我正在尝试在本地 kubernetes 集群上运行 sysdig,我使用 minikube 和 kvm2 作为 vm-driver 运行该集群。我是 sysdig 的新手,想找到由 pod 运行的系统调用。
我运行的命令是:
sudo sysdig k8s.ns.name=default or k8s.pod.name=algorithm
豆荚正在运行(我检查过),但没有系统调用进入低谷。
如果命名空间正确,我使用 kubectl describe 命令检查;它是。所以我不确定这是哪里出错了。可能是 sysdig 没有找到任何东西,因为 minikube 正在使用上述虚拟机。如果是这种情况,我不确定如何在其中运行 sysdig。
提前致谢
如果您正确设置 Sysdig,Kubernetes 审计日志应该可以工作。
Sysdig Secure 允许用户基于 Kubernetes 审计事件流创建 Falco 安全规则,将 Kubernetes 审计日志与 Sysdig 代理集成。这允许用户跟踪对集群所做的更改,包括:
- pod、服务、部署、守护进程等的创建和销毁。
- 创建/更新/删除配置映射或机密
- 尝试订阅对任何端点的更改
Docs 声明Sysdig 使用默认的 Virtualbox driver 从 0.33.1 及更高版本开始支持 Minikube。
要在 Minikube 中启用审计日志,您需要:
克隆/下载存储库:https ://github.com/draios/sysdig-cloud-scripts 。
该存储库包含以下相关文件:
k8s_audit_config/audit-policy.yaml有关配置传递给代理的审计事件的更多信息,请参阅 Kubernetes 文档。
k8s_audit_config/[webhook-config.yaml.in](http://webhook-config.yaml.in/)k8s_audit_config/enable-k8s-audit.sh在目录中运行以下命令以
sysdig-cloud-scripts/k8s_audit_config将必要的值输入到[webhook-config.yaml.in](http://webhook-config.yaml.in/)文件中:
AGENT_SERVICE_CLUSTERIP=$(kubectl get service sysdig-agent -o=jsonpath={.spec.clusterIP}) envsubst < webhook-config.yaml.in > webhook-config.yaml运行
enable-k8s.sh脚本以在 apiserver 上启用审计日志支持:
bash ./enable-k8s-audit.sh minikube