VMware Tanzu 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane 에이전트를 사용하여 VMware Tanzu 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
VMware Tanzu는 Kubernetes API 서버 이벤트, 리소스 액세스, 인증 결정, 구성 변경에 대해 JSON 및 syslog 형식의 감사 로그를 생성하는 Kubernetes 플랫폼입니다. 파서는 JSON 형식의 감사 로그에서 필드를 추출하여 통합 데이터 모델 (UDM)에 매핑합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는
systemd가 설치된 Linux 호스트 - Bindplane 에이전트와 Tanzu Operations Manager 간의 네트워크 연결
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- VMware Tanzu에 대한 권한 액세스
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다.
Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector서비스가 실행 중으로 표시되어야 합니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector서비스가 active (running)으로 표시되어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/vmware_tanzu: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: VMWARE_TANZU raw_log_field: body service: pipelines: logs/vmware_tanzu_to_chronicle: receivers: - udplog exporters: - chronicle/vmware_tanzu
구성 매개변수
다음 자리표시자를 바꿉니다.
수신기 구성:
listen_address: 리슨할 IP 주소 및 포트입니다.0.0.0.0: 모든 인터페이스에서 수신 대기 (권장)- 포트
514는 표준 syslog 포트입니다 (Linux에서 루트 필요, 비루트의 경우1514사용).
내보내기 도구 구성:
creds_file_path: 수집 인증 파일의 전체 경로입니다.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps 콘솔에서 복사한 고객 IDendpoint: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
구성 파일 저장
- 수정 후 파일을 저장합니다.
- Linux:
Ctrl+O,Enter,Ctrl+X순서로 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
- Linux:
변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 옵션 중 하나를 선택합니다.
관리자 권한으로 명령 프롬프트 또는 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔:
Win+R키를 누르고services.msc을 입력한 다음 Enter 키를 누릅니다.- observIQ OpenTelemetry Collector를 찾습니다.
- 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
VMware Tanzu용 syslog 구성
- Tanzu Operations Manager 웹 UI에 로그인합니다.
- 사용자 이름을 선택한 다음 설정을 클릭합니다.
- Syslog를 선택합니다.
- 예를 클릭하여 시스템 로그를 원격 서버로 보냅니다.
- 다음 구성 세부정보를 제공합니다.
- 주소: Bindplane 에이전트 IP 주소를 입력합니다.
- 포트: Bindplane 에이전트 포트 번호를 입력합니다.
- 전송 프로토콜: Bindplane 에이전트 구성에 따라 UDP 또는 TCP를 선택합니다.
- 저장을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
annotations.authorization.k8s.io/decision |
security_result.action |
authorization.k8s.io/decision 주석이 있으면 해당 값이 대문자로 변환됩니다. 대문자 값이 'ALLOW'인 경우 UDM 필드가 ALLOW로 설정됩니다. 그렇지 않으면 BLOCK으로 설정됩니다. |
annotations.authorization.k8s.io/reason |
security_result.description |
authorization.k8s.io/reason 주석이 있으면 큰따옴표가 삭제된 값이 사용됩니다. |
apiVersion |
metadata.product_version |
직접 매핑됩니다. |
auditID |
metadata.product_log_id |
직접 매핑됩니다. |
kind |
metadata.product_event_type |
직접 매핑됩니다. |
objectRef.name |
target.resource.name |
직접 매핑됩니다. |
objectRef.namespace |
target.resource.attribute.labels.key, target.resource.attribute.labels.value |
key은 'namespace'로 설정되고 value은 objectRef.namespace에서 가져옵니다. |
objectRef.resource |
target.resource.resource_subtype |
직접 매핑됩니다. |
objectRef.resourceVersion |
target.resource.attribute.labels.key, target.resource.attribute.labels.value |
key은 'resourceVersion'으로 설정되고 value은 objectRef.resourceVersion에서 가져옵니다. |
objectRef.uid |
target.resource.product_object_id |
직접 매핑됩니다. |
requestReceivedTimestamp/timestamp |
metadata.event_timestamp |
파서는 먼저 requestReceivedTimestamp를 파싱하려고 시도합니다. 이 값이 없으면 syslog 접두사에서 추출된 timestamp 필드가 사용됩니다. |
requestURI |
target.url |
직접 매핑됩니다. |
responseStatus.code |
network.http.response_code |
정수로 변환된 후 직접 매핑됩니다. |
sourceIPs |
principal.ip |
sourceIPs 배열의 모든 IP 주소가 principal.ip 배열에 추가됩니다. |
stage |
metadata.description |
직접 매핑됩니다. |
stageTimestamp |
metadata.collected_timestamp |
직접 매핑됩니다. |
user.groups |
principal.user.group_identifiers |
user.groups 배열의 모든 그룹이 principal.user.group_identifiers 배열에 추가됩니다. |
user.uid |
principal.user.userid |
직접 매핑됩니다. |
user.username |
principal.user.user_display_name |
직접 매핑됩니다. |
verb |
network.http.method |
대문자로 변환된 후 직접 매핑됩니다. verb 필드에 따라 결정됩니다. verb이 'CREATE'인 경우 이벤트 유형은 USER_RESOURCE_CREATION입니다. verb이 'PATCH' 또는 'UPDATE'인 경우 이벤트 유형은 USER_RESOURCE_UPDATE_CONTENT입니다. verb이 'DELETE'인 경우 이벤트 유형은 USER_RESOURCE_DELETION입니다. 그렇지 않고 verb이 비어 있지 않으면 이벤트 유형은 USER_RESOURCE_ACCESS입니다. 이러한 조건이 충족되지 않으면 이벤트 유형이 GENERIC_EVENT로 설정됩니다. 'VMWARE_TANZU'로 하드코딩됩니다. 'VMWARE'로 하드코딩됩니다. 'VMWARE_TANZU'로 하드코딩됩니다. 'CLUSTER'로 하드코딩됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.