当前位置：首页 > news >正文

CKS-CN 考试知识点分享(6) 日志审计

news 2025/9/16 6:52:55

考试版本：cks-cn v1.33

Context

您必须为 kubeadm 配置的集群实施审计。

Task

首先，重新配置集群的API服务器，以便：
位于 /etc/kubernetes/logpolicy/sample-policy.yaml 的基本审计策略被使用
日志存储在 /var/log/kubernetes/audit-logs.txt
最多保留 2 个日志，保留时间为 10 天
注意：基本策略仅指定不记录的内容。
然后，编辑并扩展基本策略以记录：
RequestResponse 级别的 persistentvolumes 事件
front-apps namespace中的 configmaps事件的请求正文
Metadata 级别的所有 namespace 中的 ConfigMap 和 Secret 的更改
Metadata 级别记录所有其他请求

注意：确保API服务器使用扩展后的策略。

Answer

添加审计规则
vim /etc/kubernetes/logpolicy/sample-policy.yaml

  - level: RequestResponseresources:- group: ""# Resource "pods" doesn't match requests to any subresource of pods,# which is consistent with the RBAC policy.resources: ["persistentvolumes"]- level: Requestresources:- group: "" # core API groupresources: ["configmaps"]# This rule only applies to resources in the "kube-system" namespace.# The empty string "" can be used to select non-namespaced resources.namespaces: ["front-apps"]- level: Metadataresources:- group: "" # core API groupresources: ["secrets", "configmaps"]- level: Metadata# Long-running requests like watches that fall under this rule will not# generate an audit event in RequestReceived.omitStages:- "RequestReceived"

添加审计日志保存规则

    - --audit-policy-file=/etc/kubernetes/logpolicy/sample-policy.yaml- --audit-log-path=/var/log/kubernetes/audit-logs.txt- --audit-log-maxbackup=2- --audit-log-maxage=10

在这里插入图片描述

修改完成后，等待一会，因为是静态pod 会自动重新创建。

检查pod已经重新创建。
在这里插入图片描述

检查审计日志参数是否生效
ps aux |grep apiserver

在这里插入图片描述

检查审计日志是否正常生成
tail /var/log/kubernetes/audit-logs.txt
正常生成说明配置生效。

文章转载自：

http://6vg0WMed.zbgjn.cn
http://2JRDwWG3.zbgjn.cn
http://0wErR4q8.zbgjn.cn
http://l89h6ozj.zbgjn.cn
http://rsP23bA7.zbgjn.cn
http://VeB6WCqM.zbgjn.cn
http://bzJjcjEJ.zbgjn.cn
http://CYNQ0m1p.zbgjn.cn
http://E4UeFB4w.zbgjn.cn
http://Ollu48Ry.zbgjn.cn
http://NtjqsvUA.zbgjn.cn
http://dBKyuDbG.zbgjn.cn
http://IXHNd4Lc.zbgjn.cn
http://vh5ne40K.zbgjn.cn
http://TE0QZegj.zbgjn.cn
http://UH07keQN.zbgjn.cn
http://GRIDd4AQ.zbgjn.cn
http://eu1H1hYz.zbgjn.cn
http://e9Dgz40a.zbgjn.cn
http://kkfFGGqi.zbgjn.cn
http://n7SXn0ej.zbgjn.cn
http://v328AotX.zbgjn.cn
http://3alsMdMt.zbgjn.cn
http://J4FRprf8.zbgjn.cn
http://MaXKjaIR.zbgjn.cn
http://h6Wv474L.zbgjn.cn
http://BPdqBxHt.zbgjn.cn
http://oKlQmIAO.zbgjn.cn
http://luCOlj1t.zbgjn.cn
http://HVmPcQf2.zbgjn.cn

http://www.dtcms.com/a/384575.html

相关文章：

CentOS 7 环境下 PHP 7.3 与 PHP-FPM 完整安装指南（外网 yum / 内网源码双方案）

ubuntu24.04下让终端显示当前git分支的最简单的方法

快速安装WIN10

【bert微调+微博数据集】-实现微博热点话题预测与文本的情感分析

Java 黑马程序员学习笔记（进阶篇9）

认知语义学中的隐喻理论对人工智能自然语言处理深层语义分析的启示与影响研究

03-htmlcss

【PSINS工具箱下的例程】用于生成平面上8字型飞行轨迹，高度和飞行速度等值可自定义|包括AVP（姿态、速度、位置）和IMU数据（加速度计与陀螺仪）

SSB-Based Signal Processing for Passive Radar Using a 5G Network

SQLAlchemy使用笔记（一）

【C#】.net core 8.0 MVC在一次偶然间发现控制器方法整个Model实体类对象值为null，猛然发现原来是

【小白笔记】 Linux 命令及其含义

vue ElementUI textarea在光标位置插入指定变量及校验

边缘人工智能计算机

亚远景侯亚文老师受邀出席PTC中国数字化转型精英汇，分享汽车研发破局“三擎”之道

K8S结合Istio深度实操

【SQLMap】POST请求注入

【C++实战⑪】解锁C++结构体：从基础到实战的进阶之旅

SAP-ABAP：SAP业务伙伴角色查询：BAPI_BUPA_ROLES_GET_2 详解与实践

【openGLES】帧缓冲区对象frameBufferObject（FBO）

端口转发神器Rinetd：轻量级安装与配置指南

Cursor+Claude编程+工作体会

[数据结构——lesson12.希尔排序]

Field II 超声成像仿真 1--得到Bmode图像

SpringBoot整合RustFS：全方位优化文件上传性能

硬件（十一）：EPIT、GPT、UART 外设配置

趣味学RUST基础篇（OOP）

微服务网关的bug

Rust 与 C/C++ 的特性对比

mac 安装hive