPie에서 기록하는 감사 로그를 Splunk를 통해 외부로 전송하는 기능을 제공합니다.
Integration 설정을 위해서는 System admin 권한이 필요합니다.
Syslog-Splunk 연계 권장 아키텍처
Splunk 연계 권장 아키텍처
Splunk에서 권장하는 Syslog-Splunk 연계를 위한 아키텍처는 다음과 같습니다.
- 별도 syslog server를 통한 1차 수집 이후 Splunk 로 전송
- Universal forwarder / Heavy forwarder를 통해 Splunk로 전송
QueryPie는 고객 편의를 위해 TCP, UDP, HTTP, HTTPS 프로토콜을 사용하여 직접 전송할 수 있도록 구성되어 있으나 이 구성은 Splunk의 권장사항이 아님을 주의하여 주시기 바랍니다.
참고로 Splunk는 syslog 수집을 위해 별도로 SC4S(Splunk connector for syslog)를 제공하고 있습니다.
Splunk Integration 설정하기
- General Settings 메뉴에서 System > Integrations 메뉴로 이동합니다.
- Splunk 타일을 클릭하여 상세 페이지로 이동합니다.
- 상세 페이지에 있는
Configure버튼을 클릭하면 아래와 같이 Destination 정보를 입력할 수 있는 팝업이 표시됩니다.
(좌) TCP / UDP 설정 화면 (우) HTTP / HTTPS 설정 화면
- Destination 정보를 생성하기 위해 다음의 정보들을 입력합니다.
- Destination Name: syslog를 수신하는 주체를 식별할 수 있도록 적당한 이름을 입력합니다.
- Protocol : Splunk로 전송가능한 프로토콜은 TCP(기본값), UDP, HTTP, HTTPS입니다.
- UDP는 패킷의 길이 제약사항이 있고 보안적으로 취약하므로 TCP 사용을 권장합니다.
- Splunk에서 HTTP Event Collector를 사용하는 경우 기본값은 HTTPS입니다.
- 만약 HTTPS 대신 HTTP를 사용하기 위해서는 먼저 Splunk의 HEC 옵션에서 SSL 옵션을 사용하지 않도록 설정해야 합니다. HTTP 선택 시, 추가적으로 다음의 필드 값을 입력해야 합니다:
- HEC Host : Splunk server의 hostname 또는 ip 주소를 입력합니다.
- HEC Token : Splunk HEC token 값을 입력합니다.
- Destination Address (Hostname) : syslog를 수신하는 Splunk server 또는 forwarder의 IP address 또는 hostname을 입력합니다. HTTP, HTTPS 프로토콜은 이부분이 HEC Host 입력으로 바뀌어 표시됩니다.
- Port : sylog server의 listening port를 입력합니다. (TCP/UDP 기본값 514)
- Splunk HEC port는 Splunk 의 설정을 먼저 확인 후 입력해야 합니다.
- Splunk 메뉴에서 HTTP/HTTPS 프로토콜을 선택한 경우:
- Splunk HTTP Event Collector의 global option에 설정된 port 번호를 입력합니다. 기본값은 8088입니다.
- Splunk Cloud 사용자에게는 443을 입력합니다.
- HEC Token: HTTP, HTTPS 프로토콜의 경우 Splunk의 HEC 설정 시 생성하는 token 값을 입력해야 합니다.
- Test Connection 버튼 : TCP, HTTP, HTTPS 프로토콜은 대상과 통신상태를 점검할 수 있습니다.
- UDP는 프로토콜 특성상 통신 상태 점검이 불가능하여, Test Connection 버튼이 비활성화됩니다.
- Select Event Items : 이벤트 항목을 선택적으로 전송할 수 있습니다. 하단 “Select all event items, including those that may be added later.” 체크박스를 선택하면 전송 가능한 모든 이벤트를 전송합니다.
- Disable syslog header : syslog header 정보를 빼고 전송합니다(기본값 Yes). 일부 SIEM에서 json 파싱이 어려운 경우 syslog header를 빼기 위해 제공되는 옵션입니다. HTTP, HTTPS의 경우 이 옵션을 사용할 수 없고 항상 syslog header가 없는 상태로 전송됩니다.
- Description: 설정 정보에 대한 100자 이내의 간략한 정보를 입력합니다.
OK버튼을 누르고 설정을 저장합니다.- 설정 사항이 저장되더라도 바로 Syslog가 전송되는 것은 아닙니다.
- 전송 시작을 하려면 페이지 좌측 상단에 있는 토글 버튼을
ON으로 전환합니다.- 이 전송 토글 버튼은 유지 보수 등 다양한 상황에서 일시적으로 전송을 중지해야 하는 경우 사용할 수 있습니다.
- 만약 더 이상 Syslog 전송이 필요하지 않을 경우
Delete버튼을 통해 설정을 제거할 수 있습니다.- 단, 전송 중인 상태에서는 삭제할 수 없으므로 전송 토글 버튼을 :토글off: 로 변경한 후 삭제해 주시기 바랍니다.
11.3.0에서 Timezone 설정이 추가되었습니다. 이전에 Syslog (Legacy)에서만 Timezone 설정을 할 수 있었으나 SIEM 관련 설정 모두(Syslog, Splunk) Timezone 설정을 할 수 있도록 변경되었습니다. 또한 New DAC Policy Management 기능에 의해 발생된 이벤트에 대한 스트리밍 전송 기능이 추가되었습니다. (Select Event Items에서 DAC Policy Audit Logs를 선택.)
참고
- 라이선스에 따라 syslog를 통해 전송되는 QueryPie의 이벤트 항목
| Event Item | DAC | SAC | KAC |
|---|---|---|---|
| User Access History | O | O | O |
| Activity Logs | O | O | O |
| Admin Role History | O | O | O |
| Audit Log Export | O | O | O |
| DB Access History | O | 해당사항 없음 | 해당사항 없음 |
| Query Audit | O | 해당사항 없음 | 해당사항 없음 |
| DML Snapshot | O | 해당사항 없음 | 해당사항 없음 |
| DB Access Control Logs | O | 해당사항 없음 | 해당사항 없음 |
| Account Lock History | O | 해당사항 없음 | 해당사항 없음 |
| Server Access History | 해당사항 없음 | O | 해당사항 없음 |
| Server Command Audit | 해당사항 없음 | O | 해당사항 없음 |
| Server Session Logs | 해당사항 없음 | O | 해당사항 없음 |
| Server Access Control Logs | 해당사항 없음 | O | 해당사항 없음 |
| Workflow Logs | O | O | O |
| Approval Urgent Waiting Logs | O | O | O |
| Request Audit | 해당사항 없음 | 해당사항 없음 | O |
| Kubernetes Role History | 해당사항 없음 | 해당사항 없음 | O |
Pod Session Recordings는 Request Audit 내 pods/exec 리소스 호출 내역과 리스트가 중복되므로, syslog 전송을 지원하지 않습니다.
Last updated on