Tailscale 로그

Panther는 webhook을 통해 Tailscale 로그를 직접 수신하는 것을 지원합니다

개요

Panther가 Tailscale을 수집합니다 구성 감사 및 네트워크 흐름 로그를 구성하여 Tailscale 로그 스트리밍 이벤트를 Panther에 게시하기 위해 HTTP 소스.

다음을 사용하려면 로그 스트리밍 Panther로 Tailscale 로그를 수집하는 데 필요한 Tailscale에서, 다음이 있어야 합니다: 엔터프라이즈 Tailscale 플랜.

Tailscale 로그를 Panther에 온보딩하는 방법

Tailscale 로그를 Panther에 온보딩하려면 먼저 Panther에 새 로그 소스를 만들고, 그런 다음 Tailscale을 구성하여 이벤트를 Panther HTTP 엔드포인트로 보내도록 해야 합니다.

사전 요구 사항

이 과정을 성공적으로 완료하려면 Tailscale 사용자에게 다음 역할 중 하나가 있어야 합니다: 소유자, 관리자, 네트워크 관리자 또는 IT 관리자.
Tailscale은 로그 유형별로 스트리밍 대상 하나만 지원합니다(예: Panther, Splunk, Elasticsearch). 현재 다른 소스로 스트리밍 중인 경우 먼저 기존 소스를 비활성화해야 합니다.

1단계: Panther에 새 Tailscale 로그 소스 만들기

Panther Console의 왼쪽 탐색 표시줄에서 구성 > Log Sources.
다음을 클릭하세요. 새로 만들기.
“Tailscale”을 검색한 다음 해당 타일을 클릭합니다.
- 슬라이드아웃 패널에서 전송 메커니즘 오른쪽 상단의 드롭다운이 다음 값으로 미리 채워집니다. HTTP 옵션.
다음을 클릭하세요. 설정 시작.
Panther의 HTTP Source 구성 지침을 따라5단계부터 시작합니다.
- 다음을 사용해야 합니다. Bearer 인증. 이는 Tailscale이 Panther와의 통합을 위해 지원하는 인증 방식입니다.
- 이 소스로 전송된 페이로드는 다음의 적용을 받습니다. 모든 HTTP 소스에 대한 페이로드 요구 사항.
- HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.

2단계: Tailscale에 새 로그 스트림 만들기

Tailscale 관리자 콘솔에 로그인합니다.
화면 상단의 탐색 표시줄에서 Logs.
다음에서 구성 로그의 오른쪽에서, 다음을 클릭합니다 스트리밍 시작.
다음에서 대상 선택에서 다음을 선택하세요 Panther을 클릭한 다음 다음 필드에 값을 입력합니다:
- URL: 1단계에서 얻은 HTTP 소스 URL을 입력합니다.
- 토큰: 1단계에서 얻은 Bearer 토큰을 입력합니다. "Bearer"라는 단어는 포함하지 말고 토큰만 붙여넣으세요.
다음을 클릭하세요. 스트리밍 시작.

지원되는 로그 유형

Tailscale.Audit

schema: Tailscale.Audit
description: Tailscale 감사 로그 스트림의 이벤트 로그
referenceURL: https://tailscale.com/kb/1255/log-streaming/#configuration-audit-log-streaming
fields:
  - name: time
    required: true
    description: Tailscale 제어 서버에서 이벤트가 생성된 시각의 타임스탬프
    type: timestamp
    timeFormats:
      - 유닉스
    isEventTime: true
  - 이름: event
    required: true
    description: 로그 이벤트와 관련된 필드 모음
    type: object
    fields:
      - name: deferredAt
        description: 속도 제한된 이벤트가 나중에 기록되도록 대기열에 추가된 시각의 타임스탬프
        type: timestamp
        timeFormats:
          - rfc3339
      - name: eventGroupID
        description: 원자적으로 발생한 하나 이상의 감사 이벤트에 할당된 불투명 식별자
        type: string
      - name: origin
        required: true
        description: 이벤트를 생성한 작업의 개시자
        type: string
      - name: actor
        required: true
        description: 작업을 발생시킨 사람
        type: object
        fields:
          - name: id
            description: 행위자의 식별자
            type: string
            indicators:
              - actor_id
          - 이름: type
            description: 행위자의 유형
            type: string
          - name: loginName
            description: 행위자의 로그인 이름
            type: string
            indicators:
              - email
          - 이름: displayName
            type: string
          - name: tags
            type: array
            element:
              type: string
      - name: target
        required: true
        description: 이 이벤트 작업의 대상 객체
        type: object
        fields:
          - name: id
            description: 대상의 ID
            type: string
          - name: name
            description: 대상의 이름
            type: string
          - 이름: type
            description: 대상의 유형
            type: string
          - name: property
            description: 대상에서 변경된 속성
            type: string
      - 이름: action
        required: true
        description: 대상에 대해 수행된 작업 유형
        type: string
      - name: old
        description: 이벤트 이전의 이전 값
        type: json
      - name: new
        description: 이벤트 이후의 새 값
        type: json
      - name: actionDetails
        description: 이벤트에 대한 추가 정보
        type: string
      - name: error
        description: 작업이 완료되지 못한 이유
        type: string
  - name: fields
    description: 추가로 기록된 필드 데이터를 포함하는 객체
    type: object
    fields:
      - name: recorded
        description: Tailscale의 로깅 서비스가 이벤트를 기록한 시각의 타임스탬프
        type: timestamp
        timeFormats:
          - rfc3339

Tailscale.Network

schema: Tailscale.Network
description: Tailscale 네트워크 로그 스트림의 이벤트 로그
referenceURL: https://tailscale.com/docs/features/logging/network-flow-logs
fields:
    - name: time
      required: true
      description: Tailscale 클라이언트에서 이벤트가 생성된 시각의 타임스탬프
      type: timestamp
      timeFormats:
        - 유닉스
      isEventTime: true
    - 이름: event
      required: true
      description: 여러 하위 필드를 포함하는 मुख्य 이벤트 객체
      type: object
      fields:
        - name: nodeId
          description: tailnet에서 노드와 연결된 ID
          type: string
        - 이름: start
          description: 네트워크 통계 창의 시작 타임스탬프(포함)
          type: timestamp
          timeFormats:
            - rfc3339
        - 이름: end
          description: 네트워크 통계 창의 종료 타임스탬프(포함)
          type: timestamp
          timeFormats:
            - rfc3339
        - name: virtualTraffic
          description: tailnet 내 노드 간 트래픽에 대한 연결 통계
          type: array
          element:
            type: object
            fields:
                - name: proto
                  description: 내부 프로토콜 번호
                  유형: bigint
                - name: src
                  description: 소스 IP 주소와 포트
                  type: string
                - name: srcIp
                  description: 소스 IP 주소
                  type: string
                  indicators:
                    - ip
                - 이름: srcPort
                  description: 소스 포트
                  유형: bigint
                - name: dst
                  description: 대상 IP 주소와 포트
                  type: string
                - name: dstIp
                  description: 대상 IP 주소
                  type: string
                  indicators:
                    - ip
                - 이름: dstPort
                  description: 대상 포트
                  유형: bigint
                - name: txPkts
                  description: 창 내에서 전송된 패킷 수
                  유형: bigint
                - name: txBytes
                  description: 창 내에서 전송된 바이트 수
                  유형: bigint
                - name: rxPkts
                  description: 창 내에서 수신된 패킷 수
                  유형: bigint
                - name: rxBytes
                  description: 창 내에서 수신된 바이트 수
                  유형: bigint
        - name: subnetTraffic
          description: 서브넷 경로에서 노드와 외부 트래픽 간의 연결 통계
          type: array
          element:
            type: object
            fields:
                - name: proto
                  description: 내부 프로토콜 번호
                  유형: bigint
                - name: src
                  description: 소스 IP 주소와 포트
                  type: string
                - name: srcIp
                  description: 소스 IP 주소
                  type: string
                  indicators:
                    - ip
                - 이름: srcPort
                  description: 소스 포트
                  유형: bigint
                - name: dst
                  description: 대상 IP 주소와 포트
                  type: string
                - name: dstIp
                  description: 대상 IP 주소
                  type: string
                  indicators:
                    - ip
                - 이름: dstPort
                  description: 대상 포트
                  유형: bigint
                - name: txPkts
                  description: 창 내에서 전송된 패킷 수
                  유형: bigint
                - name: txBytes
                  description: 창 내에서 전송된 바이트 수
                  유형: bigint
                - name: rxPkts
                  description: 창 내에서 수신된 패킷 수
                  유형: bigint
                - name: rxBytes
                  description: 창 내에서 수신된 바이트 수
                  유형: bigint
        - name: exitTraffic
          description: 종료 노드를 통한 트래픽의 집계 연결 통계
          type: array
          element:
            type: object
            fields:
                - name: proto
                  description: 내부 프로토콜 번호
                  유형: bigint
                - name: src
                  description: 소스 IP 주소와 포트
                  type: string
                - name: srcIp
                  description: 소스 IP 주소
                  type: string
                  indicators:
                    - ip
                - 이름: srcPort
                  description: 소스 포트
                  유형: bigint
                - name: dst
                  description: 대상 IP 주소와 포트
                  type: string
                - name: dstIp
                  description: 대상 IP 주소
                  type: string
                  indicators:
                    - ip
                - 이름: dstPort
                  description: 대상 포트
                  유형: bigint
                - name: txPkts
                  description: 창 내에서 전송된 패킷 수
                  유형: bigint
                - name: txBytes
                  description: 창 내에서 전송된 바이트 수
                  유형: bigint
                - name: rxPkts
                  description: 창 내에서 수신된 패킷 수
                  유형: bigint
                - name: rxBytes
                  description: 창 내에서 수신된 바이트 수
                  유형: bigint
        - name: physicalTraffic
          description: 물리 계층 트래픽에 대한 연결 통계
          type: array
          element:
            type: object
            fields:
                - name: proto
                  description: 내부 프로토콜 번호
                  유형: bigint
                - name: src
                  description: 소스 IP 주소와 포트
                  type: string
                - name: srcIp
                  description: 소스 IP 주소
                  type: string
                  indicators:
                    - ip
                - 이름: srcPort
                  description: 소스 포트
                  유형: bigint
                - name: dst
                  description: 대상 IP 주소와 포트
                  type: string
                - name: dstIp
                  description: 대상 IP 주소
                  type: string
                  indicators:
                    - ip
                - 이름: dstPort
                  description: 대상 포트
                  유형: bigint
                - name: txPkts
                  description: 창 내에서 전송된 패킷 수
                  유형: bigint
                - name: txBytes
                  description: 창 내에서 전송된 바이트 수
                  유형: bigint
                - name: rxPkts
                  description: 창 내에서 수신된 패킷 수
                  유형: bigint
                - name: rxBytes
                  description: 창 내에서 수신된 바이트 수
                  유형: bigint
        - name: srcNode
          description: 이 로그 메시지를 생성한 노드 자체에 대한 정보
          type: object
          fields:
            - name: nodeId
              description: 노드의 안정적인 ID
              type: string
            - name: addresses
              description: 노드의 Tailscale IP 주소
              type: array
              element:
                type: string
                indicators:
                  - ip
            - 이름: os
              description: 노드의 운영 체제
              type: string
            - name: name
              description: 노드의 정규화된 호스트 이름
              type: string
              indicators:
                - hostname
            - name: user
              description: 노드를 소유한 사용자(노드에 태그가 지정된 경우는 채워지지 않음)
              type: string
              indicators:
                - username
            - name: tags
              description: 노드의 태그(노드가 사용자가 소유한 경우는 채워지지 않음)
              type: array
              element:
                type: string
        - name: dstNodes
          description: 소스 노드가 통신한 모든 대상 노드에 대한 정보 목록
          type: array
          element:
            type: object
            fields:
              - name: nodeId
                description: 노드의 안정적인 ID
                type: string
              - name: addresses
                description: 노드의 Tailscale IP 주소
                type: array
                element:
                  type: string
                  indicators:
                    - ip
              - 이름: os
                description: 노드의 운영 체제
                type: string
              - name: name
                description: 노드의 정규화된 호스트 이름
                type: string
                indicators:
                  - hostname
              - name: user
                description: 노드를 소유한 사용자(노드에 태그가 지정된 경우는 채워지지 않음)
                type: string
                indicators:
                  - username
              - name: tags
                description: 노드의 태그(노드가 사용자가 소유한 경우는 채워지지 않음)
                type: array
                element:
                  type: string
    - name: fields
      description: 추가로 기록된 필드 데이터를 포함하는 객체
      type: object
      fields:
        - name: recorded
          description: Tailscale의 로깅 서비스가 이벤트를 기록한 시각의 타임스탬프
          type: timestamp
          timeFormats:
            - rfc3339

이전Syslog 로그 다음Teleport 로그

마지막 업데이트 2개월 전

도움이 되었나요?