本主题介绍了 Tanzu Kubernetes Grid 2.1 中的审核日志记录。
在 Tanzu Kubernetes Grid 中,您可以访问以下审核日志:
auditd
收集。请参见下面的系统节点审核日志。Kubernetes 审核日志记录对 Kubernetes API 服务器的请求。
默认情况下,将为主管及其部署的工作负载集群启用审核日志。
要在独立管理集群或其部署的工作负载集群上启用 Kubernetes 审计,请在部署集群之前将 ENABLE_AUDIT_LOGGING
变量设置为 true
。
重要启用 Kubernetes 审核可能会导致日志量非常高。要处理此数量,VMware 建议使用日志转发器,例如 Fluent Bit。有关说明,请参阅安装 Fluent Bit 以转发日志。
您可以通过将审核策略文件传递到 kube-apiserver
来控制审核日志的内容,如下所述。
默认情况下,集群的审核日志条目将写入其控制平面节点上的以下位置:
/var/log/kubernetes/audit.log
/var/log/vmware/audit/kube-apiserver.log
/var/log/kubernetes/kube-apiserver.log
您可以通过在审核日志配置中设置 --audit-log-path
来自定义这些位置。
如果在集群上部署 Fluent Bit,它会将日志转发到日志目标。
要对记录的内容进行精细控制,可以创建审核策略文件,并使用 --audit-policy-file
标记将其传递到 kube-api 服务器。
可以在以下位置查看集群的审核日志配置,包括审核日志位置:
独立管理集群及其工作负载集群:
/etc/kubernetes/audit-policy.yaml
~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml
主管及其工作负载集群:控制平面节点上的 /etc/kubernetes/manifest/kube-apiserver.yaml
中的 Kube API 服务器设置。例如:
主管 (Supervisor):
- kube-apiserver
[...]
- --audit-log-maxage=30
- --audit-log-maxbackup=10
- --audit-log-maxsize=100
- --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
- --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
工作负载集群:
- kube-apiserver
[...]
- --audit-log-maxage=30
- --audit-log-maxbackup=10
- --audit-log-maxsize=100
- --audit-log-path=/var/log/kubernetes/kube-apiserver.log
- --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
部署独立管理集群或工作负载集群时,auditd
在集群上默认处于启用状态。您可以导航到 /var/log/audit/audit.log
以访问集群中每个节点上的系统审核日志。
如果在集群上部署 Fluent Bit,其会将这些审核日志转发到日志目标。有关说明,请参阅安装 Fluent Bit 以转发日志。