Journalisation d'audit

Cette rubrique décrit la journalisation d'audit dans Tanzu Kubernetes Grid 2.1.

Présentation

Dans Tanzu Kubernetes Grid, vous pouvez accéder aux journaux d’audit suivants :

• Journaux d'audit du serveur d'API Kubernetes. Reportez-vous à la section Journaux d'audit Kubernetes ci-dessous.
• Journaux d'audit système pour chaque nœud d'un cluster, collectés à l'aide de auditd. Reportez-vous à la section Journaux d'audit système pour les nœuds ci-dessous.

Journaux d'audit Kubernetes

Les journaux d'audit Kubernetes enregistrent les demandes au serveur d'API Kubernetes.

Les journaux d'audit sont activés par défaut pour le superviseur et les clusters de charge de travail qu'il déploie.

Pour activer l'audit Kubernetes sur un cluster de gestion autonome ou un cluster de charge de travail qu'il déploie, définissez la variable ENABLE_AUDIT_LOGGING sur true avant de déployer le cluster.

Important

L'activation des audits Kubernetes peut entraîner des volumes de journaux très élevés. Pour gérer cette quantité, VMware recommande d'utiliser un redirecteur de journaux, tel que Fluent Bit. Pour obtenir des instructions, reportez-vous à la section Installer Fluent Bit pour le transfert de journaux.

Vous pouvez contrôler ce que les journaux d'audit incluent en transmettant les fichiers de stratégie d'audit à kube-apiserver, comme expliqué ci-dessous.

Emplacement du journal d’audit Kubernetes

Par défaut, les entrées de journal d’audit d’un cluster sont écrites à l’emplacement suivant sur ses nœuds de plan de contrôle :

• Cluster de gestion autonome et ses clusters de charge de travail : /var/log/kubernetes/audit.log
• Superviseur : /var/log/vmware/audit/kube-apiserver.log
• Clusters de charge de travail déployés par le superviseur : /var/log/kubernetes/kube-apiserver.log

Vous pouvez personnaliser ces emplacements en définissant --audit-log-path dans la configuration du journal d'audit.

Si vous déployez Fluent Bit sur le cluster, il transférera les journaux vers votre destination de journal.

Stratégie et configuration des journaux d'audit Kubernetes

Pour exercer un contrôle précis sur les éléments journalisés, vous pouvez créer des fichiers de stratégie d'audit et les transmettre à kube-apiserver avec l'indicateur --audit-policy-file.

Vous pouvez consulter la configuration des journaux d'audit d'un cluster, y compris la localisation de ceux-ci, aux emplacements suivants :

• Cluster de gestion autonome et ses clusters de charge de travail :

  • /etc/kubernetes/audit-policy.yaml sur des nœuds de plan de contrôle
  • ~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml sur votre machine de démarrage

• Superviseur et ses clusters de charge de travail : Les paramètres du serveur d'API Kube dans /etc/kubernetes/manifest/kube-apiserver.yaml sur les nœuds du plan de contrôle. Par exemple :

  • Superviseur (Supervisor) :

      - kube-apiserver
    [...]
      - --audit-log-maxage=30
      - --audit-log-maxbackup=10
      - --audit-log-maxsize=100
      - --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
      - --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
    

  • Cluster de charge de travail :

      - kube-apiserver
    [...]
      - --audit-log-maxage=30
      - --audit-log-maxbackup=10
      - --audit-log-maxsize=100
      - --audit-log-path=/var/log/kubernetes/kube-apiserver.log
      - --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
    

Journaux d'audit système pour les nœuds

Lorsque vous déployez un cluster de gestion ou de charge de travail autonome, auditd est activé sur le cluster par défaut. Vous pouvez accéder à vos journaux d'audit système sur chaque nœud du cluster en accédant à /var/log/audit/audit.log.

Si vous déployez Fluent Bit sur le cluster, il transférera ces journaux d'audit vers votre destination de journal. Pour obtenir des instructions, reportez-vous à la section Installer Fluent Bit pour le transfert de journaux.