Vous consultez la documentation d'une version précédente de GKE On-Prem. Consulter la documentation la plus récente

Journaux d'audit

Cette page explique comment accéder aux journaux d'audit apiserver de Kubernetes.

Aperçu

Chaque cluster GKE On-Prem dispose des journaux d'audit Kubernetes, qui conservent un enregistrement chronologique des appels passés au serveur d'API Kubernetes du cluster. Les journaux d'audit sont utiles pour analyser les requêtes API suspectes ou pour collecter des statistiques.

Les journaux d'audit de chaque serveur d'API sont stockés sur un disque persistant, de sorte que les redémarrages et mises à niveau de VM n'entraînent pas leur disparition. GKE On-Prem conserve jusqu'à 10 Go de journaux d'audit.

Accéder aux journaux d'audit Kubernetes

Vous ne pouvez accéder aux journaux d'audit qu'à travers le cluster d'administrateur :

  1. Affichez les serveurs d'API Kubernetes exécutés dans vos clusters :

    kubectl get pods --all-namespaces -l component=kube-apiserver
    
  2. Téléchargez les journaux d'audit du serveur d'API :

    kubectl cp -n [NAMESPACE] [APISERVER_POD_NAME]:/var/log/kube-audit/kube-apiserver-audit.log /tmp/kubeaudit.log
    

    Cette commande récupère le dernier fichier journal, qui peut contenir jusqu'à 1 Go de données pour le cluster d'administrateur, et jusqu'à 850 Go pour les clusters d'utilisateur.

    Les anciens enregistrements d'audit sont conservés dans des fichiers distincts. Pour afficher ces fichiers, procédez comme suit :

    kubectl exec -n [NAMESPACE] [APISERVER_POD_NAME] -- ls /var/log/kube-audit -la
    

    Le nom de fichier de chaque journal d'audit comporte un horodatage qui indique la rotation du fichier. Un fichier contient les journaux d'audit jusqu'à cette date et heure.

Règle d'audit

Le comportement des journaux d'audit est déterminé par une règle de journalisation d'audit Kubernetes configurée de manière statique. Il n'est actuellement pas possible de modifier cette règle.