Syslog 구성
배포
- 표준 지침에 따라 OVA/VHD에서 Glasswall Halo(syslog-ng 포함)를 배포합니다.
- 보안 그룹에서 Glasswall Halo VM에서 syslog 서버 포트(일반적으로 TCP 514)로의 인바운드 트래픽을 허용합니다.
Glasswall Halo VM의 syslog-ng 서비스 구성
Glasswall Halo OVA/VHD에는 syslog-ng 서비스를 설치하고 구성하는 옵션이 있습니다. Glasswall Halo 인스턴스가 실행되면 아래 단계를 따르세요:
- 인터넷에서 패키지를 설치할 수 있도록 Glasswall Halo VM이 RHEL에 등록되어 있는지 확인합니다.
- 다음 명령으로 syslog-ng 설치 및 구성 스크립트를 시작합니다:
sudo bash ~/syslog-ng-install.sh
- 완료되면 아래의 다음 단계를 진행합니다:
sudo bash ~/syslog_setup.sh
Enter IP address of Syslog server: <Syslog server IP>
Enter Port of Syslog server: <Syslog server port>
Configuring Syslog server details.....
....
-
이 시점부터 모든 로그는 Syslog 서버로 전달되며, 원격 로그를 수신하도록 구성된 해당 Syslog 서버 로그 파일에 저장됩니다. 여기에는 다음이 포함됩니다:
- Glasswall Halo VM 로그 (/mnt/logging_data에 저장됨)
- 모든 컨테이너 로그: (/var/log/containers에 저장됨)
- Pod 로그: (/var/log/pods에 저장됨)
-
다음 CLI 명령으로 syslog 서버 연결을 확인합니다:
$ loggen -i -S -P <Syslog server IP> <Syslog server port>
count=1853, rate = 951.87 msg/sec
count=2329, rate = 951.65 msg/sec...
Glasswall Halo VM에서의 syslog-ng TLS 구성
원격 Syslog 서버가 TLS 전송을 사용하는 경우, Glasswall Halo 머신에서 다음과 같은 구성 변경이 필요합니다.
-
서버 인증서의 루트 ca를 Glasswall Halo 머신의 위치에 배치합니다(예: /opt/syslog-ng/etc/syslog-ng/ca.d).
-
(/etc/syslog-ng/syslog-ng.conf)에 있는 syslog-ng 구성 파일에서 42-0번째 줄을 다음과 같이 편집합니다. From: destination remote tcp("..." port(**));;
-
다음으로 변경: destination remote network("..." port(**) Transport("tls") Tls( ca-dir("/opt/syslog-ng/etc/syslog-ng/ca.d") Peer-verify(optional-untrusted) ) ); ;
-
설명:
- Port는 원격 syslog 서버의 TLS 포트여야 합니다.
- Peer-verify는 신뢰되지 않거나 자체 서명된 CA의 경우 optional-untrusted로, 신뢰된 CA의 경우 required-trusted로 설정해야 합니다.
- 아래 명령으로 syslog-ng를 다시 시작합니다:
sudo systemctl restart syslog-ng
sudo systemctl restart gwsyslog.service
Glasswall Halo 머신의 Glasswall syslog-ng가 이제 원격 syslog 서버에 연결되어 TLS 포트에서 보안 로그를 전송해야 합니다.