Reenvío de eventos de auditorías a destinos personalizados
El reenvío de eventos de auditorías no está disponible en el sitio US1-FED.
El reenvío de eventos de auditorías está en fase beta.
El reenvío de eventos de auditorías te permite enviar eventos de auditorías desde Datadog a destinos personalizados como Splunk, Elasticsearch y endpoints HTTP. Los eventos de auditorías se reenvían en formato JSON. Puedes añadir hasta tres destinos para cada organización de Datadog.
Nota: Sólo los usuarios de Datadog con el permiso audit_trail_write
pueden crear, editar o eliminar destinos personalizados para reenviar eventos de auditorías.
Configurar el reenvío de eventos de auditorías a destinos personalizados
- Si es necesario, añade IP de webhooks de la lista de rangos IP a la lista de autorizaciones.
- Ve a Configuración de Audit Trail.
- Haz clic en Add Destination (Añadir el destino), en la sección Audit Event Forwarding (Reenvío de eventos de auditorías).
- Introduce la consulta para filtrar tus eventos de auditorías y reenviarlos. Por ejemplo, añade
@action:login
como consulta para filtrar, si sólo quieres reenviar eventos de inicio de sesión a tu SIEM o destino personalizado. Consulta Sintaxis de búsqueda para obtener más información. - Seleccione el Destination Type (Tipo de destino).
- Introduce un nombre para el destino.
- En el campo Define endpoint (Definir el endpoint), introduce el endpoint al que quieres enviar los logs. El endpoint debe empezar por
https://
. - En la sección Configure Authentication (Configurar la autenticación), selecciona uno de los siguientes tipos de autenticación y proporciona los datos apropiados:
- Autenticación básica: Proporciona el nombre de usuario y la contraseña de la cuenta a la que quieres enviar los logs.
- Encabezado de la solicitud: Proporciona el nombre y el valor del encabezado. Por ejemplo, si utilizas el encabezado Authorization (Autorización) y el nombre de usuario de la cuenta a la que quieres enviar los logs, será
myaccount
y la contraseña mypassword
:- Introduce
Authorization
para el Header Name (Nombre del encabezado). - El valor del encabezado tiene el formato
Basic username:password
, donde username:password
está codificado en base64. En este ejemplo, el valor del encabezado es Basic bXlhY2NvdW50Om15cGFzc3dvcmQ=
.
- Haz clic en Save (Guardar).
- Introduce un nombre para el destino.
- En la sección Configure Destination (Configurar el destino), introduce el endpoint al que quieres enviar los logs. El endpoint debe empezar por
https://
. Por ejemplo, introduce https://<your_account>.splunkcloud.com:8088
. **Nota: /services/collector/event
se añade automáticamente al endpoint. - En la sección Configure Authentication (Configurar la autenticación), introduce el token HEC Splunk. Consulta Configurar y utilizar un recopilador de eventos HTTP para obtener más información sobre el token HEC Splunk.
- Haz clic en Save (Guardar).
Nota: El reconocimiento del indizador debe estar deshabilitado.
Introduce un nombre para el destino.
En la sección Configure Destination (Configurar el destino), introduce los siguientes datos:
a. El endpoint al que quieres enviar los logs. El endpoint debe empezar por https://
. Un ejemplo de endpoint para Elasticsearch es: https://<your_account>.us-central1.gcp.cloud.es.io
.
b. El nombre del índice de destino al que quieres enviar los logs.
c. Opcionalmente, selecciona la rotación de índices para definir la frecuencia con la que quieres crear un nuevo índice: No Rotation
, Every Hour
, Every Day
, Every Week
o Every Month
. El valor predeterminado es No Rotation
.
En la sección Configure Authentication (Configurar la autenticación), introduce el nombre de usuario y la contraseña de tu cuenta de Elasticsearch.
Haz clic en Save (Guardar).
Leer más
Más enlaces, artículos y documentación útiles: