search
Knowledge BaseRelease NotesRequest Demo

AWS EKS

AWS EKS 로그를 Panther 콘솔에 연결하기

hashtag
개요

Panther는 AWS CloudWatch Logs를 통해 Amazon Web Services(AWS) Elastic Kubernetes Service(EKS) 로그 수집을 지원합니다.

EKS는 로그를 S3로 직접 보낼 수 없습니다—대신 EKS 로그를 다음으로 보내야 합니다 이벤트는 CloudWatch Logs에서 왔습니다.arrow-up-right그런 다음 구성하세요 Kinesis Data Firehosearrow-up-right 가 이를 S3 버킷으로 전송하도록 하고, Panther는 해당 버킷에서 읽습니다.

hashtag
AWS 온보딩 방법 EKS 로그를 Panther로

hashtag
1단계: EKS 컨트롤 플레인 로깅 활성화

EKS 컨트롤 플레인 로그를 활성화하면 AWS가 해당 로그를 CloudWatch Logs로 라우팅하기 시작합니다.

hashtag
2단계: Panther 콘솔에서 CloudWatch Logs 소스 구성

EKS 컨트롤 플레인 로깅을 활성화한 후 EKS 감사 및 인증자 로그가 CloudWatch Logs에서 사용 가능해집니다. 이제 Panther에서 CloudWatch Logs 소스를 설정할 시간입니다.

  1. Panther 콘솔의 왼쪽 탐색 모음에서 클릭하세요 구성 > 로그 소스.

  2. 오른쪽 상단에서 클릭하세요 새로 만들기.

  3. 을 클릭하세요 사용자 지정 로그 형식 타일을 클릭합니다.

  4. 페이지에서 AWS CloudWatch Logs 타일에서 에 대해 자세히 알아보세요.

  5. "소스 구성" 페이지에서 다음 필드를 채우세요:

    • 이름: CloudWatch Logs 소스의 설명적인 이름을 입력하세요.

    • 로그 그룹 이름: CloudWatch Logs 그룹의 고유 이름을 입력하세요. AWS CloudWatch Logs LogGroup의 이름 형식은 /aws/eks/{your_cluster_name}/cluster

    • AWS 계정 ID: EKS 클러스터를 호스팅하는 AWS 계정의 ID 번호를 입력하세요.

    • (선택 사항) 패턴 필터: 로그 이벤트를 필터링할 패턴을 입력하세요. 참고: AWS의 CloudWatch Logs 패턴 필터 문서arrow-up-right 을(를) 참조하십시오.

    • 로그 유형: Amazon.EKS.AuditAmazon.EKS.Authenticator.

  6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.

hashtag
3단계: S3 버킷, Kinesis Data Firehose 및 IAM 역할 설정

Panther는 CloudWatch Logs 소스에서 객체를 읽기 위해 다양한 AWS 리소스가 필요합니다. 이를 구성하기 위해 Panther는 S3 버킷, Kinesis Data Firehose, IAM 역할 및 기타 필요한 리소스를 설정하는 CloudFormation 템플릿을 제공합니다.

  1. 설치하지 마세요! AWS 콘솔 UI 사용. 템플릿이 미리 채워진 상태로 AWS CloudFormation 콘솔 UI로 리디렉션됩니다.

    • 템플릿을 다운로드하여 자체 파이프라인을 통해 적용하거나 리소스를 수동으로 구성할 수도 있습니다. 자세한 내용은 CloudWatch Logs 소스 문서.

  2. EKS 클러스터를 호스팅하는 AWS 계정 ID와 리전으로 CloudFormation 스택 템플릿을 설치하세요.

    • CloudFormation 스택 생성이 완료될 때까지 기다리세요.

  3. CloudFormation 스택이 준비되면 Panther 콘솔에서 버킷 이름역할 ARN 를 입력하세요.

    • CloudFormation 스택 생성이 완료되면 AWS의 스택 "Outputs" 섹션에서 리소스 ARN을 찾을 수 있습니다.

hashtag
4단계: Panther에서 소스 설정 완료

3단계: 소스 설정 완료

The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

  • 성공 화면으로 이동됩니다: 선택적으로 하나 이상의arrow-up-right.

  • 사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

    The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

hashtag
다음의 경우 통합에 제한이 발생할 수 있습니다:

Panther의 사전 작성된 AWS 룰은 panther-analysis GitHub 리포지토리arrow-up-right.

hashtag
지원되는 AWS EKS 로그 유형

Panther는 다음을 지원합니다 Amazon.EKS.AuditAmazon.EKS.Authenticator 로그.

hashtag
Amazon.EKS.Audit

EKS 감사 로그는 클러스터에 영향을 준 개별 사용자, 관리자 또는 시스템 구성 요소의 기록을 제공합니다. 자세한 내용은 EKS 컨트롤 플레인 로그에 대한 AWS 문서arrow-up-right.

hashtag
Amazon.EKS.Authenticator

이 로그는 IAM 자격 증명을 사용한 Kubernetes 역할 기반 액세스 제어(RBAC) 인증을 위해 EKS가 사용하는 컨트롤 플레인 구성 요소를 나타냅니다. 자세한 내용은 EKS 컨트롤 플레인 로그에 대한 AWS 문서arrow-up-right.

이전AWS Config다음AWS GuardDuty

마지막 업데이트

도움이 되었나요?