【发布时间】:2020-03-30 16:40:07
【问题描述】:
对于 EKS 集群,cloudtrail 会记录集群事件,例如创建、更新和删除。但是,我们使用 kubeadm 来配置集群。我们如何记录这些集群事件的审计跟踪?谢谢。
【问题讨论】:
标签: amazon-web-services kubernetes audit
【发布时间】:2020-03-30 16:40:07
【问题描述】:
CloudTrail 在 AWS 中记录 API 事件,所以我认为您不能将它用于 K8S 事件。但是,您可以使用日志发送程序将自定义指标发送到 CloudWatch。您可以从那里发出事件并创建仪表板。
为此,您有几个选择,您可以使用 CloudWatch 代理、An Elastic Beat、Logstash,或者如果您不想使用 CloudWatch,也可以使用 Splunk 之类的东西。
从 K8S 文档中,有一个审核日志(可能在您的集群的 /var/log/kube-audit)...
Kubernetes 审计提供了一组与安全相关的按时间顺序排列的记录,记录了单个用户、管理员或系统其他组件影响系统的活动顺序。它允许集群管理员回答以下问题:
您可以使用其他服务发送/解析此日志。
如果您需要对结果进行更多控制,您可以根据 libbeat 规范编写自定义 Beat。 https://github.com/elastic/beats/tree/master/libbeat
否则,我认为很多人使用 Filebeat:https://github.com/elastic/beats/tree/master/deploy/kubernetes
K8S 还支持自定义审计策略以进一步控制
【讨论】: