为定时扫描配置告警

你可以定时运行 ClusterScan。

你还可以为定时扫描指定是否在扫描完成时发出告警。

只有定时运行的扫描才支持告警。

CIS Benchmark 应用支持两种类型的告警:

  • 扫描完成告警:此告警在扫描运行完成时发出。告警包括详细信息,包括 ClusterScan 的名称和 ClusterScanProfile 的名称。

  • 扫描失败告警:如果扫描中有一些测试失败或扫描处于 Fail 状态,则会发出此告警。

先决条件:

rancher-cis-benchmark 启用告警之前,确保安装了 rancher-monitoring 应用并配置了接收器(Receiver)和路由(Route)。详情请参见本章节

在为 rancher-cis-benchmark 告警配置路由时,你可以使用键值对 job:rancher-cis-scan 来指定匹配。详情请查看路由配置示例

要为定时运行的扫描配置告警:

  1. 请在 rancher-cis-benchmark 应用程序上启用告警。详情请参见本页

  2. 在左上角,单击 ☰ > 集群管理

  3. 集群页面上,转到要运行 CIS 扫描的集群,然后单击 Explore

  4. 点击 CIS Benchmark  扫描

  5. 单击创建

  6. 选择集群扫描配置文件。该配置文件确定要使用哪个 CIS Benchmark 版本以及要执行哪些测试。如果你选择 Default 配置文件,则 CIS Operator 将选择适用于它所在的 Kubernetes 集群类型的配置文件。

  7. 选择定时运行扫描的选项。

  8. 调度字段中输入有效的 Cron 表达式

  9. 选中告警下告警类型旁边的框。

  10. (可选)选择一个保留计数,表示为这个定时扫描维护的报告数量。默认情况下,此计数为 3。超过此保留限制时,旧报告将被删除。

  11. 单击创建

结果:扫描运行,并根据设置的 cron 表达式重新调度。如果在 rancher-monitoring 应用下配置了路由和接收器,则会在扫描完成时发出告警。

每次运行扫描都会生成一份带有扫描结果的报告。如需查看最新的结果,请单击显示的扫描名称。