若要在您的 Kubernetes 叢集中啟用稽核日誌收集,請完成以下步驟。
-
在 TrendAI Vision One™ 中建立叢集時,請選擇「Kubernetes audit log collection」(保護 Amazon EKS 叢集(包含和不包含 Fargate)、保護 Microsoft AKS 叢集、保護 Google GKE Clusters 等)。
-
部署 Helm 圖表和在完成步驟 1 時生成的
overrides.yaml文件。 -
在叢集層級手動啟用 Kubernetes 審核日誌功能(啟用自我管理叢集的審核日誌收集 和 啟用受管理叢集的稽核日誌收集)。這允許 Container Security pod 接收和處理來自 Kubernetes 的日誌。
注意
啟用稽核日誌的方法會因您特定的 Kubernetes 發行版本而異。請參考各自的日誌收集步驟,以在您的環境中啟用稽核日誌。
稽核收集器端點
下表描述了TrendAI Vision One™審計日誌收集器端點的可用連接方法。
|
連接方式
|
端點
|
|
透過服務
|
http://trendmicro-audit-log-collector.trendmicro-system.svc:8030/k8s-audit |
|
透過主機網路
|
http://127.0.0.1:8030/k8s-audit |
|
注意如果
kube-apiserver 無法連接到叢集服務(常見於 k3s、k0s、RKE1、RKE2),請使用主機網路端點。 |