支持控制台(Console)开发人员开始试用联系人

13.2. 使用 Red Hat Advanced Cluster Security for Kubernetes 附加组件

您可以使用 Red Hat Advanced Cluster Security for Kubernetes 附加组件将漏洞检测和合规性相关数据从 Red Hat Advanced Cluster Security for Kubernetes 转发到 Splunk。

使用 Red Hat Advanced Cluster Security for Kubernetes 中所有资源的读取权限生成 API 令牌,然后使用该令牌安装和配置附加组件。

13.2.1. 安装和配置 Splunk 附加组件

您可以从 Splunk 实例安装 Red Hat Advanced Cluster Security for Kubernetes 附加组件。

注意

为了保持与 StackRox Kubernetes 安全平台附加组件的向后兼容性,配置的输入的 source_typeinput_type 参数仍被称为 stackrox_compliancestackrox_violations, 和 stackrox_vulnerability_management

前提条件

  • 您必须具有一个 API 令牌,并且具有对 Red Hat Advanced Cluster Security for Kubernetes 的所有资源的 read 权限。您可以分配 Analyst 系统角色来授予此级别的访问权限。Analyst 角色具有所有资源的读取权限。

流程

  1. Splunkbase 下载 Red Hat Advanced Cluster Security for Kubernetes 附加组件。
  2. 进入到 Splunk 实例上的 Splunk 主页。
  3. 导航到 Apps Manage Apps
  4. 选择 Install app from file
  5. Upload app 弹出窗口中,选择 Choose File 并选择 Red Hat Advanced Cluster Security for Kubernetes 附加组件文件。
  6. Upload
  7. Restart Splunk,并确认重启。
  8. Splunk 重启后,从 Apps 菜单中选择 Red Hat Advanced Cluster Security for Kubernetes

  9. 进入 Configuration,然后点 Add-on Settings

    1. 对于 Central Endpoint,输入 IP 地址或您的 Central 实例的名称。例如:central.custom:443
    2. 输入您为附加组件生成的 API 令牌
    3. Save
  10. 进入 Inputs

  11. Create New Input,然后选择以下之一:

    • ACS 合规性数据。
    • ACS Violations 拉取违反数据。
    • ACS Vulnerability Management 拉取漏洞数据。
  12. 输入输入 的名称
  13. 选择从 Red Hat Advanced Cluster Security for Kubernetes 中拉取数据的间隔。例如,每 14400 秒。
  14. 选择您要向其发送数据的 Splunk Index
  15. 对于 Central Endpoint,输入 IP 地址或您的 Central 实例的名称。
  16. 输入您为附加组件生成的 API 令牌
  17. Add

验证

  • 要验证 Red Hat Advanced Cluster Security for Kubernetes 附加组件安装,请查询收到的数据。

    1. 在 Splunk 实例中,进入 Search,然后键入 indexPROFILE sourcetype="stackrox ldapsearch" 作为查询。
    2. Enter 键。

验证您配置的源是否在搜索结果中显示。

13.2.2. 更新 StackRox Kubernetes 安全平台附加组件

如果使用 StackRox Kubernetes Security Platform 附加组件,则必须升级到新的 Red Hat Advanced Cluster Security for Kubernetes 附加组件。

您可以在左侧的应用程序列表下看到 Splunk 主页上的更新通知。另外,您还可以进入 Apps Manage apps 页面来查看更新通知。

前提条件

  • 您必须具有一个 API 令牌,并且具有对 Red Hat Advanced Cluster Security for Kubernetes 的所有资源的 read 权限。您可以分配 Analyst 系统角色来授予此级别的访问权限。Analyst 角色具有所有资源的读取权限。

流程

  1. 在更新通知上点 Update
  2. 选中接受条款和条件的复选框,然后点 Accept and Continue 以安装更新。
  3. 安装后,从 Apps 菜单中选择 Red Hat Advanced Cluster Security for Kubernetes

  4. 进入 Configuration,然后点 Add-on Settings

    1. 输入您为附加组件生成的 API 令牌
    2. Save

13.2.3. 对 Splunk 附加组件进行故障排除

如果您停止从 Red Hat Advanced Cluster Security for Kubernetes 附加组件接收事件,请检查 Splunk 附加组件调试日志中的错误。

Splunk 为 /opt/mvapich/var/log/mvapich 目录中每个配置的输入创建一个调试日志文件。找到名为 stackrox_<input>_<uid>.log 的文件,例如 stackrox_compliance_29a3e14798aa2363d.log 并查找问题。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.