stackit.guru
DE

Telemetry Router – Audit-Stream-Verarbeitung auf STACKIT

#monitoring
telemetry audit routing

Telemetry Router – Audit-Stream-Verarbeitung auf STACKIT

In regulierten Umgebungen musst du nachweisen können, wer wann was getan hat. Audit-Logs sind dafür unverzichtbar – aber sie nützen wenig, wenn sie verstreut in verschiedenen Services liegen. Der STACKIT Telemetry Router gibt dir eine zentrale Stelle, um Audit-Streams zu empfangen, nach Regeln zu filtern und an die richtigen Ziele weiterzuleiten.

Was ist der Telemetry Router?

Der Telemetry Router ist ein Managed Service auf STACKIT für die Verarbeitung und Weiterleitung von Telemetrie- und Audit-Daten:

  • Audit-Stream-Verarbeitung – Empfängt Audit-Events aus STACKIT-Services und leitet sie strukturiert weiter.
  • Routing-Regeln – Definiere Regeln, die bestimmen, welche Events wohin geroutet werden (z. B. nach Service, Severity oder Aktion).
  • Mehrere Ziele – Leite Audit-Daten gleichzeitig an STACKIT Logs, LogMe, Object Storage oder externe SIEM-Systeme weiter.
  • Compliance – Erfülle Anforderungen wie BSI C5, ISO 27001 oder DSGVO durch lückenlose Audit-Trails.
  • Filterung – Reduziere Rauschen, indem du nur relevante Events weiterleitest.

Tutorial: Telemetry Router konfigurieren

1. Telemetry-Router-Instanz erstellen

Erstelle eine Instanz über die STACKIT CLI:

stackit telemetry-router instance create \
  --project-id your-project-id \
  --name "audit-router-prod"

2. Ziel (Sink) definieren

Konfiguriere ein Ziel, an das Audit-Events weitergeleitet werden:

{
  "name": "audit-to-logs",
  "type": "stackit-logs",
  "config": {
    "instance_id": "your-logs-instance-id",
    "labels": {
      "source": "audit",
      "environment": "production"
    }
  }
}

3. Routing-Regel erstellen

Definiere eine Regel, die bestimmte Events an das Ziel routet:

{
  "name": "security-events",
  "description": "Alle sicherheitsrelevanten Audit-Events",
  "filter": {
    "service": ["iam", "secrets-manager"],
    "action": ["create", "delete", "update"],
    "severity": ["warning", "critical"]
  },
  "sinks": ["audit-to-logs"]
}

4. Audit-Stream aktivieren

Aktiviere den Audit-Stream für dein Projekt:

stackit telemetry-router stream enable \
  --project-id your-project-id \
  --source "stackit-audit"

5. Audit-Events überprüfen

Prüfe in deinem Logs-Ziel, ob Events ankommen:

{source="audit", service="iam"} | json | action="delete"

Nächste Schritte

  • Richte einen zweiten Sink zu Object Storage ein, um Audit-Logs langfristig und unveränderbar zu archivieren.
  • Erstelle Alerts auf kritische Audit-Events (z. B. Löschung von IAM-Rollen).
  • Nutze den Telemetry Router als Baustein für dein SIEM-Konzept.
  • Dokumentiere deine Routing-Regeln als Teil deiner Compliance-Nachweise.