本主題說明 Tanzu Kubernetes Grid 2.1 中的稽核記錄。
在 Tanzu Kubernetes Grid 中,您可以存取以下稽核記錄:
auditd
收集)。請參閱下面的節點的系統稽核記錄。Kubernetes 稽核記錄會記錄對 Kubernetes API 伺服器的要求。
依預設對主管及其部署的工作負載叢集啟用稽核記錄。
若要在獨立管理叢集或其部署的工作負載叢集上啟用 Kubernetes 稽核,請在部署叢集之前,將 ENABLE_AUDIT_LOGGING
變數設定為 true
。
重要啟用 Kubernetes 稽核可能會導致記錄量非常高。要處理此數量,VMware 建議使用記錄轉送器,例如 Fluent Bit。如需相關指示,請參閱安裝 Fluent Bit 以用於記錄轉送。
您可以透過將稽核原則檔案傳遞到 kube-apiserver
來控制稽核記錄的內容,如下所述。
依預設,叢集的稽核記錄項目會寫入至其控制平面節點上的下列位置:
/var/log/kubernetes/audit.log
/var/log/vmware/audit/kube-apiserver.log
/var/log/kubernetes/kube-apiserver.log
您可以在稽核記錄組態中設定 --audit-log-path
,來自訂這些位置。
如果在叢集上部署 Fluent Bit,則會將記錄轉送到記錄目的地。
要對記錄的內容進行精細控制,可以建立稽核原則檔案,並使用 --audit-policy-file
標記將其傳遞到 kube-api 伺服器。
如要在以下位置查看叢集的稽核記錄組態 (包括稽核記錄位置):
獨立管理叢集及其工作負載叢集:
/etc/kubernetes/audit-policy.yaml
~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml
主管及其工作負載叢集:控制平面節點上 /etc/kubernetes/manifest/kube-apiserver.yaml
中的 Kube API 伺服器設定。例如:
主管:
- kube-apiserver
[...]
- --audit-log-maxage=30
- --audit-log-maxbackup=10
- --audit-log-maxsize=100
- --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
- --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
工作負載叢集:
- kube-apiserver
[...]
- --audit-log-maxage=30
- --audit-log-maxbackup=10
- --audit-log-maxsize=100
- --audit-log-path=/var/log/kubernetes/kube-apiserver.log
- --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
部署獨立管理叢集或工作負載叢集時,依預設,會在叢集上啟用 auditd
。您可以導覽至 /var/log/audit/audit.log
,以存取叢集中每個節點上的系統稽核記錄。
如果在叢集上部署 Fluent Bit,則會將這些稽核記錄轉送到記錄目的地。如需相關指示,請參閱安裝 Fluent Bit 以用於記錄轉送。