更新时间:2024-11-08 GMT+08:00
容器审计概述
什么是容器审计?
容器审计功能支持对容器集群中的各种操作和活动进行监控和记录,可帮助用户洞察容器生命周期的各个阶段,包括创建、启动、停止和销毁等,以及容器之间的网络通信和数据传输情况。用户通过审计和分析,可以及时发现并处理安全问题,从而确保容器集群的安全性、稳定性。
支持审计的类型
- 集群容器:K8s审计日志、K8s事件、容器日志、容器运行指令。
- 非集群容器:容器日志、容器运行指令。
- SWR镜像仓:镜像仓日志。
应用场景
容器环境异常事件排查分析:当容器环境出现异常操作或活动时,可通过容器审计日志定位异常事件发生时间和行动轨迹,从而总结出解决办法。
使用说明
完全启用容器审计功能,需满足以下条件:
- 集群容器或非集群容器已接入HSS并开启容器版防护。
接入容器资产操作请参见为集群安装Agent,开启防护操作请参见开启容器版防护。
- 完成部分审计类型的审计前提操作,具体如表 审计前提说明所示。
表1 审计前提说明 对象
审计类型
审计前提
自建或第三方云集群
K8s审计日志
- 开启“集群入侵检测”策略。
详细操作请参见配置策略。
- 开启apiserver审计功能。
详细操作请参见开启apiserver审计功能。
华为云CCE集群
K8s审计日志
在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。详细操作请参见CCE日志配置。
K8s审计事件
容器日志
SWR私有镜像仓库
镜像仓日志审计
您使用了容器镜像服务SWR,并授予了HSS云审计服务的操作权限(CTSOperatePolicy),授权操作请参见授权管理。
- 开启“集群入侵检测”策略。
启用容器审计后,集群内的各类操作和活动日志将记录在HSS控制台,供您查看,查看审计日志的详细操作请参见查看容器审计日志。