在minikube上运行sysdig

Question

我尝试在我本地的kubernetes集群上运行sysdig，该集群使用minikube运行，并将kvm2作为vm驱动程序。我是sysdig的新手，我想找到由pod运行的系统调用。

我运行的命令是：

sudo sysdig k8s.ns.name=default or k8s.pod.name=algorithm

pods正在运行(我检查过了)，但没有系统调用达到低谷。

我使用kubectl describe命令检查名称空间是否正确；确实如此。所以我不确定哪里出了问题。可能是因为minikube正在使用前面提到的VM，所以sysdig找不到任何东西。如果是这样的话，我不确定如何在其中运行sysdig。

提前感谢

Answer 1

如果您正确设置了Sysdig，则Kubernetes Audit Logging应该可以工作。

系统挖掘安全允许用户创建基于Kubernetes审计事件流的Falco安全规则，将Kubernetes审计记录与系统挖掘代理集成。这允许用户跟踪对群集所做的更改，包括：

创建和销毁pods、服务、部署、守护程序集、etc.

• Creating/updating/removing配置映射或secrets

• Attempts的
• ，以订阅对任何端点的更改

文档指出，使用默认的驱动程序，Minikube Sysdig支持0.33.1及更高版本的Minikube。

要在Minikube中启用审计日志记录，您需要：

1. 克隆/下载存储库：https://github.com/draios/sysdig-cloud-scripts.The存储库包含以下相关文件：

- `k8s_audit_config/audit-policy.yaml` 

有关配置传递给代理的审核事件的详细信息，请参阅Kubernetes文档。

- k8s_audit_config/[webhook-config.yaml.in](http://webhook-config.yaml.in/)

- k8s_audit_config/enable-k8s-audit.sh

​

要在apiserver:bash ./enable-k8s-audit.sh minikube上启用审核日志支持，请在

• 目录中运行以下命令，以向[webhook-config.yaml.in](http://webhook-config.yaml.in/) file:AGENT_SERVICE_CLUSTERIP=$(kubectl get service sysdig-agent -o=jsonpath={.spec.clusterIP}) envsubst < webhook-config.yaml.in > webhook-config.yaml

• Run enable-k8s.sh脚本输入所需的值