Kubernetes 仪表盘
编辑Kubernetes 仪表盘
编辑Kubernetes 仪表盘提供了来自您 Kubernetes 集群的 Linux 进程数据的洞察。它详细地显示了会话,并结合了您监控的基础设施的上下文。
编号部分描述如下
- 仪表盘顶部的图表提供了您监控的 Kubernetes 基础设施的概览。您可以通过单击隐藏图表来隐藏它们。
- 树形导航菜单允许您浏览您的部署,并将右侧会话表的范围选择到特定项。您可以选择菜单中的任何项来显示其会话。在逻辑视图中,菜单按集群、命名空间、Pod 和容器镜像进行组织。在基础设施视图中,它按集群、节点、Pod 和容器镜像进行组织。
- 会话表显示从您 Kubernetes 基础设施的选定元素收集的会话。您可以通过选择表格右上角的按钮以全屏模式查看它。您可以按任何字段对表格进行排序。
您可以使用页面顶部的 KQL 搜索栏和日期选择器来过滤数据。
从会话表的“操作”列中,您可以执行以下调查操作
- 查看详情
- 在时间轴中打开
- 运行 Osquery
- 分析事件
- 打开会话视图
会话视图在“详细信息”面板的元数据选项卡下显示 Kubernetes 元数据
元数据选项卡组织成以下可展开的部分
-
元数据:
hostname,id,ip,mac,name, 主机操作系统信息 -
云:
instance.name,provider,region,account.id,project.id -
容器:
id,name,image.name,image.tag,image.hash.all -
编排器:
resource.ip,resource.name,resource.type,namespace,cluster.id,cluster.name,parent.type
设置
编辑要获取此仪表盘的数据,请为您想要在仪表盘上显示的集群设置Kubernetes 的云工作负载保护。
支持矩阵:此功能目前在 GKE 和 EKS 上可用,使用 Linux 主机和符合以下规范的 Kubernetes 版本
EKS 1.24-1.26 (AL2022) |
GKE 1.24-1.26 (COS) |
|
进程事件导出 |
✓ |
✓ |
网络事件导出 |
✓ |
✓ |
文件事件导出 |
✓ |
✓ |
文件阻止 |
✓ |
✓ |
进程阻止 |
✓ |
✓ |
网络阻止 |
✗ |
✗ |
漂移预防 |
✓ |
✓ |
挂载点感知 |
✓ |
✓ |
此仪表盘使用来自 logs-* 索引模式的数据,该索引模式默认包含在 securitySolution:defaultIndex 高级设置中。要从多个 Elasticsearch 集群(如在跨集群部署中)收集数据,请将 logs-* 更新为 *:logs-*。