我试图在我的本地kubernetes集群上运行sysdig,该集群使用minikube和kvm2作为vm-driver运行。我是sysdig的新手,希望找到由pod运行的系统调用。
我运行的命令是:
sudo sysdig k8s.ns.name=default or k8s.pod.name=algorithm
pod正在运行(我检查过),但是没有系统调用失败。
我用kubectl describe命令检查了命名空间是否正确;是的。所以我不确定这出了什么问题。 sysdig可能找不到任何东西,因为minikube正在使用上述VM。如果是这种情况,我不确定如何在其中运行sysdig。
预先感谢
答案 0 :(得分:0)
如果正确设置了Sysdig,Kubernetes Audit Logging应该可以使用。
Sysdig Secure允许用户基于Kubernetes审核事件流创建Falco安全规则,并将Kubernetes审核日志记录与Sysdig Agent集成。这使用户可以跟踪对集群所做的更改,包括:
- 创建和销毁Pod,服务,部署,守护程序等。
- 创建/更新/删除配置映射或机密
- 尝试订阅对任何端点的更改
Docs指出 Sysdig使用默认的Virtualbox驱动程序从0.33.1起支持Minikube 。
要在Minikube中启用审核日志记录,您需要:
克隆/下载资源库:https://github.com/draios/sysdig-cloud-scripts。
存储库包含以下相关文件:
k8s_audit_config/audit-policy.yaml有关配置传递给代理的审核事件的更多信息,请参阅Kubernetes文档。
k8s_audit_config/[webhook-config.yaml.in](http://webhook-config.yaml.in/)k8s_audit_config/enable-k8s-audit.sh在
sysdig-cloud-scripts/k8s_audit_config目录中运行以下命令,以向[webhook-config.yaml.in](http://webhook-config.yaml.in/)文件中输入必要的值:
AGENT_SERVICE_CLUSTERIP=$(kubectl get service sysdig-agent -o=jsonpath={.spec.clusterIP}) envsubst < webhook-config.yaml.in > webhook-config.yaml运行
enable-k8s.sh脚本以在apiserver上启用审核日志支持:
bash ./enable-k8s-audit.sh minikube