审核日志记录

本主题介绍 Tanzu Kubernetes Grid (TKG) 中的审核日志记录。

概览

在 Tanzu Kubernetes Grid 中，您可以访问以下审核日志：

• Kubernetes API 服务器中的审核日志。请参见下面的 Kubernetes 审核日志。
• 集群中每个节点的系统审核日志，使用 auditd 收集。请参见下面的系统节点审核日志。

Kubernetes 审核日志

Kubernetes 审核日志记录对 Kubernetes API 服务器的请求。

默认情况下，将为主管及其部署的工作负载集群启用审核日志。

要在独立管理集群或其部署的工作负载集群上启用 Kubernetes 审计，请在部署集群之前将 ENABLE_AUDIT_LOGGING 变量设置为 true。

重要

启用 Kubernetes 审核可能会导致日志量非常高。要处理此数量，VMware 建议使用日志转发器，例如 Fluent Bit。有关说明，请参阅安装 Fluent Bit 以转发日志。

您可以通过将审核策略文件传递到 kube-apiserver 来控制审核日志的内容，如下所述。

Kubernetes 审核日志位置

默认情况下，集群的审核日志条目将写入其控制平面节点上的以下位置：

• 独立管理集群及其工作负载集群：/var/log/kubernetes/audit.log
• 主管：/var/log/vmware/audit/kube-apiserver.log
• 主管部署的工作负载集群：/var/log/kubernetes/kube-apiserver.log

您可以通过在审核日志配置中设置 --audit-log-path 来自定义这些位置。

如果在集群上部署 Fluent Bit，它会将日志转发到日志目标。

Kubernetes 审核日志策略和配置

要对记录的内容进行精细控制，可以创建审核策略文件，并使用 --audit-policy-file 标记将其传递到 kube-api 服务器。

可以在以下位置查看集群的审核日志配置，包括审核日志位置：

• 独立管理集群及其工作负载集群：

  • 控制平面节点上的 /etc/kubernetes/audit-policy.yaml
  • 引导计算机上的 ~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml

• 主管及其工作负载集群：控制平面节点上的 /etc/kubernetes/manifest/kube-apiserver.yaml 中的 Kube API 服务器设置。例如：

  • 主管 (Supervisor)：

      - kube-apiserver
    [...]
      - --audit-log-maxage=30
      - --audit-log-maxbackup=10
      - --audit-log-maxsize=100
      - --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
      - --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
    

  • 工作负载集群：

      - kube-apiserver
    [...]
      - --audit-log-maxage=30
      - --audit-log-maxbackup=10
      - --audit-log-maxsize=100
      - --audit-log-path=/var/log/kubernetes/kube-apiserver.log
      - --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
    

节点的系统审核日志

部署独立管理集群或工作负载集群时，auditd 在集群上默认处于启用状态。您可以导航到 /var/log/audit/audit.log 以访问集群中每个节点上的系统审核日志。

如果在集群上部署 Fluent Bit，其会将这些审核日志转发到日志目标。有关说明，请参阅安装 Fluent Bit 以转发日志。