Überwachungsprotokollierung

In diesem Thema wird die Überwachungsprotokollierung in Tanzu Kubernetes Grid (TKG) beschrieben.

Überblick

In Tanzu Kubernetes Grid können Sie auf die folgenden Überwachungsprotokolle zugreifen:

• Überwachungsprotokolle vom Kubernetes-API-Server. Informationen finden Sie im Folgenden unter Kubernetes-Überwachungsprotokolle.
• Systemauditprotokolle für jeden Knoten in einem Cluster, die mithilfe von auditd erfasst werden. Informationen finden Sie im Folgenden unter Systemauditprotokolle für Knoten.

Kubernetes-Überwachungsprotokolle

In Kubernetes-Überwachungsprotokollen werden Anforderungen an den Kubernetes-API-Server aufgezeichnet.

Überwachungsprotokolle sind standardmäßig für den Supervisor und die von ihm bereitgestellten Arbeitslastcluster aktiviert.

Zur Aktivierung der Kubernetes-Überwachung in einem eigenständigen Verwaltungscluster oder einem von diesem bereitgestellten Arbeitslastcluster legen Sie die Variable ENABLE_AUDIT_LOGGING auf true fest, bevor Sie den Cluster bereitstellen.

Wichtig

Die Aktivierung der Kubernetes-Überwachung kann zu sehr hohen Protokollvolumen führen. Um diese Menge zu bewältigen, empfiehlt VMware die Verwendung eines Protokoll-Forwarders wie Fluent Bit. Anweisungen finden Sie unter Installieren von Fluent Bit für die Protokollweiterleitung.

Sie können den Inhalt der Überwachungsprotokolle steuern, indem Sie Überwachungsrichtliniendateien an kube-apiserver übergeben, wie unten erläutert.

Speicherort des Kubernetes-Überwachungsprotokolls

Standardmäßig werden Überwachungsprotokolleinträge für einen Cluster in den folgenden Speicherort auf den zugehörigen Steuerungsebenenknoten geschrieben:

• Eigenständiger Verwaltungscluster und seine Arbeitslastcluster: /var/log/kubernetes/audit.log
• Supervisor: /var/log/vmware/audit/kube-apiserver.log
• Von Supervisor bereitgestellte Arbeitslastcluster: /var/log/kubernetes/kube-apiserver.log

Sie können diese Speicherorte anpassen, indem Sie --audit-log-path in der Konfiguration des Überwachungsprotokolls festlegen.

Wenn Sie Fluent Bit auf dem Cluster bereitstellen, werden die Protokolle an das Protokollziel weitergeleitet.

Kubernetes-Überwachungsprotokollrichtlinie und -konfiguration

Wenn Sie eine differenzierte Steuerung der protokollierten Daten wünschen, können Sie Überwachungsrichtliniendateien erstellen und mit dem Flag --audit-policy-file an „kube-apiserver“ übergeben.

Die Konfiguration des Überwachungsprotokolls für einen Cluster, einschließlich des Speicherorts des Überwachungsprotokolls, finden Sie an den folgenden Speicherorten:

• Eigenständiger Verwaltungscluster und seine Arbeitslastcluster:

  • /etc/kubernetes/audit-policy.yaml auf Knoten der Steuerungsebene
  • ~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml auf Ihrer Bootstrap-Maschine

• Supervisor und seine Arbeitslastcluster: Kube-API-Servereinstellungen in /etc/kubernetes/manifest/kube-apiserver.yaml auf Knoten der Steuerungsebene. Beispiel:

  • Supervisor:

      - kube-apiserver
    [...]
      - --audit-log-maxage=30
      - --audit-log-maxbackup=10
      - --audit-log-maxsize=100
      - --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
      - --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
    

  • Arbeitslastcluster:

      - kube-apiserver
    [...]
      - --audit-log-maxage=30
      - --audit-log-maxbackup=10
      - --audit-log-maxsize=100
      - --audit-log-path=/var/log/kubernetes/kube-apiserver.log
      - --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
    

Systemauditprotokolle für Knoten

Wenn Sie einen eigenständigen Verwaltungs- oder Arbeitslastcluster bereitstellen, ist auditd für den Cluster standardmäßig aktiviert. Sie können auf jedem Knoten im Cluster auf Ihre Systemauditprotokolle zugreifen, indem Sie zu /var/log/audit/audit.log navigieren.

Wenn Sie Fluent Bit auf dem Cluster bereitstellen, werden diese Überwachungsprotokolle an das Protokollziel weitergeleitet. Anweisungen finden Sie unter Installieren von Fluent Bit für die Protokollweiterleitung.