You need to enable JavaScript to run this app.
云安全中心

云安全中心

请输入
  • 文档首页
    • 云安全中心用户指南入侵防御安全告警K8s 告警(邀测)接入集群审计日志
复制全文
我的收藏
K8s 告警(邀测)
接入集群审计日志
复制全文
我的收藏
接入集群审计日志

当 K8s 集群版本为 1.16 及以上时,您可开启 K8s 审计功能,将审计日志接入云安全中心,实现高危操作、攻击行为等安全风险的精准检测。本文介绍 VKE 托管集群与非 VKE 集群审计日志的接入方法。

接入 VKE 集群审计日志

前提条件

  1. VKE 集群已开启审计功能。具体操作,请参见集群审计

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航选择入侵防御 > 安全告警,然后单击 K8s 页签。
  3. K8s 页面,单击审计日志接入
  4. 审计日志接入页面右上角,单击同步日志主题,获取 TLS 中存储 VKE 集群审计日志的日志主题。

    说明

    仅同步名称以 “vke-audit-” 开头的日志主题。

  5. 同步完成后,检索出列表中 “添加方式“ 为 ”自动” 的日志主题,并将 “启用状态” 设置为 “启用”。

注意

  • 仅当日志主题 “启用状态” 为 “启用” 时,云安全中心方可正常消费目标集群审计日志,用于安全分析与检测。
  • 请确保一个日志主题内只存储单个集群的审计日志,且审计日志中包含原始的 K8s Events。
  • 云安全中心支持自动同步名称以 “vke-audit-” 开头的日志主题,同步周期为每小时 1 次。自动同步的日志主题的 “启用状态” 默认为 “停用”,需要手动启用。

接入非 VKE 集群审计日志

非 VKE 集群涵盖:第三方云托管 K8s 集群、云上自建 K8s 集群、IDC 自建 K8s 集群。本文以火山引擎云上自建 K8s 集群为例,详细说明非 VKE 集群审计日志的接入流程。

准备工作

  • 已有可用的 Linux 服务器。
    LogCollector 目前仅支持 Linux x86-64(64位)操作系统,不支持 ARM 架构和 Windows 操作系统。
  • 在 Linux 服务器上安装 systemd 和 wget 程序。
  • 使用具备 root 权限的用户登录 Linux 服务器,完成本文操作。
  • 预先根据服务器类型和所在地域,确定安装 LogCollector 时所需的网络类型。

前提条件

  1. 集群已开启审计功能。

操作步骤

  1. 登录日志服务控制台,按顺序完成以下操作。

    1. 创建日志项目。具体操作,请参见创建日志项目
    2. 创建日志主题。具体操作,请参见创建日志主题

      注意

      • 若日志主题名称以 “vke-audit-” 开头,云安全中心可自动同步该日志主题并展示于控制台,同时将对应集群标记为 “VKE 托管集群”。采用该命名规范可减少日志接入的配置步骤,提升日志接入效率。
      • 请确保一个日志主题内只存储单个集群的审计日志,且审计日志中包含原始的 K8s Events。
    3. 创建机器组。具体操作,请参见创建机器组(IP 地址)创建机器组(机器标识)
    4. 下载 LogCollector 安装脚本。具体操作,请参见安装 LogCollector (宿主机)
    5. 在存放审计日志的 Linux 服务器上安装 LogCollector 客户端。具体操作,请参见安装 LogCollector (宿主机)

      说明

      若创建机器组时选择 “机器标识” 类型,执行 LogCollector 安装启动脚本时,其中 {label} 需填写创建机器组时配置的 “机器标识”。

    6. 进入日志接入页面,创建 LogCollector 日志采集配置。具体操作,请参见JSON 模式
      1. 选择日志空间:选择审计日志采集到 TLS 后要存储的日志项目、日志主题。
      2. 选择机器组:选择 “文本采集” 页签,选择目标机器组。
      3. 采集规则
        • 规则名称:自定义填写
        • 采集路径:审计日志在服务器上的存放路径

          说明

          常规部署场景下,K8s 审计日志的默认存储路径为 /var/log/kubernetes/audit/*,该目录下包含集群内所有节点产生的审计日志文件

        • 采集模式:JSON
      4. 检查索引配置
        • 启用索引:是
        • 配置索引:键值索引
        • 自动更新:是
    7. 进入日志项目页面,确认审计日志采集成功。

  2. 登录云安全中心控制台

    1. 在左侧导航选择入侵防御 > 安全告警,然后单击 K8s 页签。
    2. K8s 页面,单击审计日志接入
    3. 审计日志接入页面右上角,单击添加
    4. 添加面板,完成日志接入配置,单击确定

    参数

    说明

    集群ID

    自定义填写,保存后不支持修改

    集群类型

    自定义选择,保存后支持修改,仅用于标记集群类型。

    日志地域

    TLS 中存储审计日志的 Region

    日志项目

    TLS 中存储审计日志的 Project

    日志主题

    TLS 中存储审计日志的 Topic

    启用状态

    • 启用:云安全中心将正常消费目标集群的审计日志,用于安全分析与检测
    • 停用:云安全中心停止消费集群审计日志,不再对该集群审计日志进行后续处理

    备注

    自定义填写

最近更新时间:2025.12.30 15:18:08
这个页面对您有帮助吗?
有用
有用
无用
无用