文档首页/ 华为云UCS/ 用户指南/ 可观测性/ 日志中心/ 收集Kubernetes审计日志
更新时间:2024-06-29 GMT+08:00
分享

收集Kubernetes审计日志

集群支持对用户开放集群Master节点的日志信息。在日志管理页面可以选择需要上报Kubernetes审计日志到云日志服务(LTS)。

约束与限制

  • 华为云集群必须为v1.21.7-r0及以上补丁版本、v1.23.5-r0及以上补丁版本或1.25版本。
  • 请确保云日志服务LTS资源配额充足,LTS的默认配额请参见基础资源

集群Kubernetes审计日志说明

表1 集群Kubernetes审计日志说明

类别

组件

日志流

说明

控制面审计日志

audit

audit-{{clusterID}}

集群审计日志提供了与安全相关的、按时间顺序排列的记录集,记录每个用户、使用Kubernetes API的应用以及控制面自身引发的活动。

开启本地集群控制面审计日志

集群未安装云原生日志采集插件

安装云原生日志采集插件时,可通过勾选控制面审计日志,创建默认日志采集策略,采集对应组件日志上报到LTS。安装方法见:启用云原生日志采集插件采集日志

集群已安装云原生日志采集插件

  1. 登录容器舰队控制台,单击集群名称进入集群,选择左侧导航栏的“日志中心”。
  2. 右上角单击“日志采集策略”,将显示当前集群所有上报LTS的日志策略。
  3. 单击上方“创建日志策略”,输入要采集的配置信息。

    策略模板:若安装插件时未开启控制面审计日志的采集策略,或者删除了对应的日志策略,可通过该方式重新创建控制面审计日志采集策略。

  4. 日志查看:可直接在“日志中心”页面,“控制面审计日志”页签中查看,选择日志策略配置的日志流名称,即可查看上报到云日志服务(LTS)的日志。

开启华为云集群控制面审计日志

创建集群时开启

  1. 登录云容器引擎(CCE)控制台。
  2. 在控制台上方导航栏,选择集群,单击“购买”。
  3. 在“插件配置”页面中,“控制面审计日志”模块勾选“审计日志采集”。

已有集群中开启

  1. 登录容器舰队控制台,单击集群名称进入集群,选择左侧导航栏的“日志中心”。
  2. 选择“控制面审计日志”页签,选择audit组件,单击“一键开启”。

查看集群控制面审计日志

通过控制台查看目标集群控制面审计日志

  1. 登录容器舰队控制台,单击集群名称进入集群,选择左侧导航栏的“日志中心”。
  2. 选择“控制面审计日志”页签,在控制面日志中选中需要查看的日志主题,支持的审计日志组件请参见集群审计日志组件说明。关于该页面的操作详情,请参见LTS用户指南

通过LTS控制台查看目标集群控制面审计日志

  1. 登录LTS控制台,选择“日志管理”页面。
  2. 通过集群ID查到对应的日志组,单击该日志组名称,查看日志流,详情请参见LTS用户指南

关闭华为云集群控制面审计日志

  1. 登录容器舰队控制台,单击集群名称进入集群,选择左侧导航栏的“日志中心”。
  2. 选择“审计日志”页签,在“配置审计日志”中修改日志配置。

  3. 取消勾选audit,并单击“确定”。

    关闭集群控制面审计日志后,原有的日志流将不再更新日志,但已有的日志不会被删除,因此可能会产生LTS日志费用。

相关文档