收集 Tailscale 日志

本文档介绍了如何使用 Tailscale 的原生 Amazon S3 日志流式传输功能将 Tailscale 日志注入到 Google Security Operations。Tailscale 会以配置审核日志和网络流日志的形式生成运营数据。此集成使用 Tailscale 的内置 S3 流式传输功能，自动将这些日志发送到 Google SecOps 以供分析和监控。

准备工作

请确保满足以下前提条件：

• Google SecOps 实例
• 对 Tailscale 管理控制台的特权访问权限（所有者、管理员、网络管理员或 IT 管理员角色）
• 对 AWS（S3、IAM）的特权访问权限

收集 Tailscale 前提条件（tailnet 信息）

1. 登录 Tailscale 管理控制台。
2. 记下您的 tailnet 名称（例如 example.com 或您的组织名称）。
3. 确保您拥有所需的方案：
   • 配置审核日志流式传输：适用于个人版、个人 Plus 版和企业版方案。
   • 网络流日志流式传输：仅适用于企业版方案。

为 Google SecOps 配置 AWS S3 存储桶和 IAM

1. 按照以下用户指南创建 Amazon S3 存储桶：创建存储桶
2. 保存存储桶名称和区域以供日后参考（例如 tailscale-logs）。
3. 按照以下用户指南创建用户：创建 IAM 用户。
4. 选择创建的用户。
5. 选择安全凭据标签页。
6. 在访问密钥部分中，点击创建访问密钥。
7. 选择第三方服务作为使用情形。
8. 点击下一步。
9. 可选：添加说明标记。
10. 点击创建访问密钥。
11. 点击 Download CSV file（下载 CSV 文件），保存访问密钥和不公开的访问密钥以供日后使用。
12. 点击完成。
13. 选择权限标签页。
14. 在权限政策部分中，点击添加权限。
15. 选择添加权限。
16. 选择直接附加政策
17. 搜索并选择 AmazonS3FullAccess 政策。
18. 点击下一步。
19. 点击添加权限。

为 S3 上传配置 IAM 政策和角色

1. 在 AWS 控制台中，依次前往 IAM > 政策 > 创建政策 > JSON 标签页。

2. 输入以下政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowTailscalePutObjects",
         "Effect": "Allow",
         "Action": [
           "s3:PutObject",
           "s3:PutObjectAcl"
         ],
         "Resource": "arn:aws:s3:::tailscale-logs/*"
       }
     ]
   }
   

   • 如果您输入了其他存储桶名称，请替换 tailscale-logs。

3. 依次点击下一步 > 创建政策。

4. 依次前往 IAM > 角色 > 创建角色 > 自定义信任政策。

5. 输入以下信任政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::982722776073:role/tailscale-log-streaming"
         },
         "Action": "sts:AssumeRole",
         "Condition": {
           "StringEquals": {
             "sts:ExternalId": "YOUR_TAILNET_NAME"
           }
         }
       }
     ]
   }
   

   • 将 YOUR_TAILNET_NAME 替换为您的实际尾网名称。

6. 点击下一步。

7. 附加在第 1 步中创建的政策。

8. 将角色命名为 TailscaleS3StreamingRole，然后点击创建角色。

9. 复制角色 ARN 以用于 Tailscale 配置。

配置 Tailscale 原生 S3 日志流式传输

设置配置审核日志流式传输

1. 在 Tailscale 管理控制台中，依次前往日志 > 配置日志。
2. 点击开始直播。
3. 选择 Amazon S3 作为目标。
4. 提供以下配置详细信息：
   • AWS 账号 ID：您的 AWS 账号 ID。
   • S3 存储分区名称：tailscale-logs。
   • 角色 ARN：您创建的 IAM 角色的 ARN。
   • S3 键前缀：tailscale/configuration/（可选）。
5. 点击开始直播。
6. 验证状态是否显示为有效。

设置网络流日志流式传输（仅限企业版方案）

1. 如果尚未启用，请依次前往设置 > 网络流日志，然后为您的 tailnet 启用网络流日志。
2. 前往日志 > 网络流日志。
3. 点击开始直播。
4. 选择 Amazon S3 作为目标。
5. 提供以下配置详细信息：
   • AWS 账号 ID：您的 AWS 账号 ID
   • S3 存储分区名称：tailscale-logs
   • 角色 ARN：您创建的 IAM 角色的 ARN
   • S3 密钥前缀：tailscale/network/（可选）
6. 点击开始直播。
7. 验证状态是否显示为有效。

可选：为 Google SecOps 创建只读 IAM 用户和密钥

1. 在 AWS 控制台中，依次前往 IAM > 用户 > 添加用户。
2. 点击 Add users（添加用户）。
3. 提供以下配置详细信息：
   • 用户：secops-reader
   • 访问类型：访问密钥 - 以程序化方式访问
4. 点击创建用户。
5. 附加最低限度的读取政策（自定义）：用户 > secops-reader > 权限 > 添加权限 > 直接附加政策 > 创建政策。

6. 在 JSON 编辑器中，输入以下政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::tailscale-logs/*"
       },
       {
         "Effect": "Allow",
         "Action": ["s3:ListBucket"],
         "Resource": "arn:aws:s3:::tailscale-logs"
       }
     ]
   }
   

7. 将名称设置为 secops-reader-policy。

8. 依次前往创建政策 > 搜索/选择 > 下一步 > 添加权限。

9. 依次前往安全凭据 > 访问密钥 > 创建访问密钥。

10. 下载 CSV（这些值会输入到 Feed 中）。

在 Google SecOps 中配置 Feed 以注入 Tailscale 日志

1. 依次前往 SIEM 设置> Feed。
2. 点击 + 添加新 Feed。
3. 在Feed 名称字段中，输入 Feed 的名称（例如 Tailscale logs）。
4. 选择 Amazon S3 V2 作为来源类型。
5. 选择 Tailscale 作为日志类型。
6. 点击下一步。
7. 为以下输入参数指定值：
   • S3 URI：s3://tailscale-logs/tailscale/
   • 来源删除选项：根据您的偏好设置选择删除选项。
   • 文件存在时间上限：包含在过去指定天数内修改的文件。默认值为 180 天。
   • 访问密钥 ID：有权访问 S3 存储桶的用户访问密钥。
   • 私有访问密钥：具有 S3 存储桶访问权限的用户私有密钥。
   • 资源命名空间：资源命名空间。
   • 注入标签：应用于此 Feed 中事件的标签。
8. 点击下一步。
9. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。