En esta página, se describe cómo acceder a los registros de auditoría del apiserver de Kubernetes.
Descripción general
Cada clúster de GKE On-Prem tiene el Registro de auditoría de Kubernetes, que mantiene un registro cronológico de las llamadas realizadas al servidor de la API de Kubernetes. Los registros de auditoría son útiles para investigar solicitudes sospechosas a la API o recopilar estadísticas.
Los registros de auditoría de cada apiserver se vuelcan en un disco persistente, por lo que los reinicios o las actualizaciones de VM no ocasionarán que los registros desaparezcan. GKE On-Prem retiene hasta 10 GB de registros de auditoría.
Accede a los registros de auditoría de Kubernetes
Solo puedes acceder a los registros de auditoría a través del clúster de administrador:
Visualiza los servidores de la API de Kubernetes que se ejecutan en tus clústeres:
kubectl get pods --all-namespaces -l component=kube-apiserver
Descarga los registros de auditoría del servidor de la API:
kubectl cp -n [NAMESPACE] [APISERVER_POD_NAME]:/var/log/kube-audit/kube-apiserver-audit.log /tmp/kubeaudit.log
Con este comando, se recupera el archivo de registro más reciente, que puede contener hasta 1 GB de datos del clúster de administrador y hasta 850 GB de los clústeres de usuario.
Los registros de auditoría anteriores se guardan en archivos diferentes. Para ver esos archivos, haz lo siguiente:
kubectl exec -n [NAMESPACE] [APISERVER_POD_NAME] -- ls /var/log/kube-audit -la
El nombre de archivo de cada registro de auditoría tiene una marca de tiempo que indica cuándo se rotó el archivo. Un archivo contiene registros de auditoría hasta esa hora y fecha.
Política de auditoría
El comportamiento del registro de auditoría se determina mediante una política de registro de auditoría de Kubernetes configurada de manera estática. Por el momento, no se admite la modificación de esta política.