%201.png){kind=logo}
Splunk 연동
Overview
QueryPie에서 기록하는 감사 로그를 Splunk를 통하여 외부로 전송하는 기능을 제공합니다.
Integration 설정을 위해서는 System admin 권한이 필요합니다.
Syslog-Splunk 연계 권장 아키텍처
Splunk 연계 권장 아키텍쳐
Splunk에서 권장하는 Syslog-Splunk 연계를 위한 아키텍처는 다음과 같습니다.
별도 syslog server를 통한 1차 수집 이후 Splunk 로 전송
Universal forwarder / Heavy forwarder를 통해 Splunk로 전송
QueryPie는 고객 편의를 위해 TCP, UDP, HTTP, HTTPS 프로토콜을 사용하여 직접 전송할 수 있도록 구성되어 있으나 이 구성은 Splunk의 권장사항이 아님을 주의하여 주시기 바랍니다.
참고로 Splunk는 syslog 수집을 위해 별도로 SC4S(Splunk connector for syslog)를 제공하고 있습니다.
Splunk Integration 설정하기
General Settings 메뉴에서 System > Integrations 메뉴로 이동합니다.
Splunk 타일을 클릭하여 상세 페이지로 이동합니다.
상세 페이지에 있는
Configure버튼을 클릭하면 아래와 같이 Destination 정보를 입력할 수 있는 팝업이 표시됩니다.
(좌) TCP / UDP 설정 화면 (우) HTTP / HTTPS 설정 화면
Destination 정보를 생성하기 위해 다음의 정보들을 입력합니다.
Destination Name : syslog를 수신하는 주체를 식별할 수 있도록 적당한 이름을 입력합니다.
Protocol : Splunk로 전송가능한 프로토콜은 TCP(기본값), UDP, HTTP, HTTPS입니다.
UDP는 패킷의 길이 제약사항이 있고 보안적으로 취약하므로 TCP 사용을 권장합니다.
Splunk에서 HTTP Event Collector를 사용하는 경우 기본값은 HTTPS입니다.
만약 HTTPS 대신 HTTP를 사용하기 위해서는 먼저 Splunk의 HEC 옵션에서 SSL 옵션을 사용하지 않도록 설정해야 합니다. HTTP 선택 시, 추가적으로 다음의 필드 값을 입력해야 합니다:
HEC Host : Splunk server의 hostname 또는 ip 주소를 입력합니다.
HEC Token : Splunk HEC token 값을 입력합니다.
Destination Address (Hostname): syslog를 수신하는 Splunk server 또는 forwarder의 IP address 또는 hostname을 입력합니다. HTTP, HTTPS 프로토콜은 이부분이 HEC Host 입력으로 바뀌어 표시됩니다.
Port : sylog server의 listening port를 입력합니다. (TCP/UDP 기본값 514)
Splunk HEC port는 Splunk 의 설정을 먼저 확인 후 입력해야 합니다.
Splunk 메뉴에서 HTTP/HTTPS 프로토콜을 선택한 경우:
Splunk HTTP Event Collector의 global option에 설정된 port 번호를 입력합니다. 기본값은 8088입니다.
Splunk Cloud 사용자에게는 443을 입력합니다.
HEC Token : HTTP, HTTPS 프로토콜의 경우 Splunk의 HEC설정시 생성하는 token 값을 입력해야 합니다.
Test Connection 버튼 : TCP, HTTP, HTTPS 프로토콜은 대상과 통신상태를 점검할 수 있습니다.
UDP는 프로토콜 특성상 통신 상태 점검이 불가능하여, Test Connection 버튼이 비활성화됩니다.
Select Event Items : 이벤트 항목을 선택적으로 전송할 수 있습니다. 하단 “Select all event items, including those that may be added later.” 체크박스를 선택하면 전송 가능한 모든 이벤트를 전송합니다.
Disable syslog header : syslog header 정보를 빼고 전송합니다(기본값 Yes). 일부 SIEM에서 json 파싱이 어려운경우 syslog header를 빼기 위해 제공되는 옵션입니다. HTTP, HTTPS의 경우 이 옵션을 사용할 수 없고 항상 syslog header가 없는 상태로 전송됩니다.
Description : 설정 정보에 대한 100자 이내의 간략한 정보를 입력합니다.
OK버튼을 누르고 설정을 저장합니다.설정 사항이 저장되더라도 바로 Syslog 를 전송되는 것은 아닙니다.
전송 시작을 하려면 페이지 좌측 상단에 있는 토글 버튼을 :토글:으로 전환합니다.
이 전송 토글 버튼은 유지 보수 등 다양한 상황에서 일시적으로 전송을 중지해야 하는 경우 사용할 수 있습니다.
만약 더 이상 Syslog 전송이 필요하지 않을 경우
Delete버튼을 통해 설정을 제거할 수 있습니다.단, 전송 중인 상태에서는 삭제할 수 없으므로 전송 토글 버튼을 :토글off: 로 변경한 후 삭제해 주시기 바랍니다.
참고
라이센스에 따라 syslog 를 통해 전송되는 QueryPie의 이벤트 항목
Event Item | DAC | SAC | KAC |
|---|---|---|---|
User Access History | O | O | O |
Activity Logs | O | O | O |
Admin Role History | O | O | O |
Audit Log Export | O | O | O |
DB Access History | O | 해당사항 없음 | 해당사항 없음 |
Query Audit | O | 해당사항 없음 | 해당사항 없음 |
DML Snapshot | O | 해당사항 없음 | 해당사항 없음 |
DB Access Control Logs | O | 해당사항 없음 | 해당사항 없음 |
Account Lock History | O | 해당사항 없음 | 해당사항 없음 |
Server Access History | 해당사항 없음 | O | 해당사항 없음 |
Server Command Audit | 해당사항 없음 | O | 해당사항 없음 |
Server Session Logs | 해당사항 없음 | O | 해당사항 없음 |
Server Access Control Logs | 해당사항 없음 | O | 해당사항 없음 |
Workflow Logs | O | O | O |
Approval Urgent Waiting Logs | O | O | O |
Request Audit | 해당사항 없음 | 해당사항 없음 | O |
Kubernetes Role History | 해당사항 없음 | 해당사항 없음 | O |
Pod Session Recordings는 Request Audit 내 pods/exec 리소스 호출 내역과 리스트가 중복되므로, syslog 전송을 지원하지 않습니다.