审计日志_Kubernetes审计日志功能

最新推荐文章于 2024-06-04 16:40:20 发布
最新推荐文章于 2024-06-04 16:40:20 发布
阅读量908 收藏
点赞数
文章标签: 审计日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32375895/article/details/112668017
版权

1. 背景

kubernetes 1.6版本开始支持审计功能,到1.12版本审计功能GA,而本文则是针对kubernetes 1.15+简单说明其审计功能的开启和配置。那何为审计功能呢,审计功能又有什么作用呢?

如下是摘自Kubernetes官方文档的一段话:

Kubernetes 审计功能提供了与安全相关的按时间顺序排列的记录集,记录单个用户、管理员或系统其他组件影响系统的活动顺序。 它能帮助集群管理员处理以下问题:
- 发生了什么?
- 什么时候发生的?
- 谁触发的?
- 为什么发生?
- 在哪观察到的?
- 它从哪触发的?
- 它将产生什么后果?

2. 审计功能开启

Kubernetes的审计功能是通过kube-apiserver开启,具体是主要设置kube-apiserver的两个启动参数audit-policy-fileaudit-log-path,如果是kubeadm搭建的kubernetes集群,则修改kube-apiserver的配置文件/etc/kubernetes/manifests/kube-apiserver.yaml即可,比如:

a01200a578b4571f47087327fe53fd9d.png

至于这两个参数以及如上截图中其他审计相关的参数的具体意义,下文会进一步说明。

2.1 审计策略

审计策略定义了kubernetes哪些资源的事件被记录以及被记录事件的数据规则,对应上面截图中参数audit-policy-file,文件配置会涉及到两个十分重要的名词解释:审计阶段和审计级别。

2.1.1 审计阶段

及记录事件的时机,这里分为四种类型:

  • RequestReceived:一旦接收到请求即刻记录审计事件;
  • ResponseStarted:响应头发出,响应消息体未发出之前,一般适用于长连接或者耗时任务的场景;
  • ResponseComplete:响应消息体完成;
  • Panic:出现panic

2.1.2 审计级别

代表记录审计日志的完整程度,常见的也有四种:

  • None:不记录审计日志;
  • Metadata:记录请求的原子数据信息比如请求的user、method、时间、资源类型等,但不包括请求体和响应体;
  • Request:记录包括Metadata和请求体,但不包括响应体;
  • RequestResponse:记录包括Metadata、请求体、响应体;

当然,除了上述两个关键字之外,审计策略还应包括具体的规则(rules),比如请求的user、method、resource等,并且这里规则的配置跟kubernetes role规则的写法基本一致,举一个简单的审计策略配置的例子,只针对pod的创建和删除记录审计日志:

# cat /etc/kubernetes/pki/audit-policy.yaml
apiVersion: audit.k8s.io/v1beta1  # 必须字段,固定写法
kind: Policy  # 必须字段,固定写法
omitStages:
  - "RequestReceived"  # 审计阶段
rules:  # rule按顺序匹配
  - level: Request  # 审计级别
    verbs:
    - create
    - delete
    resources:
    - group: ""
      resources:
      - pods
  - level: None

2.2 审计后端

审计后端则实现将审计日志导出,支持两种方式:Log后端webhook后端,后一种方式此文不做展开,简单说明一下Log后端

2.2.1 配置参数

其中最重要的参数则对应上面截图中参数audit-log-path,即审计日志写入的文件路径,如果不设置此参数则表示禁用Log后端,如果设置-则表示标准输出(比如stdout、strerr形式的输出),此时可以通过kubectl logs命令打印日志输出。

还有一些参数比如:

  • audit-log-maxage:日志保留的最大天数;
  • audit-log-maxbackup:日志文件保留的最大数量;
  • audit-log-maxsize:单个日志文件的最大容量,超过则轮转记录到一个新文件;
  • audit-log-format:日志记录的格式,比如json等;

2.2.2 审计日志采集

对于将日志保存到文件中,默认是无法采集到日志信息,实际环境中可以采用sidecar或者其他三方代理的形式比如fluentd,这儿呢为了做下简单测试直接使用了卷挂载的形式(将pod容器中文件映射到本地),即在kube-apiserver添加如下配置:

...
    VolumeMounts:
    - mountPath: /var/log
      name: audit-log
  volumes:
  - hostPath:
      path: /var/log/kubernetes
      type: DirectoryOrCreate
...

保存kube-apiserver配置则会自动重启apiserver,待重启完成后可通过手动删除、创建一个pod来观察审计日志的输出:

87a9cc328ba59b918e9873a2117df16f.png
韦思嘉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
plsql导出表的log日志在哪_Kubernetes审计日志功能
weixin_39957934的博客
12-04 1645
1. 背景从kubernetes 1.6版本开始支持审计功能,到1.12版本审计功能GA,而本文则是针对kubernetes 1.15+简单说明其审计功能的开启和配置。那何为审计功能呢,审计功能又有什么作用呢?如下是摘自Kubernetes官方文档的一段话: Kubernetes 审计功能提供了与安全相关的按时间顺序排列的记录集,记录单个用户、管理员或系统其他组件影响系统的活动顺序。 它能帮助集群...
plsql导出表的log日志在哪_Stata日志启用log、结果输出到word/excel
weixin_39715290的博客
12-06 2508
点击上方“蓝字”关注我们吧!一、Stata日志启用Stata在执行命令的时候,可以启用日志功能启用日志功能后,所有执行命令的过程和结果都会完整的保存到一个.smcl文件中。这样,想指导某一步的估结果或者是想回顾相关命令的结果时,打开.smcl文件就可以查阅,可以说stata的日志功能是非常方便的。011、启用和关闭日志cd "C:\Users\manfredo\Desktop "lo...
基于可视化配置的日志结构化转换实现
weixin_30342209的博客
07-31 356
导读:数据总线DBus的总体架构中主要包括六大模块,分别是:日志抓取模块、增量转换模块、全量抽取程序、日志算子处理模块、心跳监控模块、Web管理模块。六大模块各自的功能相互连接,构成DBus的工作原理:通过读取RDBMS增量日志的方式来实时获取增量数据日志(支持全量拉取);基于Logstash,flume,filebeat等抓取工具来实时获得数据,以可视化的方式对数据进行结构化输出。本文...
什么是日志审计,为什么要使用日志审计功能
最新发布
mykeykeyab的博客
06-04 352
日志审计是一种用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告的系统。常用的日志审计功能有:上网日志、程序日志、屏幕日志、 文件操作日志、打印日志、流量的日志等,审计这些日志有助于帮助管理者及时了解客户端日常使用状况。自动化:系统能够自动进行日志的收集、存储、监控和分析等操作,减少人工干预和错误率。实时性:系统能够实时监测和分析日志事件,及时发现潜在的安全威胁和异常活动。
plsql导出表的log日志在哪_MySQL5.7 如何在线回收undo log回滚日志物理文件空间?...
weixin_39774219的博客
11-22 547
概述undo log回滚日志是保存在共享表空间ibdata1文件里,随着业务的不停运转,ibdata1文件会越来越大,想要回收(收缩空间大小)极其困难和复杂, 必须先mysqldump -A全库的导出,然后删掉data目录,然后重新初始化安装,最后再把全库的SQL文件导入,采用这种方法进行ibdata1文件的回收。那么有没有什么更好的办法呢?在线回收UNDO表空间在MySQL5.6里,可以把und...
plsql developer 日志目录_Neo4j本地运行的日志优化
weixin_39520775的博客
11-28 708
译者言: 本文重点介绍Neo4j的日志配置中关于日志文件大小的控制选项,并给出在本地运行Neo4j时推荐的日志配置。在本地运行Neo4j的用户有一件事一定要注意:事务日志所占用的磁盘大小,特别是进行了大量的增删数据之后。我们先来看一下下面的这条语句:UNWIND range(0, 1000) AS idCREATE (:Foo {id: id});MATCH (f:Foo)DELETE f这条语句...
信息安全_数据安全_Kubernetes Practical Attack and .pdf
08-22
在现代云算环境中,Kubernetes(K8s)作为容器编排平台,已经成为企业级应用部署的首选。...从渗透测试到应用审计,再到事件检测和防御响应,每个环节都需要周密考虑,以构建一个强壮且安全的Kubernetes环境。
CIS_Kubernetes_V1.23_Benchmark_V1.0.1_PDF
06-07
- API服务器的访问控制和审计日志配置 - 配置控制器、调度器和etcd数据库的安全参数 2. 节点安全涵盖了节点初始化、容器运行时安全、Pod安全策略等方面,包括: - 定义节点的认证、授权和加密机制 - 避免root...
Compromising_Kubernetes_Cluster_by_Exploiting_RBAC_Permissio
08-28
此外,定期审计RBAC配置、监控异常活动、使用多因素认证以及限制服务账户的权限范围也是保护Kubernetes集群免受攻击的重要措施。 总的来说,理解和正确实施Kubernetes的RBAC是保障云环境安全的关键步骤。只有通过...
Kubernetes Ingress日志分析最佳实践.pptx
10-11
日志审计Kubernetes Ingress日志分析的重要组件之一。日志审计可以提供详细的日志信息,以便更好地了解应用程序的运行情况。同时,日志审计也可以提供实时的日志分析和监控,以便快速发现和解决问题。 攻击溯源 ...
[APT攻击]大数据交易与处理中的数据脱敏技术研究.zip
11-04
通过脱敏的日志记录,企业可以进行有效的监控和审计,追踪异常行为,同时避免敏感信息在审计过程中被不当暴露。 总的来说,数据脱敏是大数据交易与处理中的核心安全措施,它涵盖了企业安全的多个层面,包括预防APT...
kubernetes--kubernetes审计日志(api访问日志
m0_57911290的博客
03-25 2134
Kubernetes集群中,API Server的审计日志记录了哪些用户、哪些服务求操作集群资源,并且可以编写不通规则,控制忽略、存储的操作日志审计日志采用JSON输出,每条日志报包含丰富的元数据,例如求的URL、HTTP的方法、客户端来源登,你可以使用监控服务来分析API流量,以检测趋势或可能存在的安全隐患。管理节点(controller-manager scheduler)工作节点(kubelt、kube-proxy)集群服务(CoreDNS、Calico、HPA等)
plsql 学习日志
老猫减肥ing的学习日志
03-07 1368
20180302最简单的plsql过程,输出‘Hello World’,serverouput 打开输出,以显示字符declare begin dbms_output.put_line('Hello World'); --输出字符 end; /set serveroutput on; /定义变量,注意赋值语句使用 := ,为了和SQL的表连接语句区分declare pnumber number...
Sql日志
m0_38028241的博客
03-18 921
运营同学帮忙想办法定位,咨询是否查询都会留下痕迹 解决思路 通过sql语句定位到账号的服务器地址 再通过jumpserver的记录定位到这个时间点操作这台数据库的人 查看正在执行的语句 show processlist output: +-------+------+-----------------+----------------+---------+------+-------+---mysql查询历史执行sql记录_mysql查询最近执行的sql_震霄云天的博客-CSD...
PL/SQL打开日志和关闭日志
CHX_Stone的专栏
06-09 1757
/关闭日志/ l_str := ‘alter table zx_bus_jxl_data_source_bak nologging’; EXECUTE IMMEDIATE l_str; /打开日志/ l_str := ‘alter table zx_bus_jxl_data_source_bak logging’; EXECUTE IMMEDIATE l_str;
plsql查oracle日志快捷键,PLSQL LOG用法及代码示例
weixin_34364310的博客
04-09 1498
PLSQL LOG函数用于返回n基m的对数。 LOG函数接受两个用于算对数值的参数。 LOG函数返回数字数据类型的值。此函数将任何数字数据类型以及可以隐式转换为数字数据类型的任何非数字数据类型作为参数。无论如何,如果参数为BINARY_FLOAT或BINARY_DOUBLE,则LOG函数返回BINARY_DOUBLE,否则返回数字。用法:LOG( m, n )使用的参数:m –用于指定基本号码。...
PLSQL查询数据库操作历史记录
热门推荐
Waite的博客
03-05 4万+
PLSQL查询数据库操作历史记录:1、在PLSQL按键Ctrl+E可以查询我们在PLSQL执行过的历史SQL,包括时间、用户、语句;2、SELECT * FROM V$SQL执行sql查询,查询内容包含所有用户和应用系统对数据库的操作,执行过的sql;3、SELECT * FROM v$process 查询数据库的进程;4、v$session操作系统会话,通过v$process.addr和   v...
plsql导出查询结果
六兮的博客
06-25 1万+
今天导数据被坑了又坑,实属无奈。记录一下,避免再被坑! 查询出结果,点击蓝色按钮,选择要导出的文件格式即可。 导出是需要注意以下几点: 1.不用点击“获取最后页”按钮,直接导出即为全部查询结果(坑:同事让我全部加载,我说不用加载,还跟我抬杠,才22万数据加载到15万就闪退) 2.当导出文件为excel文件时,因为*.xls格式(office 2003),只能容纳65536行数据,如果导出的数据...
oracle导出数据,备份及恢复数据,及数据库日志文件的查看
iverson_AL的博客
12-04 9636
以salary为例,在PLSQL Developer中操作 1.导出salary表的数据:将 salary 表的数据以 insert 语句的方式导出                                            tools-->Export Tables-->                                            选择左侧对象树上面的“
阿里云日志服务专家元乙分享:Kubernetes日志采集与分析最佳实践
对于Kubernetes环境中的日志管理,特别关注了ApiServer、Ingress、ServiceMesh和应用程序内部的日志分类,这些组件的日志对于故障诊断、性能优化和安全审计至关重要。LogHub不仅提供搜索功能,还支持高级分析,如流...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值