gravwell

原始碼 首頁

啟用方式
gravwell:github.com/gravwell/coredns

gravwell - 整合至 Gravwell 稽核系統。

描述

此外掛程式允許直接將 DNS 稽核整合到 Gravwell 中。此外掛程式作為整合的攝取器,並將 DNS 請求和響應直接傳送到 Gravwell 執行個體。

DNS 請求和響應可以編碼為文字、JSON 或打包的二進位格式。

語法

gravwell {
    Ingest-Secret IngestSecretToken
    Cleartext-Target 192.168.1.1:4023
    Tag dns
    Encoding json
    Log-Level INFO
    #Cleartext-Target 192.168.1.2:4023 #second indexer
    #Ciphertext-Target 192.168.1.1:4024
    #Insecure-Novalidate-TLS true #disable TLS certificate validation
    #Ingest-Cache-Path /tmp/coredns_ingest.cache #enable the local ingest cache
    #Max-Cache-Size-MB 1024
}
  • Ingest-Secret 定義用於與索引器驗證的權杖。Ingest-Secret 為必填項目。
  • Cleartext-Target 定義使用 TCP 連線的遠端索引器的位址和埠。支援 IPv4 和 IPv6 位址以及主機名稱。
  • Ciphertext-Target 定義使用 TLS 連線的遠端索引器的位址和埠。支援 IPv4 和 IPv6 位址以及主機名稱。
  • Tag 指定 DNS 稽核記錄被指派的標籤。可以是任何不含特殊字元或空格的字母數字值。有效的標籤值為必填項目。
  • Encoding 指定傳輸的 DNS 稽核記錄的格式。選項為 jsontext。預設為 json
  • Insecure-Novalidate-TLS 切換 TLS 連線上的憑證驗證。預設情況下會啟用驗證。
  • Log-Level 指定在整合的 gravwell 標籤上的記錄詳細程度。選項為 OFFINFOWARNERROR。預設為 ERROR
  • Ingest-Cache-Path 指定快取系統的檔案路徑,當索引器連線中斷時會啟用快取系統。路徑必須是可寫入檔案的絕對路徑。
  • Max-Cache-Size-MB 以 MB 為單位指定快取檔案的最大大小。這用作安全網。零值為預設值,表示無限制。

範例

無本機快取,透過 TCP 連線到單一索引器

範例 Corefile,將 DNS 請求透過未加密連線傳送至單一索引器。本機快取已停用。

gravwell {
    Ingest-Secret IngestSecretToken
    Cleartext-Target 192.168.1.1:4023
    Tag dns
  }

與兩個索引器建立 TLS 連線,且不進行 TLS 驗證

範例 Corefile,將 DNS 請求透過 TLS 連線傳送到兩個索引器,並接受未簽署的憑證。本機快取已停用。Cleartext 和 Ciphertext 目標均支援 IPv4 和 IPv6 位址。IPv6 位址必須括在方括號中。

gravwell {
    Ingest-Secret IngestSecretToken
    Ciphertext-Target 192.168.1.1:4024
    Ciphertext-Target [fe80::dead:beef:feed:febe%p1p1]:4024 #connecting to link local address via device p1p1
    Tag dns
    Encoding json
    Log-Level INFO
  }

與兩個索引器建立 TLS 連線,且不進行 TLS 驗證

範例 Corefile,將 DNS 請求透過 TLS 連線傳送到兩個索引器,並接受未簽署的憑證。本機快取已停用。

gravwell {
    Ingest-Secret IngestSecretToken
    Ciphertext-Target 192.168.1.1:4024
    Ciphertext-Target [dead::beef]:4024
    Insecure-Novalidate-TLS true
    Tag dns
    Encoding json
    Log-Level INFO
  }

用於高可靠性作業的本機快取

範例 Corefile,將 DNS 請求傳送到兩個索引器,並在索引器通訊失敗時啟用本機快取。最多可以快取 1GB 的資料。

gravwell {
    Ingest-Secret IngestSecretToken
    Cleartext-Target 192.168.1.1:4023
    Ciphertext-Target 192.168.1.2:4024
    Insecure-Novalidate-TLS true
    Ingest-Cache-Path /tmp/coredns_ingest.cache
    Max-Cache-Size-MB 1024
    Tag dns
    Encoding json
    Log-Level INFO
  }

參閱

開始使用 Gravwell 社群版本 社群版本授權 攝取 API 和程式碼

此檔案的來源