Questa pagina descrive come accedere agli audit log di Kubernetes APIserver.
Panoramica
Ogni cluster GKE On-Prem dispone dell'audit logging di Kubernetes, che conserva un record cronologico delle chiamate effettuate al server API Kubernetes del cluster. Gli audit log sono utili per esaminare le richieste API sospette o per raccogliere statistiche.
Gli audit log di ogni apiserver vengono scaricati su un disco permanente, per evitare che i VM che riavviano o eseguono l'upgrade non scompaiano. GKE On-Prem conserva fino a 10 GB di log di controllo.
Accesso agli audit log di Kubernetes
Puoi accedere agli audit log solo tramite il cluster di amministrazione:
Visualizza i server API Kubernetes in esecuzione nei tuoi cluster:
kubectl get pods --all-namespaces -l component=kube-apiserver
Scarica gli audit log del server API:
kubectl cp -n [NAMESPACE] [APISERVER_POD_NAME]:/var/log/kube-audit/kube-apiserver-audit.log /tmp/kubeaudit.log
Questo comando recupera l'ultimo file di log, che può contenere fino a 1 GB di dati per il cluster di amministrazione e fino a 850 GB per i cluster utente.
I record di controllo meno recenti vengono conservati in file separati. Per visualizzare questi file:
kubectl exec -n [NAMESPACE] [APISERVER_POD_NAME] -- ls /var/log/kube-audit -la
Ogni nome file di log di controllo ha un timestamp che indica quando è stato eseguito la rotazione del file. Un file contiene i log di controllo di tale data e ora.
Criteri di audit
Il comportamento dell'audit logging è determinato da un criterio di logging dell'audit di Kubernetes configurato in modo statico. Al momento, la modifica di questo criterio non è supportata.