OpenShift 文档正在迁移,不久后将仅在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

与 Splunk 集成

如果您使用的是 Splunk,您可以将 Red Hat Advanced Cluster Security for Kubernetes 的警报转发到 Splunk,并在 Splunk 中查看违规、漏洞检测和合规性相关数据。

目前,Splunk 集成不支持 IBM Power(ppc64le) 和 IBM Z(s390x)。

根据您的用例,您可以通过以下方式将 Red Hat Advanced Cluster Security for Kubernetes 与 Splunk 集成:

您可以使用一个或两个集成选项将 Red Hat Advanced Cluster Security for Kubernetes 与 Splunk 集成。

使用 HTTP 事件收集器

您可以使用 HTTP 事件收集器将 Red Hat Advanced Cluster Security for Kubernetes 的警报转发到 Splunk。

要使用 HTTP 事件收集器将 Red Hat Advanced Cluster Security for Kubernetes 与 Splunk 集成,请按照以下步骤操作

  1. 在 Splunk 中添加新的 HTTP 事件收集器并获取令牌值。

  2. 使用令牌值在 Red Hat Advanced Cluster Security for Kubernetes 中设置通知。

  3. 确定要为此发送通知的策略,并更新这些策略的通知设置。

在 Splunk 中添加 HTTP 事件收集器

为您的 Splunk 实例添加新的 HTTP 事件收集器,并获取令牌。

步骤

  1. 在 Splunk 仪表板中,转到**设置** → **添加数据**。

  2. 单击**监控**。

  3. 在**添加数据**页面上,单击**HTTP 事件收集器**。

  4. 输入事件收集器的**名称**,然后单击**下一步 >**。

  5. 接受默认的**输入设置**,然后单击**查看 >**。

  6. 查看事件收集器属性,然后单击**提交 >**。

  7. 复制事件收集器的**令牌值**。您需要此令牌值才能在 Red Hat Advanced Cluster Security for Kubernetes 中配置与 Splunk 的集成。

启用 HTTP 事件收集器

在您可以接收事件之前,必须启用 HTTP 事件收集器令牌。

步骤

  1. 在 Splunk 仪表板中,转到**设置** → **数据输入**。

  2. 单击**HTTP 事件收集器**。

  3. 单击**全局设置**。

  4. 在打开的对话框中,单击**已启用**,然后单击**保存**。

在 Red Hat Advanced Cluster Security for Kubernetes 中配置 Splunk 集成

使用令牌值在 Red Hat Advanced Cluster Security for Kubernetes 中创建一个新的 Splunk 集成。

步骤

  1. 在 RHACS 门户中,转到**平台配置** → **集成**。

  2. 向下滚动到**通知程序集成**部分,然后选择**Splunk**。

  3. 单击**新建集成**(**添加**图标)。

  4. 输入**集成名称**。

  5. 在**HTTP 事件收集器 URL** 字段中输入您的 Splunk URL。如果 HTTPS 不是端口号 `443` 或 HTTP 不是端口号 `80`,则必须指定端口号。还必须在 URL 末尾添加 URL 路径 `/services/collector/event`。例如,`https://:8088/services/collector/event`。

  6. 在**HTTP 事件收集器令牌**字段中输入您的令牌。

    如果您使用的是 Red Hat Advanced Cluster Security for Kubernetes 3.0.57 或更高版本,则可以指定**警报的源类型**事件和**审核的源类型**事件的自定义。

  7. 选择**测试**以发送测试消息,以验证与 Splunk 的集成是否正常工作。

  8. 选择**创建**以生成配置。

配置策略通知

启用系统策略的警报通知。

步骤

  1. 在 RHACS 门户中,转到**平台配置** → **策略管理**。

  2. 选择要为此发送警报的一个或多个策略。

  3. 在**批量操作**下,选择**启用通知**。

  4. 在**启用通知**窗口中,选择**Splunk** 通知程序。

    如果您尚未配置任何其他集成,则系统会显示一条消息,指示未配置任何通知程序。

  5. 单击**启用**。

  • Red Hat Advanced Cluster Security for Kubernetes 基于选择加入的方式发送通知。要接收通知,必须首先将通知程序分配给策略。

  • 对于给定的警报,仅发送一次通知。如果您已将通知程序分配给策略,则除非违规行为产生新的警报,否则您将不会收到通知。

  • Red Hat Advanced Cluster Security for Kubernetes 会在以下情况下创建新的警报

    • 策略违规首次在部署中发生。

    • 在您解决了该部署中策略的先前运行时警报后,运行时阶段策略违规在部署中发生。

使用 Red Hat Advanced Cluster Security for Kubernetes 附加组件

您可以使用 Red Hat Advanced Cluster Security for Kubernetes 附加组件将漏洞检测和合规性相关数据从 Red Hat Advanced Cluster Security for Kubernetes 转发到 Splunk。

使用对 Red Hat Advanced Cluster Security for Kubernetes 中所有资源具有 `read` 权限的 API 令牌,然后使用该令牌安装和配置附加组件。

安装和配置 Splunk 附加组件

您可以从 Splunk 实例安装 Red Hat Advanced Cluster Security for Kubernetes 附加组件。

为了保持与 StackRox Kubernetes Security Platform 附加组件向后兼容,已配置输入的 `source_type` 和 `input_type` 参数仍称为 `stackrox_compliance`、`stackrox_violations` 和 `stackrox_vulnerability_management`。
前提条件

  • 您必须拥有对 Red Hat Advanced Cluster Security for Kubernetes 的所有资源具有 `read` 权限的 API 令牌。您可以分配**分析师**系统角色以授予此访问级别。**分析师**角色对所有资源具有读取权限。

步骤

  1. Splunkbase下载 Red Hat Advanced Cluster Security for Kubernetes 附加组件。

  2. 转到 Splunk 实例上的 Splunk 首页。

  3. 转到**应用程序** → **管理应用程序**。

  4. 选择**从文件安装应用程序**。

  5. 在**上传应用程序**弹出框中,选择**选择文件**并选择 Red Hat Advanced Cluster Security for Kubernetes 附加组件文件。

  6. 单击**上传**。

  7. 单击**重新启动 Splunk**,然后确认重新启动。

  8. Splunk 重新启动后,从**应用程序**菜单中选择**Red Hat Advanced Cluster Security for Kubernetes**。

  9. 转到**配置**,然后单击**附加组件设置**。

    1. 对于**中央端点**,输入中央实例的 IP 地址或名称。例如,`central.custom:443`。

    2. 输入您为附加组件生成的**API 令牌**。

    3. 单击**保存**。

  10. 转到**输入**。

  11. 单击**创建新的输入**,然后选择以下选项之一:

    • **ACS 合规性**以提取合规性数据。

    • **ACS 违规**以提取违规数据。

    • **ACS 漏洞管理**以提取漏洞数据。

  12. 输入输入的**名称**。

  13. 选择一个**间隔**以从 Red Hat Advanced Cluster Security for Kubernetes 中提取数据。例如,每 14400 秒。

  14. 选择要将数据发送到的 Splunk**索引**。

  15. 对于**中央端点**,输入中央实例的 IP 地址或名称。

  16. 输入您为附加组件生成的**API 令牌**。

  17. 单击**添加**。

验证

  • 要验证 Red Hat Advanced Cluster Security for Kubernetes 附加组件的安装,请查询接收到的数据。

    1. 在 Splunk 实例中,转到**搜索**并键入`index=* sourcetype="stackrox-*"`作为查询。

    2. 按**Enter**键。

验证已配置的源是否显示在搜索结果中。

更新 StackRox Kubernetes Security Platform 附加组件

如果您使用的是 StackRox Kubernetes Security Platform 附加组件,则必须升级到新的 Red Hat Advanced Cluster Security for Kubernetes 附加组件。

您可以在 Splunk 首页左侧应用列表下看到更新通知。或者,您也可以转到**应用** → **管理应用**页面查看更新通知。

前提条件

  • 您必须拥有一个对 Red Hat Advanced Cluster Security for Kubernetes 所有资源具有`读取`权限的 API 令牌。您可以分配**分析师**系统角色来授予此访问级别。**分析师**角色对所有资源都具有读取权限。

步骤

  1. 点击更新通知上的**更新**。

  2. 选中接受条款和条件的复选框,然后点击**接受并继续**安装更新。

  3. 安装完成后,从**应用**菜单中选择**Red Hat Advanced Cluster Security for Kubernetes**。

  4. 转到**配置**,然后单击**附加组件设置**。

    1. 输入您为附加组件生成的**API 令牌**。

    2. 单击**保存**。

Splunk 插件故障排除

如果您停止接收来自 Red Hat Advanced Cluster Security for Kubernetes 插件的事件,请检查 Splunk 插件调试日志中的错误。

Splunk 在/opt/splunk/var/log/splunk目录中为每个配置的输入创建一个调试日志文件。查找名为stackrox_<input>_<uid>.log的文件,例如stackrox_compliance_29a3e14798aa2363d.log,并查找问题。