容器审计概述

什么是容器审计？

容器审计功能支持对容器集群中的各种操作和活动进行监控和记录，可帮助用户洞察容器生命周期的各个阶段，包括创建、启动、停止和销毁等，以及容器之间的网络通信和数据传输情况。用户通过审计和分析，可以及时发现并处理安全问题，从而确保容器集群的安全性、稳定性。

支持审计的类型

• 集群容器：K8s审计日志、K8s事件、容器日志、容器运行指令。
• 非集群容器：容器日志、容器运行指令。
• SWR镜像仓：镜像仓日志。

应用场景

容器环境异常事件排查分析：当容器环境出现异常操作或活动时，可通过容器审计日志定位异常事件发生时间和行动轨迹，从而总结出解决办法。

使用说明

完全启用容器审计功能，需满足以下条件：

1. 集群容器或非集群容器已接入HSS并开启容器版防护。

   接入容器资产操作请参见为集群安装Agent，开启防护操作请参见开启容器版防护。

2. 完成部分审计类型的审计前提操作，具体如表 审计前提说明所示。

   表1 审计前提说明

   对象	审计类型	审计前提
   自建或第三方云集群	K8s审计日志	开启“集群入侵检测”策略。 详细操作请参见配置策略。 开启apiserver审计功能。 详细操作请参见开启apiserver审计功能。
   华为云CCE集群	K8s审计日志	在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。详细操作请参见CCE日志配置。
   	K8s审计事件
   	容器日志
   SWR私有镜像仓库	镜像仓日志审计	您使用了容器镜像服务SWR，并授予了HSS云审计服务的操作权限（CTSOperatePolicy），授权操作请参见授权管理。

启用容器审计后，集群内的各类操作和活动日志将记录在HSS控制台，供您查看，查看审计日志的详细操作请参见查看容器审计日志。