容器审计提供正常和异常的容器事件统计,包括容器进程事件、文件事件、网络事件。
前提条件
容器集群已开启审计功能。
操作步骤
-
登录容器安全卫士控制台。
-
在左侧导航栏选择“容器安全 > 实时检测”,进入容器实时检测页面。
-
单击容器列表内的容器名称,进入容器详情页面。
-
选择“容器审计”页签,进入审计详情页面。可查看容器的正常事件和异常事件的数量随时间变化的折线图(默认统计最近15分钟内的事件),又分类统计了容器的进程事件、文件事件、网络事件的数量,可通过选择时间或拖拽下方进度条来查看不同时间段内,容器发生的事件信息。
-
查看事件列表:在统计图下方以列表展示了容器中发生的事件信息,单击列表中某行,可展开查看对应事件的详细信息。
容器审计事件参数说明:
参数 说明 进程名称
进程的名称。 用户
执行用户。
路径
执行命令所在路径。
进程命令行
具体执行的命令行。
事件类型
容器的事件类型,分为进程事件、文件事件和网络事件。
进程事件:指在容器中运行进程的事件;
文件事件:指容器中对文件的读操作和写操作产生的事件;
网络事件:指访问、监听等网络活动产生的事件。
安全状态
安全状态分为“正常”和“异常”这两种状态。
时间
事件发生的时间,事件列表中以时间倒序的顺序进行展示。