审核日志记录

本主题介绍 Tanzu Kubernetes Grid 2.2 中的审核日志记录。

概览

在 Tanzu Kubernetes Grid 中,您可以访问以下审核日志:

Kubernetes 审核日志

Kubernetes 审核日志记录对 Kubernetes API 服务器的请求。

默认情况下,将为主管及其部署的工作负载集群启用审核日志。

要在独立管理集群或其部署的工作负载集群上启用 Kubernetes 审计,请在部署集群之前将 ENABLE_AUDIT_LOGGING 变量设置为 true

重要

启用 Kubernetes 审核可能会导致日志量非常高。要处理此数量,VMware 建议使用日志转发器,例如 Fluent Bit。有关说明,请参阅安装 Fluent Bit 以转发日志

您可以通过将审核策略文件传递到 kube-apiserver 来控制审核日志的内容,如所述。

Kubernetes 审核日志位置

默认情况下,集群的审核日志条目将写入其控制平面节点上的以下位置:

  • 独立管理集群及其工作负载集群/var/log/kubernetes/audit.log
  • 主管/var/log/vmware/audit/kube-apiserver.log
  • 主管部署的工作负载集群/var/log/kubernetes/kube-apiserver.log

您可以通过在审核日志配置中设置 --audit-log-path 来自定义这些位置。

如果在集群上部署 Fluent Bit,它会将日志转发到日志目标。

Kubernetes 审核日志策略和配置

要对记录的内容进行精细控制,可以创建审核策略文件,并使用 --audit-policy-file 标记将其传递到 kube-api 服务器。

可以在以下位置查看集群的审核日志配置,包括审核日志位置:

  • 独立管理集群及其工作负载集群

    • 控制平面节点上的 /etc/kubernetes/audit-policy.yaml
    • 引导计算机上的 ~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml
  • 主管及其工作负载集群:控制平面节点上的 /etc/kubernetes/manifest/kube-apiserver.yaml 中的 Kube API 服务器设置。例如:

    • 主管 (Supervisor)

        - kube-apiserver
      [...]
        - --audit-log-maxage=30
        - --audit-log-maxbackup=10
        - --audit-log-maxsize=100
        - --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
        - --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
      
    • 工作负载集群

        - kube-apiserver
      [...]
        - --audit-log-maxage=30
        - --audit-log-maxbackup=10
        - --audit-log-maxsize=100
        - --audit-log-path=/var/log/kubernetes/kube-apiserver.log
        - --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
      

节点的系统审核日志

部署独立管理集群或工作负载集群时,auditd 在集群上默认处于启用状态。您可以导航到 /var/log/audit/audit.log 以访问集群中每个节点上的系统审核日志。

如果在集群上部署 Fluent Bit,其会将这些审核日志转发到日志目标。有关说明,请参阅安装 Fluent Bit 以转发日志

check-circle-line exclamation-circle-line close-line
Scroll to top icon