Как люди внедрили контроль доступа к производственной среде (т. Е. Ведение журналов и создание отчетов о доступе служб и людей к вычислительным экземплярам через SSH). Наша цель состоит в том, чтобы последовательно пересылать все записи для входа пользователей в нашу SIEM по проектам и в идеале избегать использования специальных приемников Stackdriver (и связанных с ними настройки и обслуживания).
Мы пробовали следующее:
- Включена пересылка журнала аутентификации в Fluentd, поскольку по умолчанию выполняется только системный журнал.
- Включены приемники уровня организации, которые отправляют в тему (для пересылки в SIEM через подписчика HTTP), которые включают всех дочерних элементов.
- Может видеть syslog / auth на уровне проекта для образов ОС без контейнера (например, Ubuntu)
Проблемы, которые мы наблюдаем: - Ограниченная документация по формату фильтров на уровне организации (похоже, отличается от уровня проекта для таких вещей, как logName). Кажется, что функция log_id работает - некоторые типы журналов появляются на уровне организации (например, активность cloudapis), но syslog не обрабатывается - кажется, что операционная система контейнера не включает пересылку ssh / sudo по умолчанию в fluentd (или я не обнаружил, какой тип журнала содержит эти данные). Я вижу, что это записано в journalctl на тестовом узле
Есть ли у кого-нибудь последовательный способ добиться этого?
/var/log/auth.log
в Stackdriver для экземпляров, которые вы отслеживаете. serverfault.com/a/955094/437769 - person John Hanley   schedule 05.02.2020