Kubernetes 审计

IBM QRadar DSM for Kubernetes 从 Kubernetes 主节点 Kube-apiserver 收集审计事件。

要将 Kubernetes 与 QRadar集成,请完成以下步骤:
  1. 如果未启用自动更新,则可从 IBM® 支持网站(http://www.ibm.com/support)下载 RPM。 在 QRadar Console上下载并安装以下 RPM 的最新版本:
    • DSM 公共 RPM
    • Kubernetes 审计 DSM RPM
  2. 配置 Kubernetes 主节点 Kube-apiserver 以将事件发送到 QRadar
  3. 创建审计策略文件的副本。 有关更多信息,请参阅有关 审计策略 (https://kubernetes.io/docs/tasks/debug-application-cluster/audit/#audit-policy) 的 Kubernetes 文档。
  4. 在 Kubernetes 主托管的 Linux® 系统上配置 rsyslog。 有关配置 rsyslog 的更多信息,请参阅 在日志记录服务器上配置 rsyslog (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-viewing_and_managing_log_files#s1-configuring_rsyslog_on_a_logging_server)。
  5. 如果 QRadar 未自动检测日志源,请在 QRadar Console上添加 Kubernetes 审计日志源。
注: Kubernetes 审计事件有效内容可以超过 32,000 字节。 缺省 QRadar syslog 有效内容长度为 4,096 字节。 您可以将 QRadar 系统日志有效内容大小增加到 32,000 字节。 有关增加 QRadar 最大有效负载大小的更多信息,请参阅 QRadar®: 适用于 QRadar 设备的 TCP Syslog 最大有效负载消息长度 (https://www.ibm.com/support/pages/qradar-tcp-syslog-maximum-payload-message-length-qradar-appliances) 。

如果 Kubernetes 审计事件大于 32,000 字节,那么这些事件将被 QRadar截断。 要防止事件被截断,请调整 Kubernetes 审计策略以返回更少的数据。