14.2. 使用 Red Hat Advanced Cluster Security for Kubernetes 附加组件
您可以使用 Red Hat Advanced Cluster Security for Kubernetes 附加组件将漏洞检测和合规性相关数据从 Red Hat Advanced Cluster Security for Kubernetes 转发到 Splunk。
为 Red Hat Advanced Cluster Security for Kubernetes 中所有资源生成 API 令牌,然后使用该令牌安装和配置附加组件。
14.2.1. 安装和配置 Splunk 附加组件
您可以从 Splunk 实例安装 Red Hat Advanced Cluster Security for Kubernetes 附加组件。
为了保持与 StackRox Kubernetes 安全平台附加组件的向后兼容性,配置的输入的 source_type
和 input_type
参数仍被称为 stackrox_compliance
、stackrox_violations
, 和 stackrox_vulnerability_management
。
先决条件
-
您必须具有一个 API 令牌,其具有 Red Hat Advanced Cluster Security for Kubernetes 的所有资源的
read
权限。您可以分配 Analyst 系统角色来授予这个级别的访问权限。Analyst 角色具有所有资源的读取权限。
流程
- 从 Splunkbase 下载 Red Hat Advanced Cluster Security for Kubernetes 附加组件。
- 进入 Splunk 实例上的 Splunk 主页。
-
前往 Apps
Manage Apps。 - 选择 Install app from file。
- 在 Upload app 弹出窗口中,选择 Choose File 并选择 Red Hat Advanced Cluster Security for Kubernetes 附加组件文件。
- 点 Upload。
- 单击 Restart Splunk,并确认重新启动。
- 在 Splunk 重启后,从 Apps 菜单中选择 Red Hat Advanced Cluster Security for Kubernetes。
进入 Configuration,然后点 Add-on Settings。
-
对于 Central 端点,请输入 IP 地址或 Central 实例的名称。例如:
central.custom:443
。 - 输入您为附加组件生成的 API 令牌。
- 点击 Save。
-
对于 Central 端点,请输入 IP 地址或 Central 实例的名称。例如:
- 进入 Inputs。
点 Create New Input,然后选择以下之一:
- ACS 合规性数据。
- ACS Violations 拉取违反数据。
- ACS Vulnerability Management 拉取漏洞数据。
- 输入输入 的名称。
- 从 Red Hat Advanced Cluster Security for Kubernetes 中选择一个拉取数据的间隔。例如,每 14400 秒。
- 选择您要向其发送数据的 Splunk Index。
- 对于 Central 端点,请输入 IP 地址或 Central 实例的名称。
- 输入您为附加组件生成的 API 令牌。
- 点击 Add。
验证
要验证 Red Hat Advanced Cluster Security for Kubernetes 附加组件安装,请查询接收的数据。
-
在 Splunk 实例中,进入 Search,然后键入
indexPROFILE sourcetype="stackrox ldapsearch"
作为查询。 - 按 Enter 键。
-
在 Splunk 实例中,进入 Search,然后键入
验证您配置的源是否在搜索结果中显示。
14.2.2. 更新 StackRox Kubernetes 安全平台附加组件
如果使用 StackRox Kubernetes Security Platform 附加组件,您必须升级到新的 Red Hat Advanced Cluster Security for Kubernetes 附加组件。
您可以在左侧的应用程序列表下看到 Splunk 主页上的更新通知。另外,您还可以进入 Apps
先决条件
-
您必须具有一个 API 令牌,其具有 Red Hat Advanced Cluster Security for Kubernetes 的所有资源的
read
权限。您可以分配 Analyst 系统角色来授予这个级别的访问权限。Analyst 角色具有所有资源的读取权限。
流程
- 在更新通知上点 Update。
- 选中接受条款和条件的复选框,然后点 Accept and Continue 以安装更新。
- 安装后,从 Apps 菜单中选择 Red Hat Advanced Cluster Security for Kubernetes。
进入 Configuration,然后点 Add-on Settings。
- 输入您为附加组件生成的 API 令牌。
- 点击 Save。
14.2.3. 对 Splunk 附加组件进行故障排除
如果您停止从 Red Hat Advanced Cluster Security for Kubernetes 附加组件接收事件,请检查 Splunk 附加组件调试日志中的错误。
Splunk 为 /opt/mvapich/var/log/mvapich
目录中每个配置的输入创建一个调试日志文件。找到名为 stackrox_<input>_<uid>.log
的文件,例如 stackrox_compliance_29a3e14798aa2363d.log
并查找问题。