บทความนี้อธิบายวิธีตั้งค่า Athena EPP ให้ส่ง Log (Forward Log) ไปยังเซิร์ฟเวอร์ Syslog ผ่าน Protocol TCP พร้อมเปิดใช้งานการเข้ารหัสแบบ TLS Encryption เพื่อให้การรับส่ง Log ระหว่าง EPP Manager กับเซิร์ฟเวอร์ Syslog มีความปลอดภัยและตรวจสอบตัวตนของการเชื่อมต่อได้
ข้อกำหนดสำคัญก่อนเริ่มตั้งค่า
- การเข้ารหัสแบบ TLS รองรับเฉพาะ Protocol TCP เท่านั้น (ไม่รองรับ UDP)
- ไฟล์ใบรับรอง (Certificate) ที่ใช้ต้องเป็นรูปแบบ .pem เท่านั้น และแต่ละไฟล์มีขนาด ไม่เกิน 1 MB
- ฝั่งเซิร์ฟเวอร์ Syslog (rsyslog) ต้องตั้งค่า
$InputTCPServerStreamDriverAuthModeเป็นx509/certvalidเพื่อให้มีการตรวจสอบใบรับรองของทั้งสองฝั่ง (Mutual TLS) - ฝั่งเซิร์ฟเวอร์ Syslog ต้องติดตั้ง rsyslog-gnutls เพื่อให้ rsyslog สามารถสื่อสารผ่าน TLS ได้
ขั้นตอนที่ 1: ตั้งค่า Syslog Reporting พื้นฐาน
ไปที่ System > Data Sync > Syslog Reporting แล้วตั้งค่าดังนี้
- เปิด Enable syslog sync
- Protocol: เลือก TCP จากนั้นระบุ IP Address และ Port ของเซิร์ฟเวอร์ Syslog
- กด Test Connectivity เพื่อทดสอบว่าเชื่อมต่อกับเซิร์ฟเวอร์ Syslog ได้
- Log Type: เลือกประเภท Log ที่ต้องการส่ง
- Encoding Format: เลือกได้ระหว่าง Unicode, UTF-8 หรือ GBK
- Sync Mode: เลือก Key Info (ส่งเฉพาะฟิลด์หลัก เหมาะกับการเก็บ Log ตามข้อกำหนด) หรือ All Info (ส่งทุกฟิลด์ เหมาะกับการวิเคราะห์ Log เชิงลึก)
ขั้นตอนที่ 2: เปิดใช้งาน TLS Encryption
เปิดสวิตช์ TLS Encryption ให้เป็น ON จากนั้นเลือก Encryption Method ได้ 2 วิธี ตามความต้องการของระบบ
วิธีที่ 1: Generate encryption certificate (ให้ EPP สร้างใบรับรองให้)
เหมาะกับกรณีทั่วไปที่ไม่ต้องการใช้ CA ของระบบภายนอก เป็นวิธีที่ง่ายที่สุด โดย EPP จะทำหน้าที่เป็นผู้ออกใบรับรองเอง
1. เลือก Encryption Method เป็น Generate encryption certificate แล้วกดปุ่ม Download Encryption Certificate
2. แตกไฟล์ tls_server_x.x.x.x.zip ที่ดาวน์โหลดมา ภายในจะมีไฟล์ใบรับรอง 3 ไฟล์ (cacert.pem, SERVER-CERT.pem และ SERVER-KEY.pem) และไฟล์ตั้งค่า 1 ไฟล์ (server_tls.conf)
3. นำไฟล์ใบรับรองทั้ง 3 ไฟล์ ไปวางไว้ที่ไดเรกทอรี /etc/tls/ ของเซิร์ฟเวอร์ Syslog หากยังไม่มีไดเรกทอรีนี้ ให้สร้างด้วยคำสั่ง mkdir -p /etc/tls/ กรณีใช้งาน SELinux ให้รันคำสั่ง sudo chcon -R -t etc_t /etc/tls/ เพื่อให้ rsyslog เข้าถึงได้
4. นำไฟล์ตั้งค่า server_tls.conf ไปวางไว้ที่ไดเรกทอรี /etc/rsyslog.d/ กรณีใช้งาน SELinux ให้รันคำสั่ง sudo chcon -R -t etc_t /etc/rsyslog.d/
หมายเหตุ: หากเซิร์ฟเวอร์เปิด TCP Port สำหรับ rsyslog ไว้อยู่แล้ว ต้องคอมเมนต์การตั้งค่าเดิมออก เพื่อป้องกันความขัดแย้ง (Conflict)
5. (เฉพาะกรณีใช้ SELinux) ตรวจสอบ Port ที่ syslog_tls เปิดไว้ด้วยคำสั่ง semanage port -l | grep syslog_tls | grep tcp หาก Port ที่ต้องการยังไม่ถูกเปิด ให้รันคำสั่ง sudo semanage port -a -t syslog_tls_port_t -p tcp <port number>
6. ตรวจสอบว่าติดตั้ง rsyslog-gnutls แล้ว (สำหรับ CentOS ใช้คำสั่ง rpm -qa | grep rsyslog-gnutls) หากยังไม่ติดตั้ง ให้ติดตั้งก่อน จากนั้นรีสตาร์ทบริการด้วยคำสั่ง systemctl restart rsyslog
7. กลับมาที่หน้า EPP แล้วกด Save เพื่อเปิดใช้งานการส่ง Log แบบเข้ารหัส
วิธีที่ 2: Import certificate and key (นำเข้าใบรับรองจากภายนอก)
เหมาะกับกรณีที่ฝั่งเซิร์ฟเวอร์ Syslog มีระบบ CA ของตนเอง และเป็นผู้ออกใบรับรองให้ EPP โดยฝั่งเซิร์ฟเวอร์ Syslog ต้องจัดเตรียมไฟล์ .pem ครบ 3 ไฟล์ ให้นำเข้า EPP
1. เลือก Encryption Method เป็น Import certificate and key
2. อัปโหลดไฟล์ทั้ง 3 ไฟล์ (รองรับเฉพาะ .pem ขนาดไม่เกิน 1 MB)
- CA Certificate: ใบรับรองของ CA
- Private Key: Private Key ที่ออกให้ EPP
- Public Key Certificate: ใบรับรอง (Public Key) ของ EPP
3. ตรวจสอบให้แน่ใจว่าฝั่งเซิร์ฟเวอร์ Syslog ตั้งค่า $InputTCPServerStreamDriverAuthMode เป็น x509/certvalid แล้ว
4. กด Save เพื่อให้การตั้งค่ามีผล
หมายเหตุ
- การเชื่อมต่อนี้เป็นแบบ Mutual TLS คือมีการตรวจสอบใบรับรองทั้งฝั่ง EPP และฝั่งเซิร์ฟเวอร์ Syslog โดยอ้างอิง CA เดียวกัน
- เมื่อใช้ วิธีที่ 1 (Generate) ไฟล์
server_tls.confที่ได้จะถูกตั้งค่าAuthMode="x509/name"พร้อมPermittedPeer="RSYSLOG-*"มาให้โดยอัตโนมัติ และ EPP จะสร้างพร้อมนำเสนอใบรับรองฝั่ง Client ของตนเอง (ออกโดย CA ภายในของ EPP) ให้โดยอัตโนมัติ ไม่ต้องตั้งค่าใบรับรอง Client เพิ่มเติมบน EPP - สามารถกดปุ่ม View Configuration Guide ในหน้าตั้งค่า เพื่อดูคู่มือการตั้งค่าฝั่งเซิร์ฟเวอร์ Syslog เพิ่มเติมได้
- หากไม่มีข้อกำหนดเฉพาะว่าต้องใช้ CA ของระบบภายนอก แนะนำให้ใช้ วิธีที่ 1 (Generate encryption certificate) เนื่องจากตั้งค่าง่ายและลดความซับซ้อนในการแลกเปลี่ยนไฟล์ใบรับรอง
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น