容器审计概述
什么是容器审计?
容器审计功能支持对容器集群中的各种操作和活动进行监控和记录,可帮助用户洞察容器生命周期的各个阶段,包括创建、启动、停止和销毁等。用户通过审计和分析,可以及时发现并处理安全问题,从而确保容器集群的安全性、稳定性。
支持的审计类型
集群容器:K8s审计日志、K8s事件、容器日志、容器运行指令。
非集群容器:容器日志、容器运行指令。
SWR镜像仓:镜像仓日志。
应用场景
容器环境异常事件排查分析:当容器环境出现异常操作或活动时,可通过容器审计日志定位异常事件发生时间和行动轨迹,从而总结出解决办法。
约束与限制
集群容器或非集群容器已开启容器版防护。
使用说明
完全启用容器审计功能,需满足以下条件:
集群容器或非集群容器已接入HSS并开启容器版防护。
完成部分审计类型的审计前提操作,具体如下表所示。
| 对象 | 审计类型 | 审计前提 |
|---|---|---|
| 云CCE集群 | K8s审计日志 | 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 |
| K8s审计事件 | ||
| 容器日志 | ||
| SWR私有镜像仓库 | 镜像仓日志审计 | 您使用了容器镜像服务SWR,并授予了HSS云审计服务的操作权限(CTSOperatePolicy)。 |
启用容器审计后,集群内的各类操作和活动日志将记录在HSS控制台,供您查看。
查看容器审计日志
登录管理控制台。
在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
在左侧导航栏,选择“安全运营 > 容器审计”,进入“容器审计”页面。
根据以下操作查看不同类型的审计日志。
查看集群容器审计
选择“集群容器审计”页签。
单击目标集群名称,进入集群容器审计详情页面,查看容器运行指令的日志记录。
查看容器实例审计
选择“容器实例审计”页签。
单击目标容器实例名称,进入容器实例审计详情页面,查看容器日志、容器运行指令的日志记录。
查看镜像仓日志审计
选择镜像仓日志审计页签,查看镜像仓日志审计的记录。
