Você está visualizando a documentação de uma versão anterior do GKE On-Prem. Veja a documentação mais recente.

Audit logging

Esta página descreve como acessar os registros de auditoria do apiserver do Kubernetes.

Visão geral

Cada cluster do GKE On-Prem tem um Kubernetes Audit Logging, que mantém um registro cronológico das chamadas feitas ao servidor da API Kubernetes do cluster. Os registros de auditoria são úteis para investigar solicitações de API suspeitas e coletar estatísticas.

Os registros de auditoria de cada apiserver são enviados para um disco permanente. Assim, as reinicializações/upgrades da VM não farão com que os registros sejam descartados. O GKE On-Prem mantém até 10 GB de registros de auditoria.

Como acessar registros de auditoria do Kubernetes

Só é possível acessar os registros de auditoria por meio do cluster de administrador:

  1. Veja os servidores da API do Kubernetes em execução nos clusters:

    kubectl get pods --all-namespaces -l component=kube-apiserver
    
  2. Faça o download dos registros de auditoria do servidor da API:

    kubectl cp -n [NAMESPACE] [APISERVER_POD_NAME]:/var/log/kube-audit/kube-apiserver-audit.log /tmp/kubeaudit.log
    

    Esse comando busca o arquivo de registro mais recente, que pode conter até 1 GB de dados para o cluster de administrador e até 850 GB para clusters de usuário.

    Registros de auditoria mais antigos são mantidos em arquivos separados. Para visualizar esses arquivos:

    kubectl exec -n [NAMESPACE] [APISERVER_POD_NAME] -- ls /var/log/kube-audit -la
    

    O nome de arquivo de cada registro de auditoria tem um carimbo de data/hora que indica quando o arquivo foi alternado. Cada arquivo inclui registros de auditoria até esse horário e data.

Política de auditoria

O comportamento do registro de auditoria é determinado por uma política de registro de auditoria do Kubernetes configurada estaticamente. No momento, não é possível alterar essa política.