감사 로깅

이 항목에서는 Tanzu Kubernetes Grid 2.2의 감사 로깅을 설명합니다.

개요

Tanzu Kubernetes Grid에서 다음 감사 로그에 액세스할 수 있습니다.

• Kubernetes API 서버의 감사 로그. 아래의 Kubernetes 감사 로그를 참조하십시오.
• auditd를 사용하여 수집되는 클러스터의 각 노드에 대한 시스템 감사 로그입니다. 아래의 노드용 시스템 감사 로그를 참조하십시오.

Kubernetes 감사 로그

Kubernetes 감사 로그는 Kubernetes API 서버에 대한 요청을 기록합니다.

감사 로그는 Supervisor 및 Supervisor가 배포하는 워크로드 클러스터에 대해 기본적으로 사용하도록 설정되어 있습니다.

독립형 관리 클러스터 또는 워크로드 클러스터에서 Kubernetes 감사를 사용하도록 설정하려면 클러스터를 배포하기 전에 ENABLE_AUDIT_LOGGING 변수를 true로 설정합니다.

중요

Kubernetes 감사를 사용하도록 설정하면 로그 볼륨이 매우 높아질 수 있습니다. 이 수량을 처리하려면 VMware Fluent Bit와 같은 로그 전달자를 사용하는 것이 좋습니다. 자세한 내용은 로그 전달을 위한 Fluent Bit 설치를 참조하십시오.

아래에 설명된 대로 감사 정책 파일을 kube-apiserver로 전달하여 감사 로그에 포함된 내용을 제어할 수 있습니다.

Kubernetes 감사 로그 위치

기본적으로 클러스터에 대한 감사 로그 항목은 제어부 노드의 다음 위치에 작동합니다.

• 독립형 관리 클러스 및 워크로드 클러스터: /var/log/kubernetes/audit.log
• Supervisor: /var/log/vmware/audit/kube-apiserver.log
• Supervisor 배포 워크로드 클러스터: /var/log/kubernetes/kube-apiserver.log

감사 로그 구성에서 --audit-log-path를 설정하여 이러한 위치를 사용자 지정할 수 있습니다.

클러스터에 Fluent Bit를 배포하면 로그가 로그 대상으로 전달됩니다.

Kubernetes 감사 로그 정책 및 구성

로깅되는 내용을 세분화하여 제어하려면 감사 정책 파일을 생성하고 --audit-policy-file 플래그를 사용하여 kube-apiserver에 전달할 수 있습니다.

다음 위치에서 감사 로그 위치를 포함하여 클러스터에 대한 감사 로그 구성을 보려면:

• 독립형 관리 클러스터 및 워크로드 클러스터:

  • 제어부 노드의 /etc/kubernetes/audit-policy.yaml
  • 부트스트랩 시스템의 ~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml

• Supervisor 및 워크로드 클러스터: 제어부 노드의 /etc/kubernetes/manifest/kube-apiserver.yaml Kube API 서버 설정. 예:

  • Supervisor:

      - kube-apiserver
    [...]
      - --audit-log-maxage=30
      - --audit-log-maxbackup=10
      - --audit-log-maxsize=100
      - --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
      - --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
    

  • 워크로드 클러스터:

      - kube-apiserver
    [...]
      - --audit-log-maxage=30
      - --audit-log-maxbackup=10
      - --audit-log-maxsize=100
      - --audit-log-path=/var/log/kubernetes/kube-apiserver.log
      - --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
    

노드용 시스템 감사 로그

독립형 관리 또는 워크로드 클러스터를 배포할 때 기본적으로 클러스터에서 auditd를 사용하도록 설정됩니다. /var/log/audit/audit.log로 이동하여 클러스터의 각 노드에서 시스템 감사 로그에 액세스할 수 있습니다.

클러스터에 Fluent Bit를 배포하면 이러한 로그가 로그 대상으로 전달됩니다. 자세한 내용은 로그 전달을 위한 Fluent Bit 설치를 참조하십시오.