阿里云国际站代理商:如何通过日志审计追踪异常操作?

简介:TG@luotuoemo

本文由阿里云代理商【聚搜云】撰写

1. 启用容器内部操作审计功能

容器内部操作审计功能可以记录容器内执行的命令和操作,帮助追踪异常行为。

  1. 安装组件

    • 登录容器服务管理控制台,选择目标集群。
    • 在组件管理页面,安装logtail-dsack-advanced-audit组件。
  2. 查看审计报表

    • 登录日志服务控制台,选择集群使用的日志Project。
    • 查看Kubernetes容器内部操作审计报表,包括进入容器的次数、执行命令列表等。

2. 查看详细日志记录

通过审计报表或日志库页面查看详细的日志记录:

  • 审计报表页面:查看最近的单个事件日志。
  • 日志库页面:通过查询语句(如* and k8s.pod.namespace: <namespace> and k8s.pod.name: <pod_name>)查看特定Pod的操作日志。

3. 配置操作审计告警

通过日志服务的告警功能,配置容器操作的实时告警:

  1. 登录日志服务控制台,进入告警中心。
  2. 创建Webhook(如钉钉机器人),配置告警通知。

4. 实时监控集群异常事件

使用ack-node-problem-detector结合日志服务(SLS)监控集群的异常事件:

  1. 安装ack-node-problem-detector组件。
  2. 配置日志服务的Kubernetes事件中心,实时汇聚集群事件并进行分析。

5. 利用操作审计元数据

Kubernetes审计日志中包含的注释(如authorization.k8s.io/decisionauthorization.k8s.io/reason)可以帮助分析API调用的授权情况。

6. 监控容器镜像服务的审计事件

通过操作审计(ActionTrail)记录容器镜像服务的操作事件,如镜像扫描、仓库更新等。