- Auditbeat 参考其他版本
- Auditbeat 概述
- 快速入门:安装和配置
- 设置和运行
- 升级 Auditbeat
- 配置
- 模块
- 通用设置
- 项目路径
- 配置文件重新加载
- 输出
- Kerberos
- SSL
- 索引生命周期管理 (ILM)
- Elasticsearch 索引模板
- Kibana 端点
- Kibana 仪表板
- 处理器
- 定义处理器
- add_cloud_metadata
- add_cloudfoundry_metadata
- add_docker_metadata
- add_fields
- add_host_metadata
- add_id
- add_kubernetes_metadata
- add_labels
- add_locale
- add_network_direction
- add_nomad_metadata
- add_observer_metadata
- add_process_metadata
- add_session_metadata
- add_tags
- append
- community_id
- convert
- copy_fields
- decode_base64_field
- decode_duration
- decode_json_fields
- decode_xml
- decode_xml_wineventlog
- decompress_gzip_field
- detect_mime_type
- dissect
- dns
- drop_event
- drop_fields
- extract_array
- fingerprint
- include_fields
- move_fields
- rate_limit
- registered_domain
- rename
- replace
- syslog
- translate_ldap_attribute
- translate_sid
- truncate_fields
- urldecode
- 内部队列
- 日志
- HTTP 端点
- 正则表达式支持
- 检测
- 功能标志
- auditbeat.reference.yml
- 操作指南
- 模块
- 导出的字段
- 监控
- 安全
- 问题排查
- 为 Beats 贡献
在 Kubernetes 上运行 Auditbeat
编辑在 Kubernetes 上运行 Auditbeat
编辑Auditbeat Docker 镜像 可用于 Kubernetes 上检查文件完整性。
在 Kubernetes 上运行 Elastic Cloud?请参阅在 ECK 上运行 Beats。
Kubernetes 部署清单
编辑通过将 Auditbeat 部署为 DaemonSet,我们可以确保在集群的每个节点上都有一个正在运行的实例。
所有内容都部署在 kube-system 命名空间下,您可以通过更新 YAML 文件来更改它。
要获取清单,只需运行
curl -L -O https://raw.githubusercontent.com/elastic/beats/8.17/deploy/kubernetes/auditbeat-kubernetes.yaml
如果您使用的是 Kubernetes 1.7 或更早版本:Auditbeat 使用 hostPath 卷来持久化内部数据,它位于 /var/lib/auditbeat-data 下。该清单使用文件夹自动创建(DirectoryOrCreate),该功能是在 Kubernetes 1.8 中引入的。您需要从清单中删除 type: DirectoryOrCreate,并自行创建主机文件夹。
设置
编辑清单中公开了一些参数来配置日志目标,默认情况下,如果存在现有的 Elasticsearch 部署,它们将使用该部署,但您可能需要更改此行为,因此只需编辑 YAML 文件并修改它们
- name: ELASTICSEARCH_HOST value: elasticsearch - name: ELASTICSEARCH_PORT value: "9200" - name: ELASTICSEARCH_USERNAME value: elastic - name: ELASTICSEARCH_PASSWORD value: changeme
在控制平面节点上运行 Auditbeat
编辑Kubernetes 控制平面节点可以使用污点来限制可以在其上运行的工作负载。要在控制平面节点上运行 Auditbeat,您可能需要更新 Daemonset 规范以包含适当的容忍度
spec: tolerations: - key: node-role.kubernetes.io/control-plane effect: NoSchedule
部署
编辑要将 Auditbeat 部署到 Kubernetes,只需运行
kubectl create -f auditbeat-kubernetes.yaml
然后,您应该能够通过运行以下命令来检查状态
$ kubectl --namespace=kube-system get ds/auditbeat NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE-SELECTOR AGE auditbeat 32 32 0 32 0 <none> 1m
Auditbeat 能够监控 pod 中文件的文件完整性,为此,包含容器根文件系统的目录必须作为卷挂载到 Auditbeat 容器中。例如,使用 containerd 执行的容器的根文件系统位于 /run/containerd 下。参考清单 包含一个示例。
On this page