Kubernetes审计日志以实现全面监控

Kubernetes审计日志级别

Kubernetes审计策略文件包含一系列规则，描述了记录日志的级别，采集哪些日志，不采集哪些日志。

1. None

   • 说明：不为事件创建日志条目。
   • 应用场景：在不需要记录任何日志的情况下使用。

2. Metadata

   • 说明：创建日志条目。包括元数据，但不包括请求正文或响应正文。
   • 应用场景：记录基本信息，不涉及实际内容。适用于需要基本审计记录，但不需要深入细节的场景。

3. Request

   • 说明：创建日志条目。包括元数据和请求正文，但不包括响应正文。
   • 应用场景：需要详细记录请求内容，但对响应内容不敏感的场景。

4. RequestResponse

   • 说明：创建日志条目。包括元数据、请求正文和响应正文。
   • 应用场景：需要完整记录请求和响应的场景，适用于全面审计需求。

Kubernetes审计日志配置

审计日志支持写入本地文件和Webhook（发送到外部HTTP API）两种方式。启用审计日志功能的步骤如下：

1. 编辑配置文件

   • 进入Kubernetes API Server配置文件：

     vi /etc/kubernetes/manifests/kube-apiserver.yaml

   • 添加或修改以下参数：

     - --audit-policy-file=/etc/kubernetes/audit/audit-policy.yaml
     - --audit-log-path=/var/log/k8s_audit.log
     - --audit-log-maxage=30
     - --audit-log-maxbackup=10
     - --audit-log-maxsize=100

2. 参数说明

   • audit-policy-file：审计日志策略文件路径。
   • audit-log-path：审计日志输出文件路径。
   • audit-log-maxage：审计日志保留的最大天数。
   • audit-log-maxbackup：审计日志最大可存储多少个日志文件。
   • audit-log-maxsize：单个审计日志最大大小，单位为MB。

3. 注意事项

   • 使用hostpath数据卷将宿主机/etc/kubernetes/audit目录挂载到容器中，以确保配置文件路径正确。

本文由mdnice多平台发布