Работа с подами audit-manager и collector-audit
В данном разделе описана работа с подами audit-manager и collector-audit.
Под audit-manager предназначен для управления аудитом системных событий. Он направляет данные аудита от сервисов к поду collector-audit.
Под collector-audit предназначен для работы коллектора аудита. Коллектор аудита — это внутренний коллектор, который собирает системные события аудита и отправляет их в хранилище событий аудита. Также коллектор аудита направляет данные в стрим NATS с наименованием r-space-broadcast-commands-output для доступа к данным аудита из сервисов системы. Коллектор аудита скрыт из интерфейса системы.
Получение полных имен подов
Каждому поду присваивается случайный идентификатор, добавляемый к имени сервиса, для которого создается под.
Чтобы получить полное имя для каждого из подов, выполните следующую команду:
-
Для пода
audit-manager:kubectl -n <namespace> get pods -l app.kubernetes.io/name=evo.streams.audit-managerЗдесь:
-
<namespace>— название пространства имен, в котором установлена система.
-
-
Для пода
collector-audit:kubectl -n <namespace> get pods -l app.kubernetes.io/name=wl-a3741e20-bb69-4ad8-9d33-c0792dbc4701Здесь:
-
<namespace>— название пространства имен, в котором установлена система.
-
Пример вывода имени пода audit-manager
NAME READY STATUS RESTARTS AGE evo.streams.audit-manager-6cc79cl87l-mnpf6 1/1 Running 0 45m
Опция -l команды kubectl get pods позволяет отфильтровать список подов кластера по значению селектора app.kubernetes.io/name.
В примере выше полное имя пода audit-manager — evo.streams.audit-manager-6cc79cl87l-mnpf6.
Просмотр логов подов
| Логи пода очищаются при его остановке. |
Для просмотра логов подов audit-manager и collector-audit используйте инструкцию из раздела Просмотр состояния подов кластера. В качестве имени пода (<pod_name>) укажите полные имена подов, полученные ранее.
Изменение ресурсов для обработки событий аудита
Если в определенный момент приходит большое количество событий аудита, то вы можете увеличить потребляемые ресурсы и пропускную способность подов audit-manager и collector-audit следующими способами:
-
Через увеличение количества реплик и ресурсов для подов
audit-managerиcollector-audit. -
Через увеличение максимального количества неподтвержденных сообщений, которое потребитель (consumer) может получить, для подов
audit-managerиcollector-audit.
Изменение ресурсов и пропускной способности пода audit-manager
Чтобы изменить ресурсы и пропускную способность пода audit-manager:
-
Подключитесь к кластеру.
-
Откройте ConfigMap
evo.streams-audit-manager-env, выполнив следующую команду:kubectl -n <namespace> edit configmap evo.streams-audit-manager-envЗдесь:
-
<namespace>— название пространства имен, в котором установлена система.
-
-
Измените максимальное количество неподтвержденных сообщений, которое может принять потребитель пода
audit-manager, в параметреSIEM_AUDIT_MANAGER_CONSUMER_MAX_ACK_PENDING. -
Сохраните файл.
-
Откройте конфигурацию контроллера Deployment
evo.streams.audit-manager, выполнив следующую команду:kubectl -n <namespace> edit deployment evo.streams.audit-managerКонфигурация контроллера Deployment откроется в текстовом редакторе, который выбран в системе по умолчанию.
Здесь:
-
<namespace>— название пространства имен, в котором установлена система.
-
-
Измените количестно реплик пода в поле
replicasблока конфигурацииspec. -
Измените потребляемые ресурсы пода в следующих полях блока конфигурации
spec → template → spec → containers → resources → limits:-
cpu— количество ядер CPU пода. -
memory— количество ОЗУ пода.
-
-
Сохраните и закройте временный файл конфигурации контроллера.
-
Перезагрузите контроллер Deployment
evo.streams.audit-manager, чтобы применить изменения:kubectl -n <namespace> rollout restart deployment evo.streams.audit-managerЗдесь:
-
<namespace>— название пространства имен, в котором установлена система.
-
Изменение ресурсов и пропускной способности пода collector-audit
Чтобы изменить ресурсы и пропускную способность пода collector-audit:
-
Подключитесь к кластеру.
-
Откройте ConfigMap
evo.streams-audit-manager-env, выполнив следующую команду:kubectl -n <namespace> edit configmap evo.streams-audit-manager-envЗдесь:
-
<namespace>— название пространства имен, в котором установлена система.
-
-
Отредактируйте необходимые параметры:
-
SIEM_AUDIT_MANAGER_AUDIT_COLLECTOR_CONSUMER_MAX_ACK_PENDING— количество неподтвержденных сообщений, которое потребитель (consumer) может получить от сервера в коллектор аудита. -
SIEM_AUDIT_MANAGER_AUDIT_COLLECTOR_REPLICA_COUNT— количество реплик пода, который передает данные аудита. -
SIEM_AUDIT_MANAGER_AUDIT_COLLECTOR_CPU— количество ядер CPU пода, который передает данные аудита. -
SIEM_AUDIT_MANAGER_AUDIT_COLLECTOR_MEMORY_MB— ОЗУ пода, который передает данные аудита.Изменение ресурсов и количества реплик пода collector-auditпроизводится в ConfigMap, потому что при перезапуске подаaudit-managerпересоздается контроллер Deployment подаcollector-audit. Данные о ресусах и количестве реплик подаcollector-auditдобавляются в новый контроллер Deployment из ConfigMapevo.streams-audit-manager-env.
-
-
Сохраните файл.
-
Перезагрузите контроллер Deployment
evo.streams.audit-manager, чтобы применить изменения:kubectl -n <namespace> rollout restart deployment evo.streams.audit-managerЗдесь:
-
<namespace>— название пространства имен, в котором установлена система.
-
Была ли полезна эта страница?
