CKS 考试题整理 （09）-日志审计 log audit

标签：audit log kubernetes etc 09 yaml 日志

Task

在cluster中启用审计日志。为此，请启用日志后端，并确保：

• 日志存储在 /var/log/kubernetes/audit-logs.txt
• 日志文件能保留 10 天
• 最多保留 2 个旧审计日志文件

 

/etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略。它仅指定不记录的内容。

注意：基本策略位于cluster的master节点上。

 

编辑和扩展基本策略以记录：

• RequestResponse 级别的 persistentvolumes 更改
• namespace front-apps中 configmaps 更改的请求体
• Metadata 级别的所有 namespace 中的 ConfigMap 和 Secret 的更改

此外，添加一个全方位的规则以在 Metadata 级别记录所有其他请求。

注意：不要忘记应用修改后的策略。

 

参考资料

https://kubernetes.io/zh-cn/docs/tasks/debug/debug-cluster/audit/

 

 

解答
先切换集群

kubectl config use-context KSCH00601

1切换到 Master

ssh master01 && sudo -i

 

2配置审计策略

mkdir bak07
cp /etc/kubernetes/logpolicy/sample-policy.yaml bak07/
vim /etc/kubernetes/logpolicy/sample-policy.yaml
......
- level: RequestResponse
resources:
- group: ""
resources: ["persistentvolumes"]
- level: Request
resources:
- group: ""
resources: ["configmaps"]
resourceNames: ["front-apps"]
- level: Metadata
resources:
- group: "" # core API 组
resources: ["secrets", "configmaps"]
- level: Metadata
omitStages:
- "RequestReceived"

 

3配置 master 节点 kube-apiserver.yaml
首先备份配置文件

cp /etc/kubernetes/manifests/kube-apiserver.yaml bak07/

 

添加一下参数：

# 审计策略 yaml 文件位置，通过 hostpath 挂载
--audit-policy-file=/etc/kubernetes/logpolicy/sample-policy.yaml # 如果考试中已存在，修改即可
# 审计日志位置，通过 hostpath 挂载
--audit-log-path=/var/log/kubernetes/audit-logs.txt # 如果考试中已存在，修改即可
# 保留审计日志文件的最大天数为10天
--audit-log-maxage=10 # 如果考试中已存在，修改即可
# 保留的审计日志文件的最大数量为2个
--audit-log-maxbackup=2 # 如果考试中已存在，修改即可

 

接下来挂载数据卷，在volumeMounts 下面新增：

volumeMounts:
- mountPath: /etc/kubernetes/logpolicy/sample-policy.yaml
name: audit
readOnly: true
- mountPath: /var/log/kubernetes/
name: audit-log
readOnly: false

 

最后配置 hostPath，在volumes 下新增：

volumes:
- name: audit
hostPath:
path: /etc/kubernetes/logpolicy/sample-policy.yaml
type: File

- name: audit-log
hostPath:
path: /var/log/kubernetes/
type: DirectoryOrCreate

4重启kubelet 服务

systemctl restart kubelet

大概等待2分钟左右，查看服务是否正常,日志是否有输出

kubectl get po -A
tail -f /var/log/kubernetes/audit-logs.txt

 

 

标签：audit,log,kubernetes,etc,09,yaml,日志
From： https://www.cnblogs.com/dagongzhe/p/17485789.html