Kubernetes 監査

Kubernetes の QRadar® 製品の データ・ソース・タイプ は、 Kubernetes マスター・ノード Kube-apiserver から監査イベントを収集します。

Kubernetes を QRadar 製品と統合するには、以下の手順を実行します。
  1. イベントを QRadar 製品に送信するように Kubernetes マスター・ノード Kube-apiserver を構成します。 詳しくは、 QRadar 製品 と通信するための Kubernetes 監査の構成を参照してください。
  2. 監査ポリシー・ファイルのコピーを作成します。 詳しくは、 監査ポリシー (https://kubernetes.io/docs/tasks/debug-application-cluster/audit/#audit-policy) に関する Kubernetes の資料を参照してください。
  3. Kubernetes マスター・ホスト Linux® システムで rsyslog を構成します。 rsyslog の構成について詳しくは、 ロギング・サーバーでの rsyslog の構成 (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-viewing_and_managing_log_files#s1-configuring_rsyslog_on_a_logging_server) を参照してください。
  4. QRadar 製品に Kubernetes Auditing データ・ソース を追加します。
注: Kubernetes 監査イベント・ペイロードは 32,000 バイトを超えることができます。 デフォルトの QRadar 製品 syslog ペイロード長は 4,096 バイトです。 QRadar 製品 の syslog ペイロード・サイズを 32,000 バイトに増やすことができます。 QRadar 製品の 最大ペイロード・サイズを増やす方法について詳しくは、 QRadar: TCP Syslog Maximum Payload Message Length for QRadar Appliances (https://www.ibm.com/support/pages/qradar-tcp-syslog-maximum-payload-message-length-qradar-appliances) を参照してください。

Kubernetes 監査イベントが 32,000 バイトより大きい場合、イベントは QRadar 製品によって切り捨てられます。 イベントが切り捨てられないようにするには、Kubernetes 監査ポリシーを調整して返されるデータを減らします。

QRadar 製品でのデータ・ソースの追加については、 取り込みデータ・ソースの追加を参照してください。

IBM® QRadar ユーザーの場合は、 QRadar のお客様の用語の変更を参照してください。