云原生日志审计

最新推荐文章于 2024-08-13 20:42:52 发布
最新推荐文章于 2024-08-13 20:42:52 发布
阅读量428 收藏
点赞数
分类专栏: 云原生 文章标签: 云原生 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/key_3_feng/article/details/124871955
版权

云原生日志审计

网络安全的审计是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。

作为安全审计的重要数据来源,日志展现的是系统和应用运行产生的事件或者程序在执行的过程中产生的一些记录,可以详细解释系统的运行状态。日志描述了一些离散的、不连续的事件,对于应用程序的可见性是很好的信息来源,日志同样也为应用程序分析提供了精确的数据源。

对于云原生架构下的日志审计与分析,其面临的挑战主要包括两个层面,一方面是日志审计本身面临的挑战。

日志存储分散。企业IT系统中的各种网络设备、安全设备、应用系统等分散在网络的不同位置,安全审计人员须通过不同的方式,查看设备/应用产生的日志、设备/应用的状态。

日志数据量大。企业IT系统中的各种网络设备、安全设备、应用系统等每天会产生大量的日志,安全审计人员很难通过人工的手段进行集中存储管理以及有效分析。

日志格式不统一。企业IT系统中的各种网络设备、安全设备、应用系统等不同的设备类型产生的日志格式都不相同,安全审计人员须了解每种设备/应用日志的格式才有可能分析日志,日志分析成本很大。

另一方面,针对云原生环境以及云原生应用的特性,其平台、网络以及应用在架构和行为上较传统IT系统都有着更大的复杂性。因此,相比较传统的日志审计,云原生架构下的日志审计面临的挑战将会更大。

Docker日志审计

Docker支持多种日志记录机制,用以帮助用户从正在运行的容器和服务中获取信息,这种机制被称为日志驱动程序。Docker从1.6版本开始支持日志驱动,用户可以将日志直接从容器输出到如syslogd这样的日志系统中。每个Docker守护进程都有一个默认的日志驱动程序,通常这个默认的日志驱动是json-file,也就是以JSON文件的形式保存日志信息。同时Docker还支持其他日志驱动,比如none、syslog、gelf和fluentd等。

Kubernetes日志审计

另外,对于单个节点上的日志记录,还需要重点考虑日志的轮转(rotation)问题,保证日志记录不会消耗掉节点上的全部可用空间。Kubernetes本身并不负责轮转日志,而是通过部署相关的日志工具来解决这个问题。

集群级的日志架构需要一个独立的后端,用来存储、分析和查询日志。Kubernetes当前并不为日志数据提供原生的存储解决方案,不过,有很多现成的日志方案可以集成到Kubernetes中。Kubernetes针对Pod提供了基本的日志记录,我们使用kubectl logs即可通过标准输出打印相关的日志记录。

Kubernetes系统组件的日志同样需要有一定的方案来记录和存储。系统组件日志主要记录了集群中发生的事件,这对于调试以及安全审计有着重要的作用。系统组件日志可以根据需要配置日志的粒度,灵活调整日志记录的细节程度。日志可以是只粗粒度地显示组件内的错误,也可以是更加细粒度的,如记录事件的每一个追踪步骤(HTTP访问日志、Pod状态更新、控制器操作、调度器决策等)。

Kubernetes默认使用的日志库是klog,它专门用来做日志初始化的相关操作,klog是glog的fork版本。当前,支持Kubernetes的日志管理工具种类也比较多,如Zebrium、ElasticStack、CloudWatch、Fluentd等,这些日志管理工具都有着一个共同的目标,那就是可以尽可能高效、快速地进行日志监控、记录以及分析处理。

日志实现了对系统和应用行为的记录,对云原生可观测性的实现起到了重要的作用。我们可以通过日志系统获取系统以及应用的详细操作数据,是云原生可观测性重要的数据来源。

云原生可观察性之日志管理
Docker的专栏
09-28 848
日志通常含有非常有价值的信息,日志管理是云原生可观察性的重要组成部分。不同于物理机或虚拟机,在容器与 Kubernetes 环境中,日志有标准的输出方式(stdout),...
日志审计携手DDoS防护助力云上安全
阿里云云栖号
08-25 1165
简介:本文主要介绍日志审计结合DDoS防护保障云上业务安全的新实践。 日志审计携手DDoS防护助力云上安全 1 背景介绍 设想一下,此时你正在高速公路上开车去上班,路上还有其他汽车,总体而言,大家都按照清晰的合法速度平稳驾驶,当你接近入口坡道的时候,会有更多的车辆加入,然后入口处的车辆越来越多,越来越多,直到所有的交通都慢了下来,最后原来的通行入口拒绝了所有车辆的通过请求。若把通行入口比作服务器的某些资源,那么这就是现实中的一种DDoS案例。 1.1 DDoS攻击 那么什么是DDoS呢?分布式拒.
网易开源云原生日志系统!
emprere的博客
03-13 1070
上一篇:字节跳动面试经验总结,已顺利拿到offer!近日,由网易和中国工商银行联合发起的云原生日志系统Loggie项目正式开源。云原生日志之痛企业数字化转型浪潮中,采用云原生技术解决数字化...
云原生日志Loki
最新发布
weixin_72583321的博客
08-13 1615
Loki是 Grafana Labs 团队最新的开源项目,是一个水平可扩展,高可用性,多租户的日志聚合系统。它的设计非常经济高效且易于操作,因为它不会为日志内容编制索引,而是为每个日志流编制一组标签。项目受 Prometheus 启发,官方的介绍就是:Like Prometheus, but for logs,类似于 Prometheus 的日志系统。
云原生日志方案的架构设计
xmt1139057136的专栏
11-14 437
本篇文章单刀直入,会直接跟大家分享一下如何在云原生的场景下搭建一个灵活、功能强大、可靠、可扩容的日志系统。需求驱动架构设计技术架构,是将产品需求转变为技术实现的过程。对于...
直播 | 云原生可观察性之日志管理
Docker的专栏
09-18 303
分享时间:9月19日 20:30分享主题:云原生可观察性之日志管理分享人介绍:霍秉杰,KubeSphere 可观察性产品负责人,负责 KubeSphere 监控告警、日志...
云原生架构下的日志收集模式
m0_60258751的博客
10-31 300
节点上的业务容器都会写日志到节点的/var/log 目录下,每个节点上的Fluentd容器加载该目录并读取其中的内容,然后推送到Elasticsearch,Elasticsearch将日志存储在后端。如图1所示,一般一个节点上会有数十数百个主容器,这样一来,假设一个节点可承载容器的数量是n,若一个主容器有k个伴生容器,则这个节点可承载主容器的数量就降低到n/(k+1)个。在伴生容器模式下,Pod内部有主业务容器,同时有一个日志代理功能的伴生容器,两个容器共享同一个卷。图3通过伴生日志代理容器收集日志
云原生服务网格Istio:原理、实践、架构与源码解析.zip
06-10
- **Mixer**:处理跨服务的访问控制和遥测数据收集,可以对接多种后端服务如日志、监控和审计系统。 - **Citadel**:负责服务网格中的身份验证和授权,确保服务之间的通信安全。 - **Galley**:作为配置处理和...
云原生开发实战项目教程
kkchenjj的博客
07-11 675
Spring Cloud是一套基于Spring Boot的微服务开发工具包,它提供了构建微服务架构所需的各种工具,包括服务发现、配置管理、智能路由、断路器、负载均衡、微代理、控制总线、一次性令牌、全局锁、领导选举、分布式会话、集群状态等。Spring Cloud的目标是快速构建分布式系统中的服务,而无需从头开始编写所有基础设施代码。通过上述示例,我们可以看到Spring Cloud如何简化微服务的构建过程。它不仅提供了服务发现和负载均衡的功能,还简化了配置管理、健康检查等基础设施的实现。
云原生架构下的性能优化与调优
kkchenjj的博客
07-11 873
云原生架构中,性能指标是衡量系统运行效率的关键。这些指标包括但不限于响应时间、吞吐量、资源利用率、延迟和并发用户数。例如,响应时间是指从客户端发送请求到接收响应的时间,吞吐量则是单位时间内系统能处理的请求数量。资源利用率,如CPU和内存使用率,帮助我们了解系统是否在高效地使用资源。延迟和并发用户数则分别反映了请求处理的等待时间和系统同时处理的用户数量。
HummerRisk 是云原生安全平台,包括混合云安全治理和容器云安全检测
08-15
5. **报告与合规**:提供详细的审计日志和安全报告,帮助企业满足合规要求。 HummerRisk的开源特性使得社区能够共同参与和改进,促进技术创新和最佳实践的传播。开发者可以利用其开放API和插件系统来扩展平台功能,...
云上日志集中审计
阿里云开发者
08-11 346
简介:在SLS的日志审计应用的基础上,集中汇聚云安全产品日志、Web服务日志等,进行集中审计。直达最佳实践:【云上日志集中审计】最佳实践频道:【点击查看更多上云最佳实践】这里有丰富的企业上云最佳实践,从典型场景入门,提供一系列项目实践方案,降低企业上云门槛的同时满足您的需求! 场景描述 云上的各类云产品和客户部署的业务系统会产生各类日志,企业合规及安全运营等都需要在一个地方能集中的查看和分析日志;目前各云产品日志大部分都进了sls,但都是产品独立的project,不方便集中审计;客户的业务系统日志各种形态都
审计日志_天翼云——云审计服务
weixin_39854730的博客
01-03 1133
​云审计服务(CT-CTS,Cloud Trace Service),是天翼云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。云审计服务会记录当前云帐户对云资源的操作记录,包括通过管理控制台、系统内各服务内部触发、API接口执行的操作记录,提供操作记录查询,并可通过配置存储服务,对操作记录实时同步保存...
云原生的可观察性与分析
爱死亡机器人
03-25 419
文章目录1. 日志记录 (Logging )1.1 这是什么1.2 它解决的问题1.3 它如何帮助1.4 技术1012. 监控(Monitoring)2.1 这是什么2.2 它解决的问题2.3 它如何帮助2.4 技术1013. 追踪(Tracing)3.1 这是什么3.2 它解决的问题3.3 它如何帮助3.4 技术1014.1 混沌工程(Chaos Engineering)4.2 这是什么4.2 它解决的问题4.3 它如何帮助4.4 技术101 我们终于到达了云原生计算基金会景观系列的最后一部分。如果您错过
Logging Operator - 优雅的云原生日志管理方案 (三)
01-11 917
c 前文: Logging Operator 的文章去年拖更很久了,原以为不会再有进度,不过最近在自己的KubeGems项目中遇到处理日志可观察性部分的需求时,又重新研究了下它,于是有了本系列的第三篇。 Logging Operator是BanzaiCloud下开源的一个云原生场景下的日志采集方案。它在 2020 年 3 月的时候经过重构后的 v3 版本,底层凭借高效的 fluentbit 和插件丰富的 flunetd,Logging Operator几乎已经完美的适配了 kubernetes 模式下的
基于云原生日志分类处理方案与落地实践
Docker的专栏
11-25 612
日志在企业应用中是最有价值的数据之一,追溯过去的记录,记录现在的状态,探寻未来的趋势。本文将分享云平台环境下大流量日志基于云原生技术的价值密度分类处理方案与落地实践,在提升企业日志服务质量、降低企业日志存储成本方面具有参考意义。说明:为规避业务敏感数字,涉及相关数据以N表示。方案背景与起源360搜索是业务QPS峰值达数十万级的典型互联网大并发场景,高流量的业务伴随着大流量的日志,在日志输出效益、治...
云原生内容分享(十二):云原生日志监控系统(Loki-stack)
之乎者也·的博客
02-09 1435
Promtail用来将容器日志发送到 Loki 或者 Grafana 服务上的日志收集工具该工具主要包括发现采集目标以及给日志流添加上 Label 标签 然后发送给 LokiPromtail 的服务发现是基于 Prometheus 的服务发现机制实现的Loki受 Prometheus 启发的可水平扩展、高可用以及支持多租户的日志聚合系统使用了和 Prometheus 相同的服务发现机制,将标签添加到日志流中而不是构建全文索引。
构建企业级云原生日志系统架构
云原生实验室
07-28 392
❝本文转自大数据老司机的博客,原文:https://www.cnblogs.com/liugp/p/16463920.html,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang一、概述❝ELK 是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个 FileBe...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值