當K8s集群遭受入侵時，安全管理員可以通過審計日志進行攻擊溯源，通過分析攻擊痕跡，我們可以找到攻擊者的入侵行為，還原攻擊者的攻擊路徑，以便修復安全問題。

在本節課程中，我們將介紹如何配置K8s審計日志，并將這些審計日志作為數據源，來構建安全檢測規則，觸發實時的安全告警，提升K8s集群整體的安全防護能力。

在這個課程中，我們將學習以下內容：

• K8s日志審計：介紹一下K8s日志審計，定義審計策略。

• 配置K8s日志審計：演示如何配置K8s日志審計。

• 利用Falco實時監測K8s審計日志：Falco提供了k8saudit插件，可以通過采集K8s審計日志進行分析，實時監測K8s集群，發現潛在的入侵行為。

• 基于Splunk自定義規則和告警：將K8s審計日志引入日志分析平臺，基于k8s日志審計構建各種風險場景，提取關鍵特征，自定義安全檢測規則，實時監測集群的入侵行為。

---

在K8s集群中，日志審計扮演者非常重要的角色，它能夠記錄API Server發生的關鍵事件，向管理員提供重要信息，比如誰在什么時間執行了什么操作以及操作了哪些資源。

當集群遭受攻擊時，安全管理員通過審計日志追溯攻擊者對集群的操作，從而發現潛在的安全風險。

利用K8s審計日志進行安全威脅檢測，本質上，就是通過監控K8s審計日志，解析日志字段，定義安全檢測規則，來實現實時的安全威脅檢測。 為了實現這個目標，我們也可以將K8s審計日志引入到安全分析平臺，利用k8s審計日志來構建各種安全風險場景。?

想了解更多K8s日志審計的內容，建議觀看以下視頻，預計時長14分鐘，我們可以更好地理解和應用K8s的審計日志，從攻擊溯源到安全實時告警，及時發現和應對潛在的安全風險，從而更好地保護k8s集群。