Audit Perilaku Kontainer memungkinkan Anda mengaudit perintah dan operasi yang dijalankan oleh pengguna berbeda dalam kontainer. Topik ini menjelaskan cara mengonfigurasi Audit Perilaku Kontainer, menggunakan Layanan Log untuk mengumpulkan dan menganalisis log audit, serta membuat aturan peringatan kustom berdasarkan log audit.
Penagihan
Fitur Audit Perilaku Kontainer tersedia secara gratis. Namun, setelah mengaktifkan fitur ini, biaya akan dikenakan untuk penggunaan Layanan Log Sederhana terkait. Untuk informasi lebih lanjut tentang penagihan SLS, lihat Ikhtisar Penagihan.
Batasan
Jenis klaster: Hanya ACK managed Pro cluster, ACK managed Basic cluster, dan ACK dedicated cluster yang didukung.
Batasan klaster: Hanya Alibaba Cloud Linux dengan versi kernel lebih baru dari 4.19, Ubuntu, dan sistem operasi ContainerOS yang mendukung Audit Perilaku Kontainer.
Alibaba Cloud Linux: Versi Kubernetes klaster adalah 1.18 atau lebih baru.
ContainerOS: Versi Kubernetes klaster adalah 1.24 atau lebih baru.
Ubuntu:
Versi Kubernetes klaster adalah 1.30 atau lebih tinggi. Untuk informasi lebih lanjut, lihat Tingkatkan Klaster ACK secara Manual.
Selama inisialisasi node, pembaruan OS otomatis dinonaktifkan.
Volume Cloud Parallel File Storage (CPFS), plugin percepatan gambar, dan Penguatan Keamanan tidak didukung.
Langkah 1: Aktifkan Audit Perilaku Kontainer
Untuk menggunakan fitur Audit Perilaku Kontainer, ajukan tiket.
Aktifkan Audit Perilaku Kontainer dengan mengikuti langkah-langkah berikut. Setelah diaktifkan, dua komponen berikut akan diinstal:
Komponen Pengumpulan Log: Mengumpulkan log audit ke Layanan Log dan membuat laporan audit default.
ack-advanced-audit: Mengimplementasikan Audit Perilaku Kontainer.
Secara default, sebuah Logstore bernama advaudit-${cluster_id} dibuat di proyek yang digunakan oleh komponen pengumpulan log. Logstore ini menyimpan log audit dengan masa retensi 180 hari. Untuk informasi lebih lanjut tentang cara memodifikasi masa retensi, lihat Kelola Logstore.
Masuk ke Konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.
Di halaman Clusters, temukan klaster yang diinginkan dan klik namanya. Di panel di sebelah kiri, pilih .
Di halaman Audit, klik tab Container Audit, dan klik Install.
Langkah 2: Lihat laporan audit
Di halaman Audit, klik tab Container Audit. Kemudian, klik tab Container Audit Overview. Anda dapat melihat laporan audit di tab tersebut.
Lihat jumlah akses ke pod dan informasi pod.
Lihat akun yang melakukan operasi Kubernetes, perintah yang dijalankan di pod, dan operasi berisiko tinggi umum.
Langkah 3: Lihat data log detail
Anda dapat menggunakan metode berikut untuk melihat data log detail:
Lihat data log detail di halaman laporan audit. Metode ini cocok untuk memeriksa log suatu peristiwa.
Jalankan pernyataan kueri di halaman Logstore. Metode ini cocok untuk memeriksa data historis dan peristiwa dalam skenario kompleks.
Lihat data log detail di halaman laporan audit
Di halaman Container Audit Overview, klik hyperlink di kolom traceId dan eventId di bagian High-risk Operations.
Klik hyperlink di kolom traceId untuk melihat log audit perintah yang dijalankan di pod selama setiap akses.
Klik hyperlink di kolom eventId untuk melihat detail tentang suatu perintah.
Jalankan pernyataan kueri di halaman Logstore
Di halaman Query Container Audit Logs, Anda dapat menjalankan kueri untuk melihat data log detail.
Masuk ke Konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.
Di halaman Clusters, temukan klaster yang diinginkan dan klik namanya. Di panel di sebelah kiri, pilih .
Di halaman Audit, klik tab Container Audit. Kemudian, klik tab Query Container Audit Logs.
Masukkan pernyataan kueri di kotak pencarian.
Kueri log audit perintah yang dijalankan di pod: Masukkan * and k8s.pod.namespace: <namespace> and k8s.pod.name: <pod_name>. Ganti <namespace> dengan namespace pod dan <pod_name> dengan nama pod.
Kueri log audit operasi yang dilakukan untuk menjalankan program: Masukkan * and process.name: <name>. Ganti <name> dengan nama program.
Untuk informasi lebih lanjut tentang cara menanyakan data log, lihat Metode Kueri.
Tentukan rentang waktu untuk kueri. Kemudian, klik Search & Analyze untuk melihat hasil kueri dan analisis.
(Opsional) Langkah 4: Buat aturan peringatan berdasarkan log audit
Anda dapat menggunakan fitur peringatan yang disediakan oleh Layanan Log untuk menghasilkan peringatan berdasarkan log audit secara real-time. Ini membantu Anda mengetahui peristiwa operasi kritis di pod secepat mungkin. Metode notifikasi peringatan yang tersedia adalah chatbot DingTalk, webhook kustom, dan Pusat Pesan Alibaba Cloud. Untuk informasi lebih lanjut tentang metode peringatan lainnya, lihat Peringatan.
Nonaktifkan Audit Perilaku Kontainer
Anda dapat menghapus instalasi ack-advanced-audit untuk menonaktifkan Audit Perilaku Kontainer.
Operasi ini tidak menghapus Logstore bernama advaudit-${cluster_id} yang dibuat secara otomatis. Anda perlu masuk ke Konsol Layanan Log dan menghapusnya secara manual. Untuk informasi lebih lanjut, lihat Hapus Logstore.
Masuk ke Konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.
Di halaman Clusters, temukan klaster yang ingin dikelola dan klik namanya. Di panel navigasi di sebelah kiri, klik Add-ons.
Di halaman Add-ons, cari komponen ack-advanced-audit, lalu klik Uninstall di bagian kanan bawah kartu dan hapus komponen sesuai petunjuk.
Referensi
Lihat ack-advanced-audit untuk catatan rilis.
Fitur log audit dari API server dapat membantu menganalisis "Siapa melakukan apa pada sumber daya mana dan kapan." Untuk informasi lebih lanjut, lihat Bekerja dengan Audit Klaster.