Стадия жизненного цикла модуля: Experimental
У модуля есть требования для установки

Просмотр логов контроллера и шлюза

Контроллер и шлюз работают в неймспейсе модуля (например d8-security-events-manager).

# Логи контроллера.
kubectl -n d8-security-events-manager logs -l app=security-events-manager-controller -c manager --tail=200

# Логи шлюза (Vector).
kubectl -n d8-security-events-manager logs -l app=gateway -c vector --tail=200

# Сайдкар перезапуска (применяет конфигурационный файл и перезагружает Vector).
kubectl -n d8-security-events-manager logs -l app=gateway -c reloader --tail=100

Просмотр сгенерированного конфигурационного файла Vector

Контроллер записывает полный конфигурационный файл Vector в секрет gateway-vector-config в неймспейсе модуля. Текущий конфигурационный файл можно вывести так:

kubectl -n d8-security-events-manager get secret gateway-vector-config -o jsonpath='{.data.vector\.json}' | base64 -d | jq .

Если jq не используется, часть команды | jq . можно не указывать. В этом случае команда вернёт JSON без форматирования. Проверьте, что sources, transforms и sinks соответствуют вашим ClusterSecurityEventConfig и ClusterSecurityEventDestination. Подробнее про имена преобразований можно прочитать в Конфигурационный файл Vector для шлюза и Подробная логика VRL.

Отладка Vector внутри пода шлюза

Если в образе шлюза есть Vector CLI, можно выполнить в контейнере Vector:

kubectl -n d8-security-events-manager exec -it deploy/gateway -c vector -- vector validate /etc/vector/dynamic/vector.json

Топологию пайплайна (если поддерживается вашей версией Vector):

kubectl -n d8-security-events-manager exec -it deploy/gateway -c vector -- vector graph /etc/vector/dynamic/vector.json

Vector API (если включён в образе) обычно доступен по http://127.0.0.1:8686 внутри пода; можно сделать port-forward и вызвать /reload или проверить health. Перезапуск использует этот API для перезагрузки конфигурационного файла.

Устранение неполадок

  • События не доходят до приёмника — проверьте строку источника в ClusterSecurityEventConfig (enabledSources или enabledSourcesMasks). Формат — clusterSecurityEventShipper/<имя>/<source> или podSecurityEventShipper/<неймспейс>/<имя>/<source>. Подробнее про диагностику доставки событий можно прочитать в FAQ.
  • Невалидный конфигурационный файл Vector — после изменения CR проверьте логи контроллера на ошибки реконсила. Если сгенерированный конфигурационный файл невалиден, перезапуск не применит его и выставит метрику vector_config_validation_error=1. В логах перезапуска будет сообщение об ошибке валидации.
  • Ошибки TLS/сертификатов — убедитесь, что настройки TLS и auth в ClusterSecurityEventDestination совпадают с вашим Loki/Elasticsearch и т. д. Для TLS до приёмника поле ca — base64-encoded PEM. Контроллер может создавать секрет с CA для приёмников; проверьте секрет gateway-destination-cas в неймспейсе модуля.