Auf dieser Seite wird beschrieben, wie Sie auf Kubernetes API-Audit-Logs zugreifen.
Übersicht
Jeder GKE On-Prem-Cluster verfügt über Kubernetes-Audit-Logging, in dem eine chronologische Aufzeichnung der Aufrufe des Kubernetes API-Servers des Clusters gespeichert wird. Mithilfe von Audit-Logs können verdächtige API-Anfragen untersucht und Statistiken erfasst werden.
Audit-Logs von jedem Apiserver werden auf einem nichtflüchtigen Speicher abgelegt, sodass VM-Neustarts/-Upgrades nicht zum Verschwinden der Logs führen. GKE On-Prem speichert bis zu 10 GB Audit-Logs.
Auf Kubernetes-Audit-Logs zugreifen
Sie können nur über den Admin-Cluster auf Audit-Logs zugreifen:
Zeigen Sie die in Ihren Clustern ausgeführten Kubernetes-API-Server an:
kubectl get pods --all-namespaces -l component=kube-apiserver
Laden Sie die Audit-Logs des API-Servers herunter:
kubectl cp -n [NAMESPACE] [APISERVER_POD_NAME]:/var/log/kube-audit/kube-apiserver-audit.log /tmp/kubeaudit.log
Mit diesem Befehl wird die neueste Logdatei abgerufen, die bis zu 1 GB Daten für den Administratorcluster und bis zu 850 GB für Nutzercluster enthalten kann.
Ältere Audit-Datensätze werden in separaten Dateien gespeichert. So rufen Sie diese Dateien auf:
kubectl exec -n [NAMESPACE] [APISERVER_POD_NAME] -- ls /var/log/kube-audit -la
Der Dateiname jedes Audit-Logs enthält einen Zeitstempel, der angibt, wann die Datei rotiert wurde. Eine Datei enthält Audit-Logs bis zu diesem Zeitpunkt.
Audit-Richtlinie
Das Audit-Logging-Verhalten wird durch eine statisch konfigurierte Audit-Logging-Richtlinie von Kubernetes bestimmt. Diese Richtlinie kann derzeit nicht geändert werden.