更新时间:2024-11-08 GMT+08:00

容器审计概述

什么是容器审计?

容器审计功能支持对容器集群中的各种操作和活动进行监控和记录,可帮助用户洞察容器生命周期的各个阶段,包括创建、启动、停止和销毁等,以及容器之间的网络通信和数据传输情况。用户通过审计和分析,可以及时发现并处理安全问题,从而确保容器集群的安全性、稳定性。

支持审计的类型

  • 集群容器:K8s审计日志、K8s事件、容器日志、容器运行指令。
  • 非集群容器:容器日志、容器运行指令。
  • SWR镜像仓:镜像仓日志。

应用场景

容器环境异常事件排查分析:当容器环境出现异常操作或活动时,可通过容器审计日志定位异常事件发生时间和行动轨迹,从而总结出解决办法。

使用说明

完全启用容器审计功能,需满足以下条件:

  1. 集群容器或非集群容器已接入HSS并开启容器版防护。

    接入容器资产操作请参见为集群安装Agent,开启防护操作请参见开启容器版防护

  2. 完成部分审计类型的审计前提操作,具体如表 审计前提说明所示。
    表1 审计前提说明

    对象

    审计类型

    审计前提

    自建或第三方云集群

    K8s审计日志

    1. 开启“集群入侵检测”策略。

      详细操作请参见配置策略

    2. 开启apiserver审计功能。

      详细操作请参见开启apiserver审计功能

    华为云CCE集群

    K8s审计日志

    在CCE管理控制台开启“kubernetes事件”“kubernetes审计日志”“容器日志”采集。详细操作请参见CCE日志配置

    K8s审计事件

    容器日志

    SWR私有镜像仓库

    镜像仓日志审计

    您使用了容器镜像服务SWR,并授予了HSS云审计服务的操作权限(CTSOperatePolicy),授权操作请参见授权管理

启用容器审计后,集群内的各类操作和活动日志将记录在HSS控制台,供您查看,查看审计日志的详细操作请参见查看容器审计日志