更新时间:2024-06-29 GMT+08:00
收集Kubernetes审计日志
集群支持对用户开放集群Master节点的日志信息。在日志管理页面可以选择需要上报Kubernetes审计日志到云日志服务(LTS)。
约束与限制
- 华为云集群必须为v1.21.7-r0及以上补丁版本、v1.23.5-r0及以上补丁版本或1.25版本。
- 请确保云日志服务LTS资源配额充足,LTS的默认配额请参见基础资源。
集群Kubernetes审计日志说明
|
类别 |
组件 |
日志流 |
说明 |
|---|---|---|---|
|
控制面审计日志 |
audit |
audit-{{clusterID}} |
集群审计日志提供了与安全相关的、按时间顺序排列的记录集,记录每个用户、使用Kubernetes API的应用以及控制面自身引发的活动。 |
开启本地集群控制面审计日志
集群未安装云原生日志采集插件
安装云原生日志采集插件时,可通过勾选控制面审计日志,创建默认日志采集策略,采集对应组件日志上报到LTS。安装方法见:启用云原生日志采集插件采集日志。
集群已安装云原生日志采集插件
- 登录容器舰队控制台,单击集群名称进入集群,选择左侧导航栏的“日志中心”。
- 右上角单击“日志采集策略”,将显示当前集群所有上报LTS的日志策略。
- 单击上方“创建日志策略”,输入要采集的配置信息。
策略模板:若安装插件时未开启控制面审计日志的采集策略,或者删除了对应的日志策略,可通过该方式重新创建控制面审计日志采集策略。
- 日志查看:可直接在“日志中心”页面,“控制面审计日志”页签中查看,选择日志策略配置的日志流名称,即可查看上报到云日志服务(LTS)的日志。
开启华为云集群控制面审计日志
创建集群时开启
- 登录云容器引擎(CCE)控制台。
- 在控制台上方导航栏,选择集群,单击“购买”。
- 在“插件配置”页面中,“控制面审计日志”模块勾选“审计日志采集”。
已有集群中开启
- 登录容器舰队控制台,单击集群名称进入集群,选择左侧导航栏的“日志中心”。
- 选择“控制面审计日志”页签,选择audit组件,单击“一键开启”。
查看集群控制面审计日志
通过控制台查看目标集群控制面审计日志
- 登录容器舰队控制台,单击集群名称进入集群,选择左侧导航栏的“日志中心”。
- 选择“控制面审计日志”页签,在控制面日志中选中需要查看的日志主题,支持的审计日志组件请参见集群审计日志组件说明。关于该页面的操作详情,请参见LTS用户指南。
通过LTS控制台查看目标集群控制面审计日志
- 登录LTS控制台,选择“日志管理”页面。
- 通过集群ID查到对应的日志组,单击该日志组名称,查看日志流,详情请参见LTS用户指南。
关闭华为云集群控制面审计日志
- 登录容器舰队控制台,单击集群名称进入集群,选择左侧导航栏的“日志中心”。
- 选择“审计日志”页签,在“配置审计日志”中修改日志配置。
- 取消勾选audit,并单击“确定”。
关闭集群控制面审计日志后,原有的日志流将不再更新日志,但已有的日志不会被删除,因此可能会产生LTS日志费用。
父主题: 日志中心
