이 항목에서는 Tanzu Kubernetes Grid(TKG)
Tanzu Kubernetes Grid에서 다음 감사 로그에 액세스할 수 있습니다.
auditd
를 사용하여 수집되는 클러스터의 각 노드에 대한 시스템 감사 로그입니다. 아래의 노드용 시스템 감사 로그를 참조하십시오.Kubernetes 감사 로그는 Kubernetes API 서버에 대한 요청을 기록합니다.
감사 로그는 Supervisor 및 Supervisor가 배포하는 워크로드 클러스터에 대해 기본적으로 사용하도록 설정되어 있습니다.
독립형 관리 클러스터 또는 워크로드 클러스터에서 Kubernetes 감사를 사용하도록 설정하려면 클러스터를 배포하기 전에 ENABLE_AUDIT_LOGGING
변수를 true
로 설정합니다.
중요Kubernetes 감사를 사용하도록 설정하면 로그 볼륨이 매우 높아질 수 있습니다. 이 수량을 처리하려면 VMware Fluent Bit와 같은 로그 전달자를 사용하는 것이 좋습니다. 자세한 내용은 로그 전달을 위한 Fluent Bit 설치를 참조하십시오.
아래에 설명된 대로 감사 정책 파일을 kube-apiserver
로 전달하여 감사 로그에 포함된 내용을 제어할 수 있습니다.
기본적으로 클러스터에 대한 감사 로그 항목은 제어부 노드의 다음 위치에 작동합니다.
/var/log/kubernetes/audit.log
/var/log/vmware/audit/kube-apiserver.log
/var/log/kubernetes/kube-apiserver.log
감사 로그 구성에서 --audit-log-path
를 설정하여 이러한 위치를 사용자 지정할 수 있습니다.
클러스터에 Fluent Bit를 배포하면 로그가 로그 대상으로 전달됩니다.
로깅되는 내용을 세분화하여 제어하려면 감사 정책 파일을 생성하고 --audit-policy-file
플래그를 사용하여 kube-apiserver에 전달할 수 있습니다.
다음 위치에서 감사 로그 위치를 포함하여 클러스터에 대한 감사 로그 구성을 보려면:
독립형 관리 클러스터 및 워크로드 클러스터:
/etc/kubernetes/audit-policy.yaml
~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml
Supervisor 및 워크로드 클러스터: 제어부 노드의 /etc/kubernetes/manifest/kube-apiserver.yaml
Kube API 서버 설정. 예:
Supervisor:
- kube-apiserver
[...]
- --audit-log-maxage=30
- --audit-log-maxbackup=10
- --audit-log-maxsize=100
- --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
- --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
워크로드 클러스터:
- kube-apiserver
[...]
- --audit-log-maxage=30
- --audit-log-maxbackup=10
- --audit-log-maxsize=100
- --audit-log-path=/var/log/kubernetes/kube-apiserver.log
- --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
독립형 관리 또는 워크로드 클러스터를 배포할 때 기본적으로 클러스터에서 auditd
를 사용하도록 설정됩니다. /var/log/audit/audit.log
로 이동하여 클러스터의 각 노드에서 시스템 감사 로그에 액세스할 수 있습니다.
클러스터에 Fluent Bit를 배포하면 이러한 로그가 로그 대상으로 전달됩니다. 자세한 내용은 로그 전달을 위한 Fluent Bit 설치를 참조하십시오.