Registro de auditoría

En este tema se describe el registro de auditoría en Tanzu Kubernetes Grid (TKG).

Descripción general

En Tanzu Kubernetes Grid, puede acceder a los siguientes registros de auditoría:

• Registros de auditoría del servidor de API de Kubernetes. Consulte Registros de auditoría de Kubernetes a continuación.
• Registros de auditoría del sistema para cada nodo de un clúster, recopilados mediante auditd. Consulte Registros de auditoría del sistema para nodos a continuación.

Registros de auditoría de Kubernetes

Los registros de auditoría de Kubernetes registran las solicitudes al servidor de API de Kubernetes.

Los registros de auditoría están habilitados de forma predeterminada para el supervisor y los clústeres de carga de trabajo que implementa.

Para habilitar la auditoría de Kubernetes en un clúster de administración independiente o en un clúster de carga de trabajo que implementa, establezca la variable ENABLE_AUDIT_LOGGING en true antes de implementar el clúster.

Importante

Habilitar la auditoría de Kubernetes puede provocar volúmenes de registro muy altos. Para gestionar esta cantidad, VMware recomienda utilizar un reenviador de registros como Fluent Bit. Para obtener instrucciones, consulte Instalar Fluent Bit para el reenvío de registros.

Para controlar lo que incluyen los registros de auditoría, pase los archivos de directiva de auditoría a kube-apiserver como se explica a continuación.

Ubicación del registro de auditoría de Kubernetes

De forma predeterminada, las entradas de registro de auditoría de un clúster se escriben en la siguiente ubicación de sus Nodos del plano de control:

• Clúster de administración independiente y sus clústeres de carga de trabajo: /var/log/kubernetes/audit.log
• Supervisor: /var/log/vmware/audit/kube-apiserver.log
• Clústeres de carga de trabajo implementados por supervisor: /var/log/kubernetes/kube-apiserver.log

Puede personalizar estas ubicaciones estableciendo --audit-log-path en la configuración del registro de auditoría.

Si implementa Fluent Bit en el clúster, se reenviarán los registros al destino de registro.

Configuración y directiva de registro de auditoría de Kubernetes

Para ejercer un control detallado sobre lo que se registra, puede crear archivos de directiva de auditoría y pasarlos al servidor kube-api con la marca --audit-policy-file.

Puede ver la configuración del registro de auditoría de un clúster, incluida la ubicación del registro de auditoría, en las siguientes ubicaciones:

• Clúster de administración independiente y sus clústeres de carga de trabajo:

  • /etc/kubernetes/audit-policy.yaml en nodos de plano de control
  • ~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml en su máquina de arranque

• El supervisor y sus clústeres de carga de trabajo: Configuración del servidor de API de Kube en /etc/kubernetes/manifest/kube-apiserver.yaml en los nodos del plano de control. Por ejemplo:

  • Supervisor:

      - kube-apiserver
    [...]
      - --audit-log-maxage=30
      - --audit-log-maxbackup=10
      - --audit-log-maxsize=100
      - --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
      - --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
    

  • Clúster de carga de trabajo:

      - kube-apiserver
    [...]
      - --audit-log-maxage=30
      - --audit-log-maxbackup=10
      - --audit-log-maxsize=100
      - --audit-log-path=/var/log/kubernetes/kube-apiserver.log
      - --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
    

Registros de auditoría del sistema para nodos

Cuando se implementa un clúster de carga de trabajo o administración independiente, auditd está habilitado en el clúster de forma predeterminada. Para acceder a los registros de auditoría del sistema en cada nodo del clúster, desplácese hasta /var/log/audit/audit.log.

Si implementa Fluent Bit en el clúster, se reenviarán estos registros de auditoría al destino de registro. Para obtener instrucciones, consulte Instalar Fluent Bit para el reenvío de registros.