系统容器的监控

最新推荐文章于 2024-05-22 17:16:40 发布
最新推荐文章于 2024-05-22 17:16:40 发布
阅读量305 收藏
点赞数
文章标签: 网络 运维 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74079109/article/details/127277766
版权
本文详细介绍了在容器环境下如何进行安全监控和审计,包括主机、容器实例、镜像以及系统容器的监控。强调了监控的重要性,如主机监控、容器进程监控、文件系统监控、镜像监控和系统容器监控,并提到了配置审计和脆弱性评估的方法。通过使用各种工具和技术,如docker stats、netlink socket、perf event、eBPF等,可以有效地检测和预防潜在的恶意行为和安全威胁。
摘要由CSDN通过智能技术生成
运行时安全监控与审计

监控和审计机制是用来保证服务安全性
的常用手段,下面将介绍在容器环境下如何做安全监控和审计。1. 运行时监控 有别于传统环境,为了保证容器的稳定运行,在容器环境下需要从主机、容器实例、镜像等多个层面进行监
控审计。
(1)主机监控
主机监控基本就是传统主机监控的范围,通常可以包括主机的操作系统
信息、CPU 信息、内存信息、进程信 息、文件系统信息、网络状态等信息。主机的监控在运维体系中相对比较成熟,也有很多的开源工具进行实现, 比如 Performance Co-Pilot[^1] 、Icinga[^2] 、Munin[^3] 等,本文不再赘述。(2)容器实例监控
容器实例的监控通常包括主机上容器的基本信息(容器 ID、镜像名称、创建时间、状态、端口信息、容器名等), 容器的 CPU 使用量、内存使用量、块设备 I/O 使用量、网络使用情况等资源使用信息。具体可使用 docker stats 查看相关信息,如下所示。
docker stats 9d83d3116584
CONTAINER ID NAME CPU% MEM USAGE/LIMIT MEM% NET I/O BLOCK I/O PIDS 9d83d3116584 dev_proxy_1 0.00% 14.86MiB/125.9GiB 0.01% 286MB/286MB 14.3MB / 8.19kB 25

  1. 恶意行为监控

(1)容器监控
攻击者可利用应用程序
的漏洞、错误配置进入容器,然后以这个容器为跳板,对内部网络进行探测,进而发 现其它容器或者宿主机的进程和文件系统中的弱点来加以进一步利用和攻击。相应的保护方法是需要实时监控容 器内可疑进程(如端口扫描进程和反向 Shell 进程等)。具体包括:容器进程监控
被恶意攻击占领的容器会启动非法进程,例如数字货币挖掘软件或网络端口扫

最低0.47元/天 解锁文章
m0_74079109
关注
Docker(九):Docker轻量级可视化工具Portainer与容器监控3剑客CAdvisor+InfluxDB+Granfana
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
09-14 4万+
🟢 Docker(九):Docker轻量级可视化工具Portainer与容器监控3剑客CAdvisor+InfluxDB+Granfana
CKAD备战笔记(4)- 容器状态监测
chuuuing的博客
07-27 755
CKAD备战笔记(4)- 容器状态检测。MetricsServer的安装
运行时安全监控与审计
m0_73803866的博客
10-12 569
用户层的编程界面使用的是 socket 的流程,而且提供了广播 和组播的功能,多个进程可以同时获取内核的状态变化。这些都是其它通讯机制难以比拟的优势。容器实例的监控通常包括主机上容器的基本信息(容器 ID、镜像名称、创建时间、状态、端口信息、容器名等), 容器的 CPU 使用量、内存使用量、块设备 I/O 使用量、网络使用情况等资源使用信息。的容器环境中,通常每个容器中运行一组数量有限且明确定义的正常进程,这些进程都是相对 稳定和一致的,因而进程级别的白名单安全策略可以有效检测和阻止异常或恶意进程。
容器应用越发广泛,我们又该如何监测容器
阿里巴巴云原生的博客
08-11 276
作者 | 白玙 随着容器技术蓬勃发展与落地推行,越来越多企业的业务运行于容器中。作为主流部署方式之一,容器将团队的任务和关注点分割开,开发团队只需关注应用程序逻辑和依赖项,而运维团队只需关注部署和管理,无需再为特定软件版本和应用程序特定配置等应用程序细节而提心吊胆。这意味着开发团队和运维团队可以花费更少时间进行调试上线,将更多时间用于向最终用户交付新功能。容器使企业可以更加轻松的提高应用程序可移植性和操作弹性。据 CNCF 的调研报告显示,73% 受访者正在使用容器来提高生产敏捷性并加快创新速度。 为什么我
容器监控
cbmljs的博客
06-19 512
docker 自带的监控子命令 ps:docker ps | docker container ls top:docker container top $name stats:docker container stats sysdig sysdig 是一个轻量级的系统监控工具,同时它原生还支持容器docker container run -it --rm --name=sysdig --p...
基于SNMP实现对服务器中LXD容器的流量监控系统Java源码.zip
01-16
基于SNMP实现对服务器中LXD容器的流量监控系统Java源码.zip基于SNMP实现对服务器中LXD容器的流量监控系统Java源码.zip基于SNMP实现对服务器中LXD容器的流量监控系统Java源码.zip基于SNMP实现对服务器中LXD容器的流量...
prometheus监控docker容器详细资料—超详细,超全面(带文档和相关软件包)
06-04
这个压缩包可能包含了Prometheus 2.35.0版本的安装包、配置示例、Docker容器监控的文档以及如何在Linux环境下部署和使用Prometheus的详细步骤。通过学习这些资料,你可以深入了解如何在Docker环境中有效利用...
zabbix监控docker容器状态【推荐】
09-30
Docker监控的上下文中,触发器可以用来检测容器状态的异常情况,如容器停止运行时,系统就会触发警报。 ### 总结 综上所述,Zabbix提供了一套完整的解决方案,使用户可以监控Docker容器的状态,以及容器内的应用...
puppy-hids:Linux主机入侵检测系统演示,采用netlink_audit协议,支持主机与容器进程,网络,文件监控
03-11
方便使用 四个模块: 网站:前端输入服务器检测规则,黑白名单,代理监控文件,审核规则到mongodb;响应代理定时获取在线服务器列表 服务器:提供代理rpc服务器调用,从mongodb中获取代理监控配置,保存服务器在线信息到mongodb,发送日志到进行可视化 代理:netlink家族的NETLINK_AUDIT协议监听SYSCALL时间,规则可以动态配置;读取/ proc文件系统需要管理员权限运行 守护程序:响应服务器指令下发(socket) 系统采用netlink_audit协议检测进程执行,连接系统调用,仅依赖内核kauditd,这个在内核2.6集成;对于安装第三方auditd用户程序服务需要停止,否则代理接收不到系统通过netlink传递的事件信息,通过libpcap抓取网络连接五元组信息,在/ proc补全进程argv,comm,path等信息,对与短暂进程,网络连接建立LRU
「快学Docker监控和日志记录容器的健康和性能
热门推荐
wml_JavaKill的博客
11-22 1万+
过对容器的健康状态和性能进行监控和日志记录,可以及时发现问题、调整资源配置,并为持续优化容器化应用提供数据支持。这些措施有助于确保容器化环境的稳定性和高效性
Docker容器监控
u010227042的博客
02-25 884
利用docker compose组合应用并利用scale可以快速对容器进行扩充,而docker compose启动的服务容器都在同一台宿主机上,对于一个宿主机上运行多个容器应用时,容器的运行情况,如:CPU使用率,内存使用率,网络状态,磁盘空间等一系列随时间变化的时序数据信息,都需要进行了解,因此监控是必须的。
Docker容器化实战第三课 dockerfile介绍、容器安全与监控讲解
fegus的博客
05-29 1172
06 最佳实践:如何在生产中编写最优 Dockerfile? 在介绍 Dockerfile 最佳实践前,这里再强调一下,生产实践中一定优先使用 Dockerfile 的方式构建镜像。 因为使用 Dockerfile 构建镜像可以带来很多好处: 易于版本化管理,Dockerfile 本身是一个文本文件,方便存放在代码仓库做版本管理,可以很方便地找到各个版本之间的变更历史; 过程可追溯,Dockerfile 的每一行指令代表一个镜像层,根据 Dockerfile 的内容即可很明确地查看镜像的完整构建过
容器监控方案
最新发布
WWNY666的博客
05-22 1211
基本概念:Prometheus所有采集的监控数据均以指标(metric)的形式保存在内置的时间序列数据库(TSDB)中,这些指标属于同一指标名称和同一标签集合,并具有时间戳标记。每个组织可以有一个或多个数据源,所有的仪表板都是由一个特定的组织拥有。总的来说,Grafana是一个功能丰富的数据可视化和监控平台,广泛应用于各种场景,包括基础设施监控、应用程序性能管理、网络监控等。监控和警报:Prometheus被广泛应用于监控和警报系统中,可以实时收集、存储和查询监控指标,并生成警报以便及时处理问题。
docker容器监控的实现
chuxiong5717的博客
08-05 1399
本文写于2015年,所有PAAS平台相关内容都已经在2015Q3完成,当时使用的docker版本为1.6.2,虽然docker新版本发布很快,但是下面提到的监控相关的内容大致相同。 一、 docker容器有哪些指标需要监控容器CPU、内存、IO、网络、应用存活 ...
容器性能监控和日志管理
karamos的专栏
07-01 3582
作者:林帆,ThoughtWorks公司DevOps技术咨询师。热衷于对DevOps和容器技术应用的推广,在容器规模化运维方面有较丰富实践经验。 本文节选自《程序员》,谢绝转载,更多精彩,请订阅《程序员》 OpenStack Days China将于7月14-15日在北京国家会议中心隆重举行,包括Alan Clark等基金会董事都会亲临现场,目前票价优惠,欲报从速。 都说『下层基...
docker服务器如何监控系统资源,如何监控docker容器内的服务进程
weixin_39861627的博客
08-04 1024
如何监控docker容器内的服务进程?docker的缺点是, 把代码封装到一组容器中可能会导致缺乏可见性,容器变成了黑盒子并使得开发人员对容器内部的工作方式几乎不可见。为了能够更精确的分配每个容器能使用的资源,我们想要实时获取容器运行时使用资源的情况。无论是传统的基础组件监控,还是应用性能监控的方式,都很难有效地监控 Docker。介绍一下现有的 Docker 相关监测 App 和服务,包括简单的...
Docker容器时代安全实践
wzlsunice88的博客
12-11 932
Docker容器时代安全实践 互联网安全团队 OPPO安全应急响应中心    Docker容器安全实践   随着容器时代Docker技术的近年来高速发展, Google、Amazon等各大公司接连发布基于容器Docker的新业务,云计算进入Docker容器时代,那么Docker容器技术下给安全防御体系带来哪些挑战和变化呢?  以下OPPO互联网安全团队基于Docker容器技术的安全实践,...
实战:搭建Docker容器可视化监控系统
首先,我们需要理解容器监控的重要性。容器化应用在宿主机上运行,它们的性能指标直接影响到应用的稳定性和效率。时序数据是跟踪这些变化的关键,它记录了容器在时间轴上的各种性能指标。通过收集和分析这些数据,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值