容器审计

开启审计功能

在容器安全列表内，可以查看审计功能是否已开启。若操作列中开启审计字体为“灰色”，表示审计功能暂不可用，需要先开启该功能；若为“红色”，则表示审计功能可用。

集群开启审计功能

1.         登录容器安全卫士控制台。

2.         在左侧导航栏，选择“安装配置 > 组件安装”，进入组件安装页面。

3.         单击集群列表操作列的“集群组件配置”，进入集群全局设置页面。

4.         开启容器审计功能，单击“保存”。

容器开启审计功能

1.         登录容器安全卫士控制台。

2.         在左侧导航栏，选择“容器安全 > 实时检测”，进入实时检测页面。

3.         在容器列表操作列单击“开启审计”，或勾选多个容器，单击列表右上方的“开启审计”，批量为容器开启审计功能。

配置容器审计

配置“容器调查审计信息保留时间”或“容器调查审计信息保留容量”。详细操作请参见容器设置。

查看审计信息

容器审计提供正常和异常的容器事件统计，包括容器进程事件、文件事件、网络事件。

前提条件

容器集群已开启审计功能。

操作步骤

1.         登录容器安全卫士控制台。

2.         在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。

3.         单击容器列表内的容器名称，进入容器详情页面。

4.         选择“容器审计”页签，进入审计详情页面。可查看容器的正常事件和异常事件的数量随时间变化的折线图（默认统计最近15分钟内的事件），又分类统计了容器的进程事件、文件事件、网络事件的数量，可通过选择时间或拖拽下方进度条来查看不同时间段内，容器发生的事件信息。

5.         查看事件列表：在统计图下方以列表展示了容器中发生的事件信息，单击列表中某行，可展开查看对应事件的详细信息。

容器审计事件参数说明：