Kubernetes 仪表板
编辑Kubernetes 仪表板编辑
Kubernetes 仪表板提供对 Kubernetes 集群中 Linux 进程数据的洞察。它以详细的方式显示会话,并将其置于您监控的基础设施的上下文中。
编号部分在下面说明
- 仪表板顶部的图表概述了您监控的 Kubernetes 基础设施。您可以通过单击 隐藏图表 来隐藏它们。
- 树形导航菜单允许您浏览部署并选择右侧会话表的范围。您可以选择菜单中的任何项目以显示其会话。在逻辑视图中,菜单按集群、命名空间、Pod 和容器镜像进行组织。在基础设施视图中,它是按集群、节点、Pod 和容器镜像进行组织的。
- 会话表显示从选定的 Kubernetes 基础设施元素收集的会话。您可以通过选择表右上角的按钮以全屏查看它。您可以按任何字段对表进行排序。
您可以使用页面顶部的 KQL 搜索栏和日期选择器来筛选数据。
从会话表的“操作”列中,您可以采取以下调查操作
- 查看详细信息
- 在时间线中打开
- 运行 Osquery
- 分析事件
- 打开会话视图
会话视图在“详细信息”面板的 元数据 选项卡下显示 Kubernetes 元数据
该 元数据 选项卡分为以下可展开部分
-
元数据:
hostname,id,ip,mac,name, 主机操作系统信息 -
云:
instance.name,provider,region,account.id,project.id -
容器:
id,name,image.name,image.tag,image.hash.all -
编排器:
resource.ip,resource.name,resource.type,namespace,cluster.id,cluster.name,parent.type
设置编辑
要获取此仪表板的数据,请为要在仪表板上显示的集群设置 针对 Kubernetes 的云工作负载保护。
支持矩阵: 此功能目前在使用 Linux 主机和与以下规格匹配的 Kubernetes 版本的 GKE 和 EKS 上可用
EKS 1.24-1.26 (AL2022) |
GKE 1.24-1.26 (COS) |
|
进程事件导出 |
✓ |
✓ |
网络事件导出 |
✓ |
✓ |
文件事件导出 |
✓ |
✓ |
文件阻止 |
✓ |
✓ |
进程阻止 |
✓ |
✓ |
网络阻止 |
✗ |
✗ |
漂移预防 |
✓ |
✓ |
挂载点感知 |
✓ |
✓ |
此仪表板使用来自 logs-* 索引模式的数据,该模式默认包含在 securitySolution:defaultIndex 高级设置 中。要从多个 Elasticsearch 集群(如跨集群部署)收集数据,请将 logs-* 更新为 *:logs-*。