KUMA
Kaspersky Unified Monitoring and Analysis Platform (KUMA) объединяет продукты «Лаборатории Касперского» и сторонних поставщиков в единую систему информационной безопасности и является ключевым компонентом на пути реализации комплексного защитного подхода, способного обезопасить от актуальных киберугроз корпоративную и индустриальную среду, а также наиболее эксплуатируемый злоумышленниками стык IT/OT-систем.
Описание настроек
Для работы с KUMA должен быть обязательно включён модуль log-shipper.
Для отправки данных в KUMA необходимо настроить на стороне DKP следующие ресурсы:
На стороне KUMA должны быть настроены необходимые ресурсы для приёма событий.
Ниже приведены примеры конфигурации отправки файла аудита /var/log/kube-audit/audit.log в различных форматах.
Отправка логов в формате JSON по UDP
1apiVersion: deckhouse.io/v1alpha1
2kind: ClusterLogDestination
3metadata:
4 name: kuma-udp-json
5spec:
6 type: Socket
7 socket:
8 address: IP_ADDRESS:PORT # Заменить при настройке
9 mode: UDP
10 encoding:
11 codec: "JSON"
12---
13apiVersion: deckhouse.io/v1alpha2
14kind: ClusterLoggingConfig
15metadata:
16 name: kubelet-audit-logs
17spec:
18 type: File
19 file:
20 include:
21 - /var/log/kube-audit/audit.log
22 destinationRefs:
23 - kuma-udp-json
Отправка логов в формате JSON по TCP
1apiVersion: deckhouse.io/v1alpha1
2kind: ClusterLogDestination
3metadata:
4 name: kuma-tcp-json
5spec:
6 type: Socket
7 socket:
8 address: IP_ADDRESS:PORT # Заменить при настройке
9 mode: TCP
10 tcp:
11 verifyCertificate: false
12 verifyHostname: false
13 encoding:
14 codec: "JSON"
15---
16apiVersion: deckhouse.io/v1alpha2
17kind: ClusterLoggingConfig
18metadata:
19 name: kubelet-audit-logs
20spec:
21 type: File
22 file:
23 include:
24 - /var/log/kube-audit/audit.log
25 destinationRefs:
26 - kuma-tcp-json
Отправка логов в формате CEF по TCP
1apiVersion: deckhouse.io/v1alpha1
2kind: ClusterLogDestination
3metadata:
4 name: kuma-tcp-cef
5spec:
6 type: Socket
7 socket:
8 extraLabels:
9 cef.name: d8
10 cef.severity: "1"
11 address: IP_ADDRESS:PORT # Заменить при настройке
12 mode: TCP
13 tcp:
14 verifyCertificate: false
15 verifyHostname: false
16 encoding:
17 codec: "CEF"
18---
19apiVersion: deckhouse.io/v1alpha2
20kind: ClusterLoggingConfig
21metadata:
22 name: kubelet-audit-logs
23spec:
24 type: File
25 file:
26 include:
27 - /var/log/kube-audit/audit.log
28 logFilter:
29 - field: userAgent
30 operator: Regex
31 values: [ "kubelet.*" ]
32 destinationRefs:
33 - kuma-tcp-cef
Отправка логов в формате Syslog по TCP
1apiVersion: deckhouse.io/v1alpha1
2kind: ClusterLogDestination
3metadata:
4 name: kuma-tcp-syslog
5spec:
6 type: Socket
7 socket:
8 address: IP_ADDRESS:PORT # Заменить при настройке
9 mode: TCP
10 tcp:
11 verifyCertificate: false
12 verifyHostname: false
13 encoding:
14 codec: "Syslog"
15---
16apiVersion: deckhouse.io/v1alpha2
17kind: ClusterLoggingConfig
18metadata:
19 name: kubelet-audit-logs
20spec:
21 type: File
22 file:
23 include:
24 - /var/log/kube-audit/audit.log
25 logFilter:
26 - field: userAgent
27 operator: Regex
28 values: [ "kubelet.*" ]
29 destinationRefs:
30 - kuma-tcp-syslog
Отправка логов в Apache Kafka
При условии, что Apache Kafka настроена на приём данных.
1apiVersion: deckhouse.io/v1alpha1
2kind: ClusterLogDestination
3metadata:
4 name: kuma-kafka
5spec:
6 type: Kafka
7 kafka:
8 bootstrapServers:
9 - kafka-address:9092 # Заменить при настройке на актуальное значение
10 topic: k8s-logs
11---
12apiVersion: deckhouse.io/v1alpha2
13kind: ClusterLoggingConfig
14metadata:
15 name: kubelet-audit-logs
16 spec:
17 destinationRefs:
18 - kuma-kafka
19 file:
20 include:
21 - /var/log/kube-audit/audit.log
22 logFilter:
23 - field: userAgent
24 operator: Regex
25 values:
26 - kubelet.*
27 type: File