Сегодня покажу, как настроить мониторинг использования CPU и памяти для Docker-контейнеров с помощью Wazuh. Это довольно простой процесс, который поможет отслеживать ресурсы ваших контейнеров в реальном времени.
Еще по теме: Защита сети с Wazuh на Raspberry Pi
Мониторинг нагрузки Docker через Wazuh
Для начала нужно зайти в интерфейс Wazuh и перейти в раздел Management (Управление), а затем выбрать Groups (Группы). Там мы добавим новую конфигурацию для группы. Вот что нужно вставить:
1 2 3 4 5 6 |
<localfile> <command>docker stats --format "{{.Container}} {{.Name}} {{.CPUPerc}} {{.MemUsage}}" --no-stream</command> <frequency>60</frequency> <log_format>command</log_format> <out_format>$(timestamp) $(hostname) docker: $(log)</out_format> </localfile> |
Эта команда будет выполняться каждую минуту и отправлять обновленную информацию о ресурсах менеджеру Wazuh.
Теперь нам нужно добавить декодеры и правила для обработки полученной информации. Вот декодеры:
1 2 3 |
<decoder name="dockerR"> <program_name>docker</program_name> </decoder> |
1 2 3 4 5 6 |
<decoder name="docker-resouces"> <parent>dockerR</parent> <prematch>ossec: output: 'docker stats --format "{{.Container}} {{.Name}} {{.CPUPerc}} {{.MemUsage}}" --no-stream':</prematch> <regex offset="after_prematch"> (\S+) (\S+) (\S+) (\S+) / (\S+)</regex> <order>ContainerID, ContainerName, ContainerCPU, ContainerMemoryUsage, ContainerMemroyAvailable </order> </decoder> |
И вот правило:
1 2 3 4 5 6 |
<group name="docker"> <rule id="100005" level="5"> <decoded_as>dockerR</decoded_as> <description>alert docker ressources</description> </rule> </group> |
После этих настроек Wazuh начнет собирать и анализировать данные о использовании ресурсов вашими Docker-контейнерами. Вы сможете видеть эту информацию в интерфейсе Wazuh и настраивать оповещения при превышении определенных порогов использования ресурсов.
Это отличный способ держать под контролем производительность ваших контейнеров и быстро реагировать на любые проблемы с ресурсами. Надеюсь, эта информация будет полезной для вашего проекта!
ПОЛЕЗНЫЕ ССЫЛКИ:
- Установка OpenCTI в Docker
- Использование Rsyslog для передачи событий Windows в Wazuh
- Интеграция Wazuh с MISP для автоматизации обнаружения угроз