采集Kubernetes审计日志
集群支持对用户开放集群Master节点的日志信息。您可以在“日志中心”页面的“控制面审计日志”页签选择是否上报Kubernetes审计日志到云日志服务(LTS)。
约束与限制
- 如您需要查看集群Kubernetes审计日志,集群必须为v1.21.7-r0及以上补丁版本、v1.23.5-r0及以上补丁版本或1.25版本。
- 请确保云日志服务LTS资源配额充足,LTS的默认配额请参见基础资源。
集群Kubernetes审计日志说明
类别 |
组件 |
日志流 |
说明 |
---|---|---|---|
控制面审计日志 |
audit |
audit-{{clusterID}} |
集群审计日志提供了与安全相关的、按时间顺序排列的记录集,记录每个用户使用Kubernetes API的应用以及控制面自身引发的活动。 |
开启集群控制面审计日志
创建集群时开启
- 登录云容器引擎(CCE)控制台。
- 在控制台上方导航栏,单击“购买集群”,填写集群配置并单击“下一步:插件选择”。
- 在“插件选择”页面中,选择安装“云原生日志采集插件”并单击“下一步:插件配置”。
- 在“插件配置”页面中,在“云原生日志采集插件”配置中勾选“kubernetes审计日志”。
图1 创建集群时开启集群审计日志
- 单击“下一步:确认配置”完成集群创建。
- 登录CCE控制台,进入一个已有的集群,在左侧导航栏中选择“日志中心”。
- 选择“控制面审计日志”页签,选择audit组件,单击“一键开启”。
图2 已有集群中开启审计日志
查看集群控制面审计日志
通过CCE控制台查看目标集群控制面审计日志
- 登录CCE控制台,进入一个已有的集群,在左侧导航栏中选择“日志中心”。
- 选择“控制面审计日志”页签,查看集群中的审计日志。关于该页面的操作详情,请参见LTS用户指南。
图3 通过CCE控制台查看目标集群控制面审计日志
通过LTS控制台查看目标集群控制面审计日志
- 登录LTS控制台,选择“日志管理”页面。
- 通过集群ID查到对应的日志组,单击该日志组名称,查看日志流。详情请参见LTS用户指南。
图4 通过LTS控制台查看目标集群控制面审计日志
关闭集群控制面审计日志
- 登录CCE控制台,进入一个已有的集群,在左侧导航栏中选择“日志中心”。
- 选择“控制面审计日志”页签,单击右上角“配置控制面审计日志”,选择是否开启控制面审计日志。
图5 关闭集群控制面审计日志
- 取消勾选audit,并单击“确定”。
关闭集群控制面审计日志后,原有的日志流将不再更新日志,但已有的日志不会被删除,因此可能会产生LTS日志费用。