Cette page explique comment accéder aux journaux d'audit apiserver de Kubernetes.
Présentation
Chaque cluster GKE On-Prem génère des journaux d'audit Kubernetes, qui conservent un enregistrement chronologique des appels passés au serveur d'API Kubernetes du cluster. Les journaux d'audit servent à analyser les requêtes API suspectes ou à collecter des statistiques.
Les journaux d'audit de chaque serveur d'API sont stockés sur un disque persistant, de sorte que les redémarrages et mises à niveau de VM n'entraînent pas leur disparition. GKE On-Prem conserve jusqu'à 10 Go de journaux d'audit.
Accéder aux journaux d'audit Kubernetes
Vous ne pouvez accéder aux journaux d'audit qu'à travers le cluster d'administrateur :
Affichez les serveurs d'API Kubernetes exécutés dans vos clusters :
kubectl get pods --all-namespaces -l component=kube-apiserver
Téléchargez les journaux d'audit du serveur d'API :
kubectl cp -n [NAMESPACE] [APISERVER_POD_NAME]:/var/log/kube-audit/kube-apiserver-audit.log /tmp/kubeaudit.log
Cette commande extrait le dernier fichier journal, qui peut contenir jusqu'à 1 Go de données pour le cluster d'administrateur et jusqu'à 850 Go pour les clusters d'utilisateur.
Les anciens enregistrements d'audit sont conservés dans des fichiers distincts. Pour afficher ces fichiers, procédez comme suit :
kubectl exec -n [NAMESPACE] [APISERVER_POD_NAME] -- ls /var/log/kube-audit -la
Le nom de fichier de chaque journal d'audit comporte un horodatage qui correspond à la rotation du fichier. Un fichier contient les journaux d'audit jusqu'à cette date et cette heure.
Règle d'audit
Le comportement des journaux d'audit est déterminé par une règle de journalisation d'audit Kubernetes configurée de manière statique. Il n'est actuellement pas possible de modifier cette règle.