Mengumpulkan log Tailscale
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Tailscale ke Google Security Operations menggunakan fitur streaming log Amazon S3 native Tailscale. Tailscale menghasilkan data operasional dalam bentuk log audit konfigurasi dan log aliran jaringan. Integrasi ini menggunakan kemampuan streaming S3 bawaan Tailscale untuk otomatis mengirimkan log ini ke Google SecOps untuk dianalisis dan dipantau.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps
- Akses istimewa ke Konsol Admin Tailscale (peran Pemilik, Admin, Admin jaringan, atau Admin IT)
- Akses istimewa ke AWS (S3, IAM)
Kumpulkan prasyarat Tailscale (informasi tailnet)
- Login ke Konsol Admin Tailscale.
- Catat nama tailnet Anda (misalnya,
example.comatau nama organisasi Anda). - Pastikan Anda memiliki paket yang diperlukan:
- Streaming log audit konfigurasi: Tersedia di paket Personal, Personal Plus, dan Enterprise.
- Streaming log alur jaringan: Hanya tersedia di paket Enterprise.
Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps
- Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
- Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya,
tailscale-logs). - Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
- Pilih Pengguna yang dibuat.
- Pilih tab Kredensial keamanan.
- Klik Create Access Key di bagian Access Keys.
- Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
- Klik Berikutnya.
- Opsional: tambahkan tag deskripsi.
- Klik Create access key.
- Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
- Klik Selesai.
- Pilih tab Izin.
- Klik Tambahkan izin di bagian Kebijakan izin.
- Pilih Tambahkan izin.
- Pilih Lampirkan kebijakan secara langsung
- Telusuri dan pilih kebijakan AmazonS3FullAccess.
- Klik Berikutnya.
- Klik Add permissions.
Mengonfigurasi kebijakan dan peran IAM untuk upload S3
- Di konsol AWS, buka IAM > Policies > Create policy > JSON tab.
Masukkan kebijakan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowTailscalePutObjects", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::tailscale-logs/*" } ] }- Ganti
tailscale-logsjika Anda memasukkan nama bucket yang berbeda.
- Ganti
Klik Berikutnya > Buat kebijakan.
Buka IAM > Roles > Create role > Custom trust policy.
Masukkan kebijakan kepercayaan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::982722776073:role/tailscale-log-streaming" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "YOUR_TAILNET_NAME" } } } ] }- Ganti
YOUR_TAILNET_NAMEdengan nama tailnet Anda yang sebenarnya.
- Ganti
Klik Berikutnya.
Lampirkan kebijakan yang dibuat pada langkah 1.
Beri nama peran
TailscaleS3StreamingRole, lalu klik Buat peran.Salin ARN Peran untuk digunakan dalam konfigurasi Tailscale.
Mengonfigurasi streaming log S3 native Tailscale
Menyiapkan streaming Log Audit Konfigurasi
- Di Konsol Admin Tailscale, buka Logs > Configuration logs.
- Klik Mulai streaming.
- Pilih Amazon S3 sebagai tujuan.
- Berikan detail konfigurasi berikut:
- ID Akun AWS: ID Akun AWS Anda.
- S3 Bucket Name:
tailscale-logs. - ARN Peran: ARN peran IAM yang Anda buat.
- Awalan Kunci S3:
tailscale/configuration/(opsional).
- Klik Mulai streaming.
- Pastikan statusnya ditampilkan sebagai Aktif.
Menyiapkan streaming Log Alur Jaringan (khusus paket Enterprise)
- Jika belum diaktifkan, buka Settings > Network flow logs dan aktifkan log alur jaringan untuk tailnet Anda.
- Buka Log > Log alur jaringan.
- Klik Mulai streaming.
- Pilih Amazon S3 sebagai tujuan.
- Berikan detail konfigurasi berikut:
- ID Akun AWS: ID Akun AWS Anda
- Nama Bucket S3:
tailscale-logs - ARN peran: ARN peran IAM yang Anda buat
- Awalan Kunci S3:
tailscale/network/(opsional)
- Klik Mulai streaming.
- Pastikan statusnya ditampilkan sebagai Aktif.
Opsional: Buat pengguna & kunci IAM hanya baca untuk Google SecOps
- Di Konsol AWS, buka IAM > Pengguna > Tambahkan pengguna.
- Klik Add users.
- Berikan detail konfigurasi berikut:
- Pengguna:
secops-reader - Jenis akses: Kunci akses — Akses terprogram
- Pengguna:
- Klik Buat pengguna.
- Lampirkan kebijakan baca minimal (kustom): Pengguna > secops-reader > Izin > Tambahkan izin > Lampirkan kebijakan secara langsung > Buat kebijakan.
Di editor JSON, masukkan kebijakan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::tailscale-logs/*" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::tailscale-logs" } ] }Tetapkan nama ke
secops-reader-policy.Buka Buat kebijakan > cari/pilih > Berikutnya > Tambahkan izin.
Buka Kredensial keamanan > Kunci akses > Buat kunci akses.
Download CSV (nilai ini dimasukkan ke dalam feed).
Mengonfigurasi feed di Google SecOps untuk menyerap log Tailscale
- Buka Setelan SIEM > Feed.
- Klik + Tambahkan Feed Baru.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
Tailscale logs). - Pilih Amazon S3 V2 sebagai Jenis sumber.
- Pilih Tailscale sebagai Jenis log.
- Klik Berikutnya.
- Tentukan nilai untuk parameter input berikut:
- URI S3:
s3://tailscale-logs/tailscale/ - Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
- Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
- ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
- Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
- URI S3:
- Klik Berikutnya.
- Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.