gravwell

ソース ホーム

これで有効化
gravwell:github.com/gravwell/coredns

gravwell - Gravwell監査に統合します。

説明

このプラグインを使うと、DNS監査をGravwellに直接統合できます。プラグインは統合されたインジェスタとして機能し、DNSリクエストとレスポンスをGravwellインスタンスに直接配送します。

DNSリクエストとレスポンスは、テキスト、JSON、またはパッキングされたバイナリ形式でエンコードできます。

構文

gravwell {
    Ingest-Secret IngestSecretToken
    Cleartext-Target 192.168.1.1:4023
    Tag dns
    Encoding json
    Log-Level INFO
    #Cleartext-Target 192.168.1.2:4023 #second indexer
    #Ciphertext-Target 192.168.1.1:4024
    #Insecure-Novalidate-TLS true #disable TLS certificate validation
    #Ingest-Cache-Path /tmp/coredns_ingest.cache #enable the local ingest cache
    #Max-Cache-Size-MB 1024
}
  • Ingest-Secret はインデクサで認証する際に使われるトークンを定義します。Ingest-Secret は必須です。
  • Cleartext-Target は、TCP接続を使用するリモートインデクサのアドレスとポートを定義します。IPv4アドレス、IPv6アドレス、ホスト名がサポートされています。
  • Ciphertext-Target は、TLS接続を使用するリモートインデクサのアドレスとポートを定義します。IPv4アドレス、IPv6アドレス、ホスト名がサポートされています。
  • Tag はDNS監査ログが割り当てられるタグを指定します。特殊文字やスペースを含まない英数字の値を指定できます。有効なタグの値が必要です。
  • Encoding は転送されたDNS監査ログのフォーマットを指定します。オプションはjson または text です。デフォルトはjsonです。
  • Insecure-Novalidate-TLS はTLS接続の証明書検証を切り替えます。検証はデフォルトでオンです。
  • Log-Level は統合されたGravwellタグに対するロギングの冗長性を指定します。オプションはOFF INFO WARN ERROR です。デフォルトはERRORです。
  • Ingest-Cache-Path はインデクサの接続が失われたときに作動するキャッシュシステム用のファイルパスを指定します。パスは書き込み可能なファイルへの絶対パスにする必要があります。
  • Max-Cache-Size-MB はキャッシュファイルの最大サイズをメガバイトで指定します。これは安全網として使用されます。ゼロ値はデフォルトで無制限を表します。

ローカルキャッシュなしでのTCPを介した単一インデクサ

暗号化されていない接続を介してDNSリクエストを単一インデクサに送信するサンプルCorefileです。ローカルキャッシュは無効です。

gravwell {
    Ingest-Secret IngestSecretToken
    Cleartext-Target 192.168.1.1:4023
    Tag dns
  }

TLS検証なしでの2つのインデクサへのTLS接続

TLS接続を介して2つのインデクサにDNSリクエストを送信し、署名されていない証明書を受け入れるサンプルCorefileです。ローカルキャッシュは無効です。CleartextターゲットとCiphertextターゲットの両方でIPv4アドレスとIPv6アドレスがサポートされています。IPv6アドレスは角カッコで囲む必要があります。

gravwell {
    Ingest-Secret IngestSecretToken
    Ciphertext-Target 192.168.1.1:4024
    Ciphertext-Target [fe80::dead:beef:feed:febe%p1p1]:4024 #connecting to link local address via device p1p1
    Tag dns
    Encoding json
    Log-Level INFO
  }

TLS検証なしでの2つのインデクサへのTLS接続

TLS接続を介して2つのインデクサにDNSリクエストを送信し、署名されていない証明書を受け入れるサンプルCorefileです。ローカルキャッシュは無効です。

gravwell {
    Ingest-Secret IngestSecretToken
    Ciphertext-Target 192.168.1.1:4024
    Ciphertext-Target [dead::beef]:4024
    Insecure-Novalidate-TLS true
    Tag dns
    Encoding json
    Log-Level INFO
  }

高い信頼性操作のためのローカルキャッシュ

2つのインデクサにDNSリクエストを送信し、インデクサの通信が失敗したときにローカルキャッシュを有効にするサンプルCorefileです。最大1GBのデータをローカルにキャッシュできます。

gravwell {
    Ingest-Secret IngestSecretToken
    Cleartext-Target 192.168.1.1:4023
    Ciphertext-Target 192.168.1.2:4024
    Insecure-Novalidate-TLS true
    Ingest-Cache-Path /tmp/coredns_ingest.cache
    Max-Cache-Size-MB 1024
    Tag dns
    Encoding json
    Log-Level INFO
  }

関連情報

Gravwell Community Editionの使用開始 Community Editionのライセンス Ingest APIとコード

このファイルのソース