我正在尝试在我的本地kubernetes群集上运行sysdig,我正在使用以KVM2为VM-DRIVER运行的Minikube。我是Sysdig的新手,想找到由POD运行的系统调用。
我运行的命令是:
sudo sysdig k8s.ns.name=default or k8s.pod.name=algorithm
豆荚正在运行(我检查了(,但是没有系统呼叫会槽。
我与kubectl一起检查了命令,如果名称空间正确;是。因此,我不确定这是错误的。可能是Sysdig找不到任何东西,因为Minikube正在使用上述VM。如果是这样,我不确定如何在其中运行系统。
预先感谢
如果您设置了sysdig,则kubernetes审核记录应起作用。
sysdig Secure允许用户根据Kubernetes审核事件的流创建FALCO安全规则,并将Kubernetes审核记录与Sysdig代理集成在一起。这使用户可以跟踪对集群的更改,包括:
- 创建和破坏豆荚,服务,部署,守护程序等
- 创建/更新/删除配置映射或秘密
- 试图订阅任何端点的更改
文档指出, sysdig从0.33.1及以后使用默认的VirtualBox驱动程序。
要在Minikube中启用审核记录,您需要:
克隆/下载存储库:https://github.com/draios/sysdig-cloud-scripts。
存储库包含以下相关文件:
k8s_audit_config/audit-policy.yaml有关配置传递给代理商的审核事件的更多信息,请参阅Kubernetes文档。
k8s_audit_config/[webhook-config.yaml.in](http://webhook-config.yaml.in/)k8s_audit_config/enable-k8s-audit.sh在
sysdig-cloud-scripts/k8s_audit_config目录中运行以下命令,以输入[webhook-config.yaml.in](http://webhook-config.yaml.in/)文件的必要值:
AGENT_SERVICE_CLUSTERIP=$(kubectl get service sysdig-agent -o=jsonpath={.spec.clusterIP}) envsubst < webhook-config.yaml.in > webhook-config.yaml运行
enable-k8s.sh脚本以启用Apiserver上的审核日志支持:
bash ./enable-k8s-audit.sh minikube