本文介绍K8s安全的告警规则,包括K8s错误事件过多、频繁删除事件等。通过设置并开启告警规则,可及时触发告警,有助于您快速发现K8s安全问题。

告警规则列表

支持的告警规则列表如下所示。设置告警参数、设置白名单等相关操作,请参见设置告警

K8s Warning事件数过多告警

告警ID sls_app_audit_container_at_k8s_warn
告警名称 K8s Warning事件数过多告警
版本号 1
类别 云平台、阿里云、容器安全、K8s安全
作用 监控K8s集群的Warning事件。K8s集群上的Warning事件大于等于规则参数Warning事件数的阈值时,会触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置
  • 告警名称:告警实例的名称,默认为K8s Warning事件数过多告警。您可以根据不同监控对象,命名不同的告警名称便于识别。
  • 严重度:严重、高、中、低、报告。默认值为中。
  • Warning事件数的阈值:每2分钟内,一个K8s集群上报Warning事件的最大次数。默认值为10。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • K8s集群名称:待监控的K8s集群名称(支持正则表达式)。默认值.*,表示监控该阿里云账号下的所有K8s集群。
外部配置
消除方法 检查Warning事件数过多的K8s集群是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开Kubernetes K8s事件中心的开关。

K8s频繁删除事件告警

告警ID sls_app_audit_container_at_k8s_del
告警名称 K8s频繁删除事件告警
版本号 1
类别 云平台、阿里云、容器安全、K8s安全
作用 监控K8s集群的频繁删除事件。K8s集群上的删除事件大于等于规则参数频繁删除的次数阈值时,会触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置
  • 告警名称:告警实例的名称,默认为K8s频繁删除事件告警。您可以根据不同监控对象,命名不同的告警名称便于识别。
  • 严重度:严重、高、中、低、报告。默认值为高。
  • 频繁删除的次数阈值:每2分钟内,一个K8s集群删除事件的最大次数。默认值为5。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • K8s集群名称:待监控的K8s集群名称(支持正则表达式)。默认值.*,表示监控该阿里云账号下的所有K8s集群。
外部配置
消除方法 检查发生频繁删除事件的K8s集群是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开Kubernetes K8s审计日志的开关。

K8s错误事件数过多告警

告警ID sls_app_audit_container_at_k8s_err
告警名称 K8s错误事件数过多告警
版本号 1
类别 云平台、阿里云、容器安全、K8s安全
作用 监控K8s集群的错误事件。K8s集群上的Error事件大于规则参数错误事件数的阈值时,会触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置
  • 告警名称:告警实例的名称,默认为K8s错误事件数过多告警。您可以根据不同监控对象,命名不同的告警名称便于识别。
  • 严重度:严重、高、中、低、报告。默认值为高。
  • 错误事件数的阈值:每2分钟内,一个K8s集群上报错误事件的最大次数。默认值为5。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • K8s集群名称:待监控的K8s集群名称(支持正则表达式)。默认值.*,表示监控该阿里云账号下的所有K8s集群。
外部配置
消除方法 检查错误事件数过多的K8s集群是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开Kubernetes K8s事件中心的开关。