주:

• 이 자습서에서는 Oracle Cloud에 액세스해야 합니다. 무료 계정에 등록하려면 Oracle Cloud Infrastructure Free Tier 시작하기를 참조하십시오.
• Oracle Cloud Infrastructure 자격 증명, 테넌시 및 구획에 예제 값을 사용합니다. 실습을 완료했으면 이러한 값을 자신의 클라우드 환경과 관련된 값으로 대체하십시오.

Log Shippers를 사용하여 타사 SIEM 플랫폼에 Oracle Cloud Infrastructure 로그인 수집

소개

Oracle Cloud Infrastructure(OCI)는 대기업이 신뢰하는 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS) 및 서비스형 소프트웨어(SaaS) 플랫폼입니다. 호스팅, 스토리지, 네트워킹, 데이터베이스 등을 포함한 포괄적인 관리형 서비스를 제공합니다.

적절한 리소스로 분류할 수 있도록 보안 관련 이벤트 로그를 사전에 제시하는 것은 사이버 보안 사고를 감지하고 예방하는 데 중요합니다. 많은 조직에서 SIEM(Security Information and Event Management) 플랫폼을 사용하여 관련 자산의 로그 및 경보를 상관시키고 분석합니다. 적절한 기간 동안 로그 캡처, 보존, 실시간에 가까운 모니터링 및 경고의 적절한 구성을 통해 보안 운영 팀은 문제를 식별하고 시스템 튜닝을 기반으로 중요한 정보에 집중하며 적시에 조치를 취할 수 있습니다.

OCI 로그를 입수하기 위한 모범 사례는 Apache Kafka와 호환되는 OCI Streaming으로 전송하여 타사 SIEM 플랫폼에서 Kafka 소비자로 로그를 소비할 수 있도록 하는 것입니다. 이 접근 방식은 지연을 줄이고, 복원성을 제공하며, SIEM 측의 데이터 소비와 관련하여 일시적인 문제가 발생할 경우 보존을 보장합니다.

그러나 일부 타사 SIEM 플랫폼에는 OCI 스트림에서 직접 로그를 소비하기 위한 기본 커넥터가 없으며, 널리 사용되는 오픈 소스 이벤트 스트리밍 플랫폼인 Kafka 토픽의 데이터 사용을 기본적으로 지원하지 않으므로 통합 프로세스가 복잡해집니다. 이 경우 로그 배송업체는 이러한 격차를 해소하는 솔루션 역할을 합니다.

로그 전달자는 다양한 소스에서 로그를 수집하여 하나 이상의 지정된 대상으로 전달하는 독립형 툴로 작동합니다. OCI Streaming 및 타사 SIEM 플랫폼과의 원활한 통신을 보장하기 위해서는 로그 배송업체 소프트웨어가 인터넷 액세스가 가능한 시스템에서 실행되어야 합니다. 이 사용지침서에서는 OCI 내의 컴퓨트 인스턴스에 로그 배송인 소프트웨어를 배포합니다.

로그 전송자는 다음을 수행합니다.

• Kafka 소스를 사용하여 OCI 스트림에서 로그를 추출합니다.

• TCP 포트, HTTP 또는 타사 SIEM 수집기의 파일과 같이 지원되는 모든 대상 유형 또는 플러그인을 사용하여 타사 SIEM 플랫폼으로 로그를 경로 지정합니다.

이제 다음 이미지와 같이 솔루션 아키텍처의 고급 표현을 살펴보겠습니다.

주: 이 솔루션을 사용하면 간격을 줄일 수 있지만 다른 방법을 사용할 수 없는 경우에만 마지막 옵션으로 간주하는 것이 좋습니다. 먼저 SIEM 공급자와 긴밀히 조율하여 기본 또는 권장 접근 방식을 살펴보는 것이 중요합니다. 로그 송하인을 계속 진행하기로 결정한 경우 SIEM 공급자와 협력하여 가장 적합한 항목을 선택하면 SIEM 공급자의 구현 중 및 구현 후 지원이 향상되어 조직의 특정 요구 사항에 맞게 설정을 조정할 수 있습니다.

사용 가능한 로그 전달자가 다르며 그 중 일부는 다음과 같습니다.

• 파일비트
• 유동 비트
• 플루엔트드
• 벡터
• 로그스태시

목표

• 이 사용지침서에서는 로그 배송업체 Filebeat 및 Fluent Bit를 사용하여 OCI 스트림에서 로그를 소비하는 방법과 타사 SIEM 플랫폼과 통합할 수 있는 방법의 예를 중점적으로 설명합니다.

필요 조건

• OCI 사용자는 리소스를 관리하기 위해 OCI Streaming, OCI Connector Hub 및 OCI Logging 서비스에 필요한 정책을 가지고 있어야 합니다. 모든 서비스의 정책 참조에 대한 자세한 내용은 정책 참조를 참조하십시오.

• 로그 전달자로 지정된 컴퓨트 인스턴스는 OCI 스트림에 액세스하기 위한 인터넷 액세스와 함께 사용할 수 있어야 합니다. 자세한 내용은 인스턴스 생성을 참조하십시오.

참고: 다음 작업(태스크 1 - 태스크 4)은 선택한 방법 또는 로그 배송인에 관계없이 OCI 끝에서 수행해야 합니다.

작업 1: 캡처할 로그 구성

OCI 로깅 서비스는 테넌시의 모든 로그에 대해 확장성이 뛰어난 완전 관리형 단일 창입니다. OCI 로깅을 통해 OCI 리소스의 로그에 액세스할 수 있습니다. 로그는 주어진 컨텍스트에서 수집된 로그 이벤트를 저장하고 캡처하는 일류 OCI 리소스입니다. 로그 그룹은 구획에 저장된 로그 모음입니다. 로그 그룹은 로그에 대한 논리적 컨테이너입니다. 로그 그룹을 사용하여 분석을 위해 Oracle Cloud Infrastructure Identity and Access Management(OCI IAM) 정책을 적용하거나 로그를 그룹화하여 로그 관리를 구성하고 간소화할 수 있습니다.

시작하려면 리소스에 대한 로그를 사용으로 설정하십시오. 서비스는 리소스에 사용할 수 있는 다양한 유형의 로그에 대한 로그 범주를 제공합니다. 예를 들어, OCI Object Storage 서비스는 스토리지 버킷에 대해 읽기 및 쓰기 액세스 이벤트와 같은 로그 범주를 지원합니다. 읽기 액세스 이벤트는 다운로드 이벤트를 캡처하고, 쓰기 액세스 이벤트는 쓰기 이벤트를 캡처합니다. 각 서비스에는 리소스에 대한 로그 범주가 다를 수 있습니다.

1. OCI 콘솔에 로그인하여 관찰 가능성 및 관리, 로깅 및 로그 그룹으로 이동합니다.

2. 컴파트먼트를 선택하고 로그 그룹 생성을 누른 후 다음 정보를 입력합니다.

   • 이름: SIEM_log_group을 입력합니다.
   • 설명(선택사항): 설명을 입력합니다.
   • 태그(선택사항): 태그를 입력합니다.

3. 생성을 눌러 새 로그 그룹을 생성합니다.

4. 리소스에서 로그를 누릅니다.

5. 필요에 따라 사용자정의 로그 생성 또는 서비스 사용 로그를 누릅니다.

   예를 들어 OCI Object Storage 버킷에 대한 쓰기 로그를 사용으로 설정하려면 다음 단계를 따르십시오.

   1. Enable Service Log를 누릅니다.

   2. 리소스 구획을 선택하고 검색 서비스에 오브젝트 스토리지를 입력합니다.

   3. 로그 사용을 누르고 리소스에서 OCI Object Storage 버킷 이름을 선택합니다.

   4. 로그 범주에서 작업 1.2에서 생성된 로그 그룹(SIEM_log_group) 및 액세스 이벤트 쓰기를 선택합니다. 선택적으로 로그 이름으로 SIEM_bucket_write을 입력합니다.

   5. 사용을 눌러 새 OCI 로그를 생성합니다.

작업 2: OCI Streaming을 사용하여 스트림 생성

OCI Streaming 서비스는 개발자 및 데이터 과학자를 위한 실시간 서버리스 Apache Kafka 호환 이벤트 스트리밍 플랫폼입니다. 이 솔루션은 로그와 같은 대용량 데이터 스트림을 실시간으로 수집하고 소비하기 위한 확장 가능하며 내구성이 뛰어난 완전 관리형 솔루션을 제공합니다. 게시-구독 메시징 모델에서 데이터가 연속적이고 순차적으로 생성 및 처리되는 모든 사용 사례에 OCI Streaming을 사용할 수 있습니다.

1. OCI 콘솔로 이동하여 분석 및 AI, 메시징 및 스트리밍으로 이동합니다.

2. 스트림 생성을 눌러 스트림을 생성합니다.

3. 다음 정보를 입력하고 생성을 누릅니다.

   • 이름: 스트림 이름을 입력합니다. 이 자습서에서는 SIEM_Stream입니다.
   • 스트림 풀: 기존 스트림 풀을 선택하거나 퍼블릭 끝점으로 새 스트림 풀을 생성합니다.
   • 보존(시간): 이 스트림에서 메시지를 보존할 시간을 입력합니다.
   • 분할영역 수: 스트림의 분할영역 수를 입력합니다.
   • 총 쓰기 속도 및 총 읽기 속도: 처리해야 하는 데이터 양을 기준으로 입력합니다.

테스트를 위해 기본값으로 시작할 수 있습니다. 자세한 내용은 Partitioning a Stream을 참조하십시오.

작업 3: OCI Connector Hub 설정

OCI Connector Hub는 OCI의 서비스 간 데이터 이동을 통합관리합니다. OCI Connector Hub는 OCI Logging, OCI Object Storage, OCI Streaming, OCI Logging Analytics, OCI Monitoring과 같은 서비스 간의 데이터 이동을 설명, 실행 및 모니터링하기 위한 중앙 위치를 제공합니다. 또한 경량 데이터 처리를 위해 OCI Functions를 트리거하고 경보를 설정하기 위해 OCI Notifications를 트리거할 수 있습니다.

1. OCI 콘솔로 이동하여 관찰 가능성 및 관리, 로깅 및 커넥터로 이동합니다.

2. 커넥터 생성을 눌러 커넥터를 생성합니다.

3. 다음 정보를 입력하십시오.

   • 이름: SIEM_SC을 입력합니다.
   • 설명(선택사항): 설명을 입력합니다.
   • 컴파트먼트: 컴파트먼트를 선택합니다.
   • 소스: 로깅을 선택합니다.
   • 대상: 스트리밍을 선택합니다.

4. 소스 접속 구성에서 컴파트먼트 이름, 로그 그룹 및 로그(작업 1에서 생성된 로그 그룹 및 로그)를 선택합니다.

5. 감사 로그도 전송하려면 +Another 로그를 누르고 _Audit를 로그 그룹으로 바꾸는 동안 동일한 컴파트먼트를 선택합니다.

6. 대상 구성에서 구획 및 스트림(작업 2에서 생성된 스트림)을 선택합니다.

7. 기본 정책을 적용하려면 각 기본 정책에 대해 제공된 생성 링크를 누릅니다. 기본 정책은 이 커넥터가 소스, 작업 및 대상 서비스에 액세스하는 데 필요한 권한 부여에 대해 제공됩니다.

8. Create를 누릅니다.

작업 4: 로그 전달자가 로그를 검색하도록 액세스 제어 설정

로그 전송자가 OCI 스트림의 데이터에 액세스할 수 있도록 허용하려면 사용자를 생성하고 로그 검색을 위한 스트림 풀 권한을 부여합니다.

1. OCI 사용자를 생성합니다. 자세한 내용은 사용자 관리를 참조하십시오.

2. SIEM_User_Group라는 OCI 그룹을 생성하고 그룹에 OCI 유저를 추가합니다. 자세한 내용은 그룹 관리를 참조하십시오.

3. 다음 OCI IAM 정책을 생성합니다.

   Allow group <SIEM_User_Group> to use stream-pull in compartment <compartment_of_stream>
   

이제 로그 배송업체를 설치하고 이를 SIEM 플랫폼과 통합하는 방법에 대한 몇 가지 예를 살펴보겠습니다.

사례 1: Filebeat를 로그 전달자로 사용

Filebeat는 로그 데이터를 전달하고 중앙 집중화하기 위한 경량 배송업체입니다. Filebeat는 모듈 사용을 통해 확장이 가능하므로 Apache Kafka, AWS(Amazon Web Services) 등과 같은 소스에서 로그를 수집할 수 있습니다. Go로 작성된 Filebeat는 간단한 배포를 위한 단일 이진 파일을 제공합니다. 최소한의 리소스를 소비하면서 상당한 양의 데이터를 처리하는 데 탁월합니다.

• Filebeat 입력 유형: 입력은 Filebeat가 수집하는 데이터를 찾아 처리하는 방법을 결정합니다. 지원되는 입력 유형의 전체 목록은 Filebeat Input Types을 참조하십시오.

• Filebeat 출력 유형: Filebeat는 filebeat.yml 구성 파일의 출력 섹션에서 옵션을 설정하여 특정 대상으로 로그를 전송하도록 구성됩니다. 한 번에 하나의 출력만 정의할 수 있습니다. 사용 가능한 출력 유형에 대한 자세한 내용은 출력 구성을 참조하십시오.

Filebeat 설치

Filebeat는 가상 머신, Docker 컨테이너, Kubernetes 클러스터와 같은 플랫폼뿐만 아니라 Linux 및 Windows와 같은 다양한 운영 체제에 설치할 수 있습니다. 이 사용지침서에서는 Oracle Linux 8 컴퓨트 인스턴스에 설치됩니다. 자세한 내용은 Filebeat quick start: installation and configuration을 참조하십시오.

로그 전달자로 지정된 컴퓨트 인스턴스에 Filebeat를 설치하려면 다음 단계를 수행합니다.

1. YUM에 대한 beats 저장소를 추가합니다. 자세한 내용은 APT 및 YUM에 대한 저장소를 참조하십시오.

2. 공용 서명 키를 다운로드하고 설치합니다.

   sudo rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
   

3. /etc/yum.repos.d/ 디렉토리에 확장자가 .repo인 파일(예: elastic.repo)을 생성하고 다음 행을 추가합니다.

   [elastic-8.x]
   name=Elastic repository for 8.x packages
   baseurl=https://artifacts.elastic.co/packages/8.x/yum
   gpgcheck=1
   gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
   enabled=1
   autorefresh=1
   type=rpm-md
   

4. 이제 저장소를 사용할 준비가 되었습니다. 다음 명령을 실행하여 Filebeat를 설치합니다.

   sudo yum install filebeat
   

5. 다음 명령을 실행하여 부트 중 자동으로 시작되도록 Filebeat를 구성합니다.

   sudo systemctl enable filebeat
   

Filebeat 구성

다음 구성에서 Filebeat는 OCI 스트림에서 로그를 수집하여 로그 전달자(컴퓨트 인스턴스)의 로컬 파일 시스템에 파일로 저장하도록 설정됩니다. 이렇게 하면 타사 SIEM 플랫폼 수집기가 로컬 파일 시스템에서 파일을 읽어 이러한 로그를 수집할 수 있습니다.

1. /etc/filebeat/filebeat.yml의 내용을 다음 샘플 구성으로 바꿉니다(hosts, topics, username, and password을 세부정보로 바꿔야 함). 또한 로그를 저장할 폴더(예: /home/opc/oci_logs)를 생성합니다.

   filebeat.inputs:
   - type: kafka
     hosts: ["cell-1.streaming.us-ashburn-1.oci.oraclecloud.com:9092"]
     topics: ["SIEM_Stream"]
     group_id: "filebeat"
     username: <username>
     password: <Auth Token>
     ssl.enabled: true
     sasl.mechanism: PLAIN
   
   output.file:
     path: "/home/opc/oci_logs"
     filename: "oci_logs"
     rotate_every_kb: 5000 # 5 MB
     codec.format:
       string: '%{[@timestamp]} %{[message]}'
   

2. 다음 명령을 실행하여 구성을 테스트합니다.

   filebeat test config
   

3. 구성을 업데이트한 후 Filebeat 서비스를 다시 시작합니다.

   sudo systemctl restart Filebeat
   

4. 성공적으로 설정되면 OCI 로그가 /home/opc/oci_logs 폴더에 파일로 표시됩니다.

예: Filebeat를 사용한 OCI 및 Rapid7 InsightIDR 통합

이 예에서 Rapid7 InsightIDR은 로그 전달자 Filebeat의 로컬 파일 시스템에 저장된 OCI 로그를 수집하도록 구성됩니다.

1. 로그 전달자 인스턴스에 Rapid7 수집기를 설치합니다.

   Rapid7 수집기는 로그를 수집하여 처리를 위해 Rapid7 InsightIDR 계정으로 전송합니다. Rapid7 수집기를 설치하려면 Rapid7 InsightIDR 계정에서 패키지를 다운로드하여 로그 전달자 컴퓨트 인스턴스에 설치합니다. 자세한 내용은 Rapid7 Collector Installation and Deployment를 참조하십시오.

2. 이벤트 소스에서 데이터를 수집하도록 Rapid7 InsightIDR를 구성합니다. Rapid7 InsightIDR에는 다양한 클라우드 서비스를 위한 커넥터가 사전 구축되어 있지만 OCI는 기본적으로 지원되지 않습니다. 그러나 다음 단계에 따라 원시 데이터를 입수하고 처리할 수 있습니다.

   1. Rapid7 InsightIDR으로 이동하여 데이터 수집, 이벤트 소스 설정으로 이동하고 이벤트 소스 추가를 누릅니다.

   2. 원시 데이터 추가 및 사용자정의 로그를 누릅니다.

   3. 이름 이벤트 소스를 입력하고 수집기(컴퓨트 인스턴스)를 선택합니다.

   4. 이벤트 소스 로그의 위치와 일치하는 시간대를 선택합니다.

   5. 수집 방법을 디렉토리 보기로 선택하고 로컬 폴더에서 OCI 로그 경로 /home/opc/oci_logs를 사용합니다.

   

   로그 수집이 시작되고 Rapid7 InsightIDR에서 데이터를 볼 수 있습니다.

사례 2: Fluent Bit를 Log Shipper로 사용

Fluent Bit는 Fluentd의 대안으로 사용되는 경량 고성능 로그 배송업체입니다. Fluent Bit는 다양한 소스에서 로그를 수집하면서 효율적으로 처리하고 필터링할 수 있는 최적의 솔루션의 필요성이 높아짐에 따라 등장했습니다. 특히 Fluent Bit는 컨테이너 또는 임베디드 시스템과 같은 리소스가 제한된 환경에서 탁월합니다.

Fluent Bit를 사용하기 위해 /etc/fluent-bit/fluent-bit.conf에 있는 구성 파일에서 inputs, filters, outputs 및 global configurations를 정의합니다. 다음 구성 요소를 자세히 살펴보겠습니다.

• 서비스: 실행 중인 서비스에 대한 전역 설정을 포함합니다.
• 입력: Fluent Bit가 수집할 로그 레코드의 소스를 지정합니다.
• 필터: 로그 레코드에 변환을 적용합니다.
• 출력: Fluent Bit가 처리된 로그를 보내는 대상을 결정합니다.

Fluent 비트 입력 및 출력 플러그인:

• 유동 비트 입력 플러그인: Fluent Bit는 다양한 로그 소스에 맞게 조정된 다양한 입력 플러그인을 제공합니다. 자세한 내용은 입력을 참조하십시오.

• Fluent Bit Outputs Plugins: 다른 대상에 로그를 효율적으로 할당하기 위해 Fluent Bit는 다양한 출력 플러그인 배열을 제공합니다. 자세한 내용은 출력을 참조하십시오.

Fluent 비트 설치 및 구성

Fluent Bit는 Linux 및 Windows와 같은 다양한 운영 체제와 가상 시스템, Docker 컨테이너 및 Kubernetes 클러스터와 같은 플랫폼에 설치할 수 있습니다. 이 사용지침서에서는 Oracle Linux 8 컴퓨트 인스턴스에 설치됩니다. 로그 전달자로 지정된 컴퓨트 인스턴스에 Fluent Bit를 설치하려면 다음 단계를 수행하십시오.

1. /etc/yum.repos.d/ 디렉토리에 확장자가 .repo인 저장소 파일(예: fluentbit.repo)을 생성하고 다음 행을 추가합니다. 자세한 내용은 Configure Yum을 참조하십시오.

   [fluent-bit]
   name = Fluent Bit
   baseurl = https://packages.fluentbit.io/centos/$releasever/
   gpgcheck=1
   gpgkey=https://packages.fluentbit.io/fluentbit.key
   repo_gpgcheck=1
   enabled=1
   

2. 저장소가 구성되면 다음 명령을 실행하여 Fluent Bit를 설치합니다.

   sudo yum install fluent-bit
   

3. Fluent Bit의 기본 구성 파일은 /etc/fluent-bit/fluent-bit.conf에 있습니다. 기본적으로 CPU 사용량 metrics를 수집하고 출력을 표준 로그로 보냅니다. /var/log/messages 파일에서 송신 데이터를 볼 수 있습니다.

4. OCI Streaming 서비스에서 로그를 수집하여 표준 출력으로 보내려면 입력을 Kafka로, 출력을 stdout으로 구성합니다. Brokers, topics, username 및 password를 세부 정보로 바꿔야 합니다.

   [INPUT]
      Name        kafka
      Brokers     cell-1.streaming.us-ashburn-1.oci.oraclecloud.com:9092
      Topics      SIEM-Stream
      Format    	json
      group_id    fluent-bit
      rdkafka.sasl.username <User Name>
      rdkafka.sasl.password   <Auth token>  
      rdkafka.security.protocol   SASL_SSL
      rdkafka.sasl.mechanism     PLAIN
   
   [OUTPUT]
      Name        stdout
   

예: Fluent Bit를 사용한 OCI 및 Rapid7 InsightIDR 통합

이 예에서는 Fluent Bit가 실행 중인 로그 출하자 인스턴스에 Rapid7 수집기를 설치하여 OCI를 Rapid7 InsightIDR와 통합합니다. Fluent Bit는 Kafka를 입력으로 사용하여 OCI Streaming의 로그를 소비하고 로컬 TCP 포트로 전송합니다. 여기서 Rapid7 수집기는 수신 데이터를 수신합니다.

1. 기존 로그 출하자 인스턴스에 Rapid7 수집기를 설치합니다.

   Rapid7 수집기는 로그를 수집하여 처리를 위해 Rapid7 InsightIDR 계정으로 전송합니다. 수집기를 설치하려면 Rapid7 InsightIDR 계정에서 패키지를 다운로드하여 로그 전달자 컴퓨트 인스턴스에 설치합니다. 설치 단계에 대한 자세한 내용은 Rapid7 Collector Installation and Deployment를 참조하십시오.

2. 이벤트 소스에서 데이터를 수집하도록 Rapid7 InsightIDR를 구성합니다. Rapid7 InsightIDR에는 다양한 클라우드 서비스를 위한 커넥터가 사전 구축되어 있지만 OCI는 기본적으로 지원되지 않습니다. 그러나 다음 단계에 따라 원시 데이터를 입수하고 처리할 수 있습니다.

   1. Rapid7 InsightIDR으로 이동하여 데이터 수집, 이벤트 소스 설정으로 이동하고 이벤트 소스 추가를 누릅니다.

   2. 원시 데이터 추가 및 사용자정의 로그를 누릅니다.

   3. 이름 이벤트 소스를 입력하고 수집기(컴퓨트 인스턴스)를 선택합니다.

   4. 이벤트 소스 로그의 위치와 일치하는 시간대를 선택합니다.

   5. 컬렉션 방법을 네트워크 포트에서 수신 대기로 선택하고 포트 번호 및 프로토콜을 입력합니다.

   

3. Rapid7 InsightIDR 통합을 위한 샘플 Fluent Bit 입력 및 출력 구성입니다. Brokers, topics, username 및 password 를 세부정보로 바꿔야 합니다.

   [INPUT]
      Name        kafka
      Brokers     cell-1.streaming.us-ashburn-1.oci.oraclecloud.com:9092
      Topics      SIEM-Stream
      Format    	json
      group_id    fluent-bit
      rdkafka.sasl.username <User Name>
      rdkafka.sasl.password   <Auth token>  
      rdkafka.security.protocol   SASL_SSL
      rdkafka.sasl.mechanism     PLAIN
   
   [OUTPUT]
      Name             tcp
      Match            *
      Host             127.0.0.1
      Port             5170
      Format           json_lines
   

4. Fluent Bit 구성을 수정한 후 다음 명령을 사용하여 Fluent Bit를 다시 시작합니다.

   sudo systemctl restart fluent-bit
   

   Fluent Bit가 재시작되면 OCI 로그가 Rapid7 콘솔에 나타나야 합니다.

예: Fluent Bit를 사용한 OCI 및 Datadog 통합

이 예에서 로그 전달자 인스턴스에서 실행되는 Fluent Bit는 Kafka를 입력으로 사용하여 OCI 스트림의 로그를 소비하고 HTTP 출력을 사용하여 Datadog의 HTTP 끝점으로 보냅니다.

1. Datadog HTTP 로깅 끝점을 사용하여 Datadog로 로그를 전송합니다. 자세한 내용은 로깅 끝점을 참조하십시오.

2. Datadog HTTP 끝점으로 로그를 전송하려면 Datadog API 키가 필요합니다. 자세한 내용은 Datadog API and Application Keys를 참조하십시오.

   API 키를 생성하려면 다음 단계를 수행하십시오.

   1. Datadog 계정에서 조직 설정으로 이동합니다.

   2. API Keys를 누릅니다.

   3. 새 키를 누르고 키 이름을 입력한 다음 API 키 생성을 누릅니다.

   

3. Datadog 통합을 위한 샘플 Fluent Bit 입력 및 출력 구성입니다. Brokers, topics, username, password 및 API Key를 세부정보로 바꿔야 합니다.

   [INPUT]
      Name        kafka
      Brokers     cell-1.streaming.us-ashburn-1.oci.oraclecloud.com:9092
      Topics      SIEM-Stream
      Format    	json
      group_id    fluent-bit
      rdkafka.sasl.username <User Name>
      rdkafka.sasl.password   <Auth token>  
      rdkafka.security.protocol   SASL_SSL
      rdkafka.sasl.mechanism     PLAIN
   
   [OUTPUT]
      Name             http
      Match            *
      Host             http-intake.logs.us5.datadoghq.com
      Port             443
      URI              /api/v2/logs
      Header           DD-API-KEY <API-KEY>
      Format           json
      Json_date_key    timestamp
      Json_date_format iso8601
      tls              On
      tls.verify       Off
   

4. Fluent Bit 구성을 수정한 후 Fluent Bit를 다시 시작합니다.

   sudo systemctl restart fluent-bit
   

   이제 Datadog 계정에 OCI 로그가 표시됩니다.

다음 단계

이 사용지침서에서는 로그 배송기를 사용하여 OCI 로그를 타사 SIEM 플랫폼으로 입수하는 방법을 보여줍니다. 다양한 로그 전달자를 사용할 수 있으며 OCI를 타사 SIEM 플랫폼과 통합하는 여러 가지 방법이 있지만 각 로그 전달자가 지원하는 입력 및 출력 옵션을 신중하게 평가하여 올바른 로그 전달자 및 통합 방법을 선택하는 것이 중요합니다. 솔루션이 특정 환경 및 요구 사항에 부합하도록 SIEM 공급자와 협력해야 합니다.

관련 링크

• 타사 SIEM을 사용하여 Oracle Cloud Infrastructure 서비스 로그 집계

• 파일비트

• 유동 비트

확인

• 작성자 - Chaitanya Chintala(클라우드 보안 권고자)

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하세요. 또한 Oracle Learning Explorer가 되려면 education.oracle.com/learning-explorer을 방문하십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.

---

제목 및 저작권 정보

Ingest Oracle Cloud Infrastructure Logs into Third-Party SIEM Platforms using Log Shippers

G20581-01

November 2024

Copyright ©2024,

Oracle and/or its affiliates.