Nesta página, você verá como acessar os registros de auditoria do apiserver do Kubernetes.
Visão geral
Cada cluster do GKE On-Prem tem um Kubernetes Audit Logging, que mantém um registro cronológico das chamadas feitas ao servidor da API Kubernetes do cluster. Os registros de auditoria são úteis para investigar solicitações de API suspeitas ou coletar estatísticas.
Os registros de auditoria de cada apiserver são enviados para um disco permanente. Assim, as reinicializações/upgrades da VM não farão com que os registros sejam descartados. O GKE On-Prem mantém até 10 GB de registros de auditoria.
Como acessar registros de auditoria do Kubernetes
Só é possível acessar os registros de auditoria por meio do cluster de administrador:
Veja os servidores da API do Kubernetes em execução nos clusters:
kubectl get pods --all-namespaces -l component=kube-apiserver
Faça o download dos registros de auditoria do servidor da API:
kubectl cp -n [NAMESPACE] [APISERVER_POD_NAME]:/var/log/kube-audit/kube-apiserver-audit.log /tmp/kubeaudit.log
Esse comando busca o arquivo de registro mais recente, que pode conter até 1 GB de dados para clusters de administrador e até 850 GB para clusters de usuário.
Registros de auditoria mais antigos são mantidos em arquivos separados. Para visualizar esses arquivos:
kubectl exec -n [NAMESPACE] [APISERVER_POD_NAME] -- ls /var/log/kube-audit -la
O nome de arquivo de cada registro de auditoria tem um carimbo de data/hora que indica quando o arquivo foi alternado. Cada arquivo inclui registros de auditoria até esse horário e data.
Política de auditoria
O comportamento do registro de auditoria é determinado por uma política de registro de auditoria do Kubernetes configurada estaticamente. No momento, não é possível alterar essa política.