21.7. 감사에 Podman 이벤트 사용
이전에는 이벤트를 올바르게 해석하기 위해 이벤트에 연결해야 했습니다. 예를 들어 container-create
이벤트는 사용된 이미지를 확인하기 위해 image-pull
이벤트와 연결되어야 했습니다. container-create
이벤트에는 보안 설정, 볼륨, 마운트 등과 같은 모든 데이터가 포함되지 않았습니다.
Podman v4.4부터 단일 이벤트 및 journald
항목에서 컨테이너에 대한 모든 관련 정보를 직접 수집할 수 있습니다. 데이터는 podman container inspect
명령과 동일한 JSON 형식이며 컨테이너의 모든 구성 및 보안 설정을 포함합니다. 감사 목적으로 컨테이너 검사 데이터를 연결하도록 Podman을 구성할 수 있습니다.
사전 요구 사항
-
container-tools
meta-package가 설치되어 있습니다.
절차
~/.config/containers/containers.conf
파일을 수정하고events_container_create_inspect_data=true
옵션을[engine]
섹션에 추가합니다.$ cat ~/.config/containers/containers.conf [engine] events_container_create_inspect_data=true
시스템 전체 구성의 경우
/etc/containers/containers.conf
또는/usr/share/container/containers.conf
파일을 수정합니다.컨테이너를 생성합니다.
$ podman create registry.access.redhat.com/ubi8/ubi:latest 19524fe3c145df32d4f0c9af83e7964e4fb79fc4c397c514192d9d7620a36cd3
Podman 이벤트를 표시합니다.
podman events
명령 사용:$ now=$(date --iso-8601=seconds) $ podman events --since $now --stream=false --format "{{.ContainerInspectData}}" | jq “.Config.CreateCommand" [ "/usr/bin/podman", "create", "registry.access.redhat.com/ubi8" ]
-
--format "{{.ContainerInspectData}}"
옵션에는 검사 데이터가 표시됩니다. -
jq ".Config.CreateCommand"
는 JSON 데이터를 읽기 쉬운 형식으로 변환하고podman create
명령의 매개변수를 표시합니다.
-
journalctl
명령 사용:$ journalctl --user -r PODMAN_EVENT=create --all -o json | jq ".PODMAN_CONTAINER_INSPECT_DATA | fromjson" | jq ".Config.CreateCommand" [ "/usr/bin/podman", "create", "registry.access.redhat.com/ubi8" ]
podman 이벤트
및journalctl
명령의 출력 데이터는 동일합니다.
추가 리소스
-
podman-events
도움말 페이지 -
containers.conf
도움말 페이지 - 컨테이너 이벤트 및 감사