从 Sentinel 连接器引入的 AWS EKS 审核日志包含有关 Amazon Elastic Kubernetes 服务的 API 服务器请求、身份验证决策和群集活动的详细信息。 这些日志为 Kubernetes 群集提供全面的安全监视和合规性跟踪。
数据表属性
| Attribute |
价值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时 DCR 支持 |
否 |
|
仅湖引入 |
是的 |
|
示例查询 |
- |
列
| 列 |
类型 |
说明 |
| AuthDecision |
字符串 |
Kubernetes RBAC 系统(例如,允许禁止)做出的授权决策。 |
| AwsAccountId |
字符串 |
EKS 群集所在的 AWS 帐户 ID。 |
| _BilledSize(账单大小) |
real |
记录大小(字节) |
| 集群名称 |
字符串 |
生成审核事件的 EKS 群集的名称。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当_IsBillable为 false 引入时,不会向你Azure帐户计费 |
| ObjectRef |
字符串 |
对已访问的 Kubernetes 对象的引用(命名空间/资源/名称)。 |
| RawEvent |
dynamic |
包含其他上下文和元数据的完整原始 EKS 审核事件数据。 |
| Region |
字符串 |
EKS 群集所在的 AWS 区域。 |
| 响应码 |
int |
API 请求的 HTTP 响应状态代码。 |
| SourceIP |
dynamic |
源 IP 地址的数组,从中发起请求。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,Windows 代理的 OpsManager、直接连接或Operations Manager、所有 Linux 代理的 Linux,或用于 Azure Diagnostics 的 Azure |
| 阶段 |
字符串 |
生成审核事件时的请求处理阶段(例如 RequestReceived、ResponseComplete)。 |
| 租户ID |
字符串 |
Log Analytics工作区 ID |
| TimeGenerated |
日期/时间 |
生成 EKS 审核事件的时间戳(UTC)。 |
| 类型 |
字符串 |
表的名称 |
| 用户 |
字符串 |
执行作的用户或服务帐户。 |
| 用户代理 (UserAgent) |
字符串 |
发出请求的客户端的用户代理字符串。 |
| 动词 |
字符串 |
执行的 Kubernetes API 谓词(作)(例如获取、创建、更新、删除)。 |