10장. syslog 프로토콜을 사용하여 통합
syslog 는 애플리케이션이 데이터 보존 및 보안 조사를 위해 SIEM 또는 syslog 수집기와 같은 중앙 위치에 메시지를 보내는 데 사용하는 이벤트 로깅 프로토콜입니다. Red Hat Advanced Cluster Security for Kubernetes를 사용하면 syslog 프로토콜을 사용하여 경고 및 감사 이벤트를 보낼 수 있습니다.
참고
- syslog 프로토콜을 사용하여 이벤트를 전달하려면 Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.52 이상이 필요합니다.
- syslog 통합을 사용하면 Red Hat Advanced Cluster Security for Kubernetes는 구성하는 위반 경고와 모든 감사 이벤트를 모두 전달합니다.
- 현재 Red Hat Advanced Cluster Security for Kubernetes는 CEF (Common Event Format)만 지원합니다.
다음 단계는 Red Hat Advanced Cluster Security for Kubernetes를 syslog 이벤트 수신자와 통합하는 고급 워크플로를 나타냅니다.
- 경고를 수신하도록 syslog 이벤트 수신자를 설정합니다.
- 수신자 주소 및 포트 번호를 사용하여 Red Hat Advanced Cluster Security for Kubernetes에서 알림을 설정합니다.
구성 후 Red Hat Advanced Cluster Security for Kubernetes는 구성된 syslog 수신자에 모든 위반 및 감사 이벤트를 자동으로 보냅니다.
10.1. Red Hat Advanced Cluster Security for Kubernetes와 syslog 통합 구성
RHACS(Red Hat Advanced Cluster Security for Kubernetes)에서 새로운 syslog 통합을 생성합니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
통합으로 이동합니다. - Notifier Integrations 섹션까지 아래로 스크롤하여 Syslog 를 선택합니다.
- New Integration (add icon)을 클릭합니다.
- Integration Name 의 이름을 입력합니다.
-
local0부터local7까지 Logging Facility 값을 선택합니다. - 수신자 호스트 주소 및 수신자 포트 번호를 입력합니다.
- TLS를 사용하는 경우 TLS 사용 토글을 켭니다.
- syslog 수신자가 신뢰할 수 없는 인증서를 사용하는 경우 Disable TLS Certificate Validation (Insecure) 토글을 사용합니다. 그렇지 않으면 이 토글을 끕니다.
새 추가 필드 추가 를 클릭하여 추가 필드를 추가합니다. 예를 들어 syslog 수신자가 여러 소스의 오브젝트를 허용하는 경우 Key 및 Value 필드에
source및rhacs를 입력합니다.syslog 수신자의 사용자 지정 값을 사용하여 필터링하여 RHACS의 모든 경고를 식별할 수 있습니다.
-
테스트 메시지를 보내 일반 Webhook와의 통합이 작동하는지 확인하려면 테스트(
확인 표시)를 선택합니다. -
생성 (
저장아이콘)을 선택하여 구성을 생성합니다.
