通信のための Kubernetes 監査の構成 QRadar
Kubernetes 監査からすべてのイベントを収集するには、syslog サーバーとして IBM QRadar を指定する必要があります。
始める前に
システム上で Kubernetes クラスターが実行されている必要があります。 詳しくは、 Creating a single control-plane cluster with kubeadm (https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm/) に関する Kubernetes 資料を参照してください。
Kubernetes 監査ポリシー・ファイルのコピーを作成します。 詳細については、 Kubernetes資料 (https://kubernetes.io/docs/tasks/debug-application-cluster/audit/#audit-policy)の監査ポリシーを参照してください。
コンテナーまたは Kubernetes コンテンツ拡張を使用している場合は、 QRadar 監査ポリシー・ファイルが必要です。 コンテナー・コンテンツ拡張について詳しくは、 コンテナー (https://www.ibm.com/docs/en/qradar-common?topic=extensions-container) を参照してください。 Kubernetes コンテンツ拡張について詳しくは、 Kubernetes (https://www.ibm.com/docs/en/qradar-common?topic=extensions-kubernetes) を参照してください。
rsyslog がシステムにインストールされ、実行されていることを確認してください。 詳しくは、 rsyslog の資料 (https://www.rsyslog.com) を参照してください。
このタスクについて
手順
apiVersion: v1kind: Podmetadata: creationTimestamp: null labels: component: kube-apiserver tier: control-plane name: kube-apiserver namespace: kube-systemspec: containers: - command: - kube-apiserver ... - --audit-policy-file=/etc/kubernetes/audit-policy.yaml - --audit-log-path=/var/log/apiserver/audit.log ...