감사 로그 외부로 전송하기

Overview

QueryPie에서의 감사한 이벤트 내역을 syslog로 외부 중앙 집중식 로깅 서버 또는 수집기로 전송 가능합니다. 쿼리파이에서 발생한 공통 로그 내역과 더불어 쿠버네티스 API 호출 이력 및 Role 권한/회수 이력을 함께 전송 허용하여 문제 해결, 모니터링 및 분석에 필요한 정보를 제공합니다.

로그 외부 전송 설정하기

1. Settings > General Settings > System > Integrations 메뉴로 이동합니다.

2. 환경에 따라 Syslog 또는 Splunk를 클릭하여 상세 설정 페이지로 이동합니다.

   

3. 우측 Configure 버튼을 클릭합니다.

   1. Name : 사용자 이름

   2. Cluster Name : 쿼리파이 상에 등록된 클러스터 이름

4. Configure Destination 모달에 각 필요한 정보를 기입합니다.

   

   1. Destination Name : 식별할 수 있는 Destination 이름

   2. Protocol : 전송 프로토콜 [TCP / UDP] (디폴트: TCP)

      • Splunk의 경우, HTTP / HTTPS 옵션이 추가 제공됩니다.

        • HTTP 선택 시, 이하의 필드가 나타나며 해당 필드 정보의 기입이 필요합니다.

          • HEC Host : Splunk server의 hostname 또는 ip 주소를 입력합니다.

          • HEC Token : Splunk HEC token 값을 입력합니다.

   3. Destination Address : Syslog server의 Hostname 또는 IP 주소

   4. Port : Syslog server의 listening port (디폴트: 514; TCP/UDP 공통)

      • (Splunk 메뉴에서 HTTP/HTTPS 프로토콜을 선택한 경우)

        • Splunk HTTP Event Collector의 global option에 설정된 port 번호를 입력합니다. 기본값은 8088입니다.

        • Splunk Cloud 사용자에게는 443을 입력합니다.

      • Test Connection 버튼은 TCP를 protocol로 선택했을 때만 활성화됩니다.


        • TCP hand shaking만 확인합니다.

   5. Select Event Items

      1. 인풋 박스를 클릭하면 드롭다운으로 선택 항목을 보여주며, 여러 항목을 다중으로 선택할 수 있습니다.

         • 쿠버네티스 감사 로그는 Request Audit, Kubernetes Role History 옵션을 제공합니다.

         • Pod Session Recordings는 Request Audit 내 pods/exec 리소스 호출에 대한 내역에 대한 보충 기록으로 syslog로는 전송을 미지원합니다.

      2. 하단의 Select all event items, including those that may be added later.를 체크하면 전체 항목 선택이 가능합니다.

      3. 인풋 박스 우측의 X를 누르면 선택된 항목이 모두 제거됩니다.

   6. Disable syslog header : syslog format의 timestamp 헤더를 제외할지 여부 (디폴트 = Yes)

   7. Description : 해당 설정에 대한 간략한 설명

5. Save 버튼을 누르면 설정을 저장합니다.

6. 이후 Syslog/Splunk 제목 우측의 토글을 ON으로 활성화하면, 이벤트 발생 시 쿠버네티스 관련 로그를 함께 시스로그로 전송합니다.

관련 토픽

• Request Audit 살펴보기

• Pod Session Recordings 살펴보기

• Kubernetes Role History 살펴보기

Back to 쿠버네티스 감사 로그 확인하기