更新时间:2024-09-04 GMT+08:00
分享

采集Kubernetes审计日志

集群支持对用户开放集群Master节点的日志信息。您可以在“日志中心”页面的“控制面审计日志”页签选择是否上报Kubernetes审计日志到云日志服务(LTS)。

约束与限制

  • 如您需要查看集群Kubernetes审计日志,集群必须为v1.21.7-r0及以上补丁版本、v1.23.5-r0及以上补丁版本或1.25版本。
  • 请确保云日志服务LTS资源配额充足,LTS的默认配额请参见基础资源

集群Kubernetes审计日志说明

表1 集群Kubernetes审计日志说明

类别

组件

日志流

说明

控制面审计日志

audit

audit-{{clusterID}}

集群审计日志提供了与安全相关的、按时间顺序排列的记录集,记录每个用户使用Kubernetes API的应用以及控制面自身引发的活动。

开启集群控制面审计日志

创建集群时开启

  1. 登录云容器引擎(CCE)控制台。
  2. 在控制台上方导航栏,单击“购买集群”,填写集群配置并单击“下一步:插件选择”。
  3. 在“插件选择”页面中,选择安装“云原生日志采集插件”并单击“下一步:插件配置”。
  4. 在“插件配置”页面中,在“云原生日志采集插件”配置中勾选“kubernetes审计日志”。
    图1 创建集群时开启集群审计日志
  5. 单击“下一步:确认配置”完成集群创建。
已有集群中开启
  1. 登录CCE控制台,进入一个已有的集群,在左侧导航栏中选择“日志中心”。
  2. 选择“控制面审计日志”页签,选择audit组件,单击“一键开启”。
    图2 已有集群中开启审计日志

查看集群控制面审计日志

通过CCE控制台查看目标集群控制面审计日志

  1. 登录CCE控制台,进入一个已有的集群,在左侧导航栏中选择“日志中心”。
  2. 选择“控制面审计日志”页签,查看集群中的审计日志。关于该页面的操作详情,请参见LTS用户指南
    图3 通过CCE控制台查看目标集群控制面审计日志

通过LTS控制台查看目标集群控制面审计日志

  1. 登录LTS控制台,选择“日志管理”页面。
  2. 通过集群ID查到对应的日志组,单击该日志组名称,查看日志流。详情请参见LTS用户指南
    图4 通过LTS控制台查看目标集群控制面审计日志

关闭集群控制面审计日志

  1. 登录CCE控制台,进入一个已有的集群,在左侧导航栏中选择“日志中心”。
  2. 选择“控制面审计日志”页签,单击右上角“配置控制面审计日志”,选择是否开启控制面审计日志。
    图5 关闭集群控制面审计日志
  3. 取消勾选audit,并单击“确定”。

    关闭集群控制面审计日志后,原有的日志流将不再更新日志,但已有的日志不会被删除,因此可能会产生LTS日志费用。

相关文档