我正在使用运行时检测工具 Falco 分析容器行为至少 40 秒,使用检测新生成和执行进程的过滤器存储包含检测到的事件的事件文件 art /opt/falco-incident.txt。我尝试将输出结果格式化为每行一个,格式为 [timestamp],[uid],[user-name],[processName]
我创建了 yaml 文件 audit.yaml
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: Metadata
namespace: ""
verb: ""
resources:
- group: ""
resource: ""
- name: audit
hostPath:
path: /etc/kubernetes/audit.yaml
type: File
- name: audit-log
hostPath:
path: /var/log/all-resources.log
type: FileOrCreate
- mountPath: /etc/kubernetes/audit.yaml
name: audit
readOnly: true
- mountPath: /var/log/all-resources.log
name: audit-log
readOnly: false
我通过添加这 3 行来编辑 kube-apiserver
- --audit-policy-file=/etc/kubernetes/audit.yaml
- --audit-log-path=/var/log/all-resources.log
- --audit-log-maxage=1
主要问题是:如何以及在何处定义应如下所示的所需输出?
[时间戳],[uid],[用户名],[进程名]
[时间戳],[uid],[用户名],[进程名]
……