10장. syslog 프로토콜을 사용하여 통합

syslog 는 애플리케이션이 데이터 보존 및 보안 조사를 위해 SIEM 또는 syslog 수집기와 같은 중앙 위치에 메시지를 보내는 데 사용하는 이벤트 로깅 프로토콜입니다. Red Hat Advanced Cluster Security for Kubernetes를 사용하면 syslog 프로토콜을 사용하여 경고 및 감사 이벤트를 보낼 수 있습니다.

참고
  • syslog 프로토콜을 사용하여 이벤트를 전달하려면 Kubernetes 버전 3.0.52 이상용 Red Hat Advanced Cluster Security가 필요합니다.
  • syslog 통합을 사용하면 Kubernetes용 Red Hat Advanced Cluster Security는 구성 및 모든 감사 이벤트를 모두 전달합니다.
  • 현재 Kubernetes용 Red Hat Advanced Cluster Security는 CEF (Common Event Format)만 지원합니다.

다음 단계는 Kubernetes용 Red Hat Advanced Cluster Security를 syslog 이벤트 수신자와 통합하는 고급 워크플로를 나타냅니다.

  1. 경고를 수신하도록 syslog 이벤트 수신자를 설정합니다.
  2. 수신자의 주소 및 포트 번호를 사용하여 Kubernetes용 Red Hat Advanced Cluster Security에 알림을 설정합니다.

구성 후 Red Hat Advanced Cluster Security for Kubernetes는 모든 위반 및 감사 이벤트를 구성된 syslog 수신자에 자동으로 보냅니다.

10.1. Kubernetes용 Red Hat Advanced Cluster Security로 syslog 통합 설정

RHACS(Red Hat Advanced Cluster Security for Kubernetes)에서 새 syslog 통합을 생성합니다.

절차

  1. RHACS 포털에서 플랫폼 구성통합 으로 이동합니다.
  2. Notifier Integrations 섹션까지 아래로 스크롤하여 Syslog 를 선택합니다.
  3. New Integration (추가 아이콘)을 클릭합니다.
  4. Integration Name 의 이름을 입력합니다.
  5. local0 에서 local7 까지 Logging Facility 값을 선택합니다.
  6. 수신자 호스트 주소와 수신자 포트 번호를 입력합니다.
  7. TLS를 사용하는 경우 Use TLS 토글을 켭니다.
  8. syslog 수신자에서 신뢰할 수 없는 인증서를 사용하는 경우 Disable TLS Certificate Validation(Insecure) 토글을 켭니다. 그렇지 않으면 이 토글을 비워 둡니다.
  9. Add new extra field 를 클릭하여 필드를 추가합니다. 예를 들어 syslog 수신자가 여러 소스의 오브젝트를 허용하는 경우 KeyValue 필드에 sourcerhacs 를 입력합니다.

    syslog 수신자의 사용자 정의 값을 사용하여 필터링하여 RHACS의 모든 경고를 확인할 수 있습니다.

  10. 테스트 (확인표 아이콘)를 선택하여 테스트 메시지를 보내 일반 웹 후크와의 통합이 작동하는지 확인합니다.
  11. 만들기 (저장 아이콘)를 선택하여 구성을 생성합니다.