kubernetes--kubernetes审计日志(api访问日志)

最新推荐文章于 2024-06-21 20:10:44 发布
最新推荐文章于 2024-06-21 20:10:44 发布
阅读量2.2k 收藏 4
点赞数
分类专栏: kubenetes 文章标签: kubernetes java 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57911290/article/details/129773964
版权

目录

一、审计日志介绍:

二、事件和阶段:

三、Kubernetes审计日志:

四、审计日志的启用:

五、收集审计日志方案:

一、审计日志介绍:

       在Kubernetes集群中,API Server的审计日志记录了哪些用户、哪些服务请求操作集群资源,并且可以编写不通规则,控制忽略、存储的操作日志。

       审计日志采用JSON输出,每条日志报包含丰富的元数据,例如请求的URL、HTTP的方法、客户端来源登,你可以使用监控服务来分析API流量,以检测趋势或可能存在的安全隐患。

这些服务会访问API Serve:

  1. 管理节点(controller-manager scheduler)
  2. 工作节点(kubelt、kube-proxy)
  3. 集群服务(CoreDNS、Calico、HPA等)
  4. kubectl、API、Dashboard

二、事件和阶段:

当客户端向API Server发出请求时,该请求将经历一个或多个阶段:

阶段

说明

RequestReceived

审核处理程序已收到请求

ResponseStarted

已发送 响应标头,但尚未发送响应正文

ResponseComplete

响应正文已完成,不再发送任何字节

Panic

内部服务器出错,请求未完成

三、Kubernetes审计日志:

       Kubernetes审核策略文件包含一系列规则,描述了记录日志的级别,采集哪些日志,不采集哪些日志。

规则级别如下表所示:

级别

说明

None

不为事件创建日志条目

Metadata

创建日志条目。包括元数据,但不包括请求正文或响应正文

Request

创建日志条目。包括元数据和请求正文,但不包括响应正文

RequestResponse

创建日志条目。包括元数据、请求正文和响应正文

参考资料:https://kubernetes.io/zh/docs/tasks/debug-application-cluster/audit/

示列:

日志示列格式:

 

四、审计日志的启用:

审计日志支持写入本地文件和Webhook(发送到外部HTTP API)两种方式。

启用审计日志功能:

【】vi /etc/kubernetes/manifests/kube-apiserver.yaml

…
- --audit-policy-file=/etc/kubernetes/audit/audit-policy.yaml 
- --audit-log-path=/var/log/k8s_audit.log  
- --audit-log-maxage=30
- --audit-log-maxbackup=10
- --audit-log-maxsize=100
...
volumeMounts:
...
- mountPath: /etc/kubernetes/audit/audit-policy.yaml
  name: audit
- mountPath: /var/log/k8s_audit.log
  name: audit-log
volumes:
- name: audit
  hostPath:
    path: /etc/kubernetes/audit/audit-policy.yaml
    type: File
- name: audit-log
  hostPath:
    path: /var/log/k8s_audit.log
    type: FileOrCreate

参数说明

audit-policy-file

审计日志策略文件

audit-log-path

审计日志输出文件

audit-log-maxage

审计日志保留的最大天数

audit-log-maxbackup

审计日志最大分片存储多少个日志文件

audit-log-maxsize

单个审计日志最大大小,单位MB

注:需要使用hostpath数据卷将宿主机策略文件和日志文件挂载到容器中。

【】vi  /etc/kubernetes/audit/audit-policy.yaml#简略版自定义

apiVersion: audit.k8s.io/v1 # 这是必填项。
kind: Policy
# 不要在 RequestReceived 阶段为任何请求生成审计事件。
omitStages:
  - "RequestReceived"
rules:
  # 在日志中用 RequestResponse 级别记录 Pod 变化。
  - level: RequestResponse
    resources:
    - group: ""
      # 资源 "pods" 不匹配对任何 Pod 子资源的请求,
      # 这与 RBAC 策略一致。
      resources: ["pods"]
  # 在日志中按 Metadata 级别记录 "pods/log"、"pods/status" 请求
  - level: Metadata
    resources:
    - group: ""
      resources: ["pods/log", "pods/status"]

  # 不要在日志中记录对名为 "controller-leader" 的 configmap 的请求。
  - level: None
    resources:
    - group: ""
      resources: ["configmaps"]
      resourceNames: ["controller-leader"]

  # 不要在日志中记录由 "system:kube-proxy" 发出的对端点或服务的监测请求。
  - level: None
    users: ["system:kube-proxy"]
    verbs: ["watch"]
    resources:
    - group: "" # core API 组
      resources: ["endpoints", "services"]

  # 不要在日志中记录对某些非资源 URL 路径的已认证请求。
  - level: None
    userGroups: ["system:authenticated"]
    nonResourceURLs:
    - "/api*" # 通配符匹配。
    - "/version"

  # 在日志中记录 kube-system 中 configmap 变更的请求消息体。
  - level: Request
    resources:
    - group: "" # core API 组
      resources: ["configmaps"]
    # 这个规则仅适用于 "kube-system" 名字空间中的资源。
    # 空字符串 "" 可用于选择非名字空间作用域的资源。
    namespaces: ["kube-system"]

  # 在日志中用 Metadata 级别记录所有其他名字空间中的 configmap 和 secret 变更。
  - level: Metadata
    resources:
    - group: "" # core API 组
      resources: ["secrets", "configmaps"]

  # 在日志中以 Request 级别记录所有其他 core 和 extensions 组中的资源操作。
  - level: Request
    resources:
    - group: "" # core API 组
    - group: "extensions" # 不应包括在内的组版本。

  # 一个抓取所有的规则,将在日志中以 Metadata 级别记录所有其他请求。
  - level: Metadata
    # 符合此规则的 watch 等长时间运行的请求将不会
    # 在 RequestReceived 阶段生成审计事件。
    omitStages:
      - "RequestReceived"

【】cat /var/log/audit/audit.log#以json格式输出的

#以json格式输出的安全jq用来解析json,老版本会是json

【】yum -y install jq

【】cat /var/log/k8s_audit.log |jq

简略版配置

【】vi  /etc/kubernetes/audit/audit-policy.yaml#简略版自定义只记录pod操作


apiVersion: audit.k8s.io/v1
kind: Policy
# 忽略步骤,不为RequestReceived阶段生成审计日志
omitStages:
  - "RequestReceived"
rules:
# 不记录日志
  - level: None
    users:
    - system:apiserver
    - system:kube-controller-manager
    - system:kube-scheduler
    - system:kube-proxy
    - kubelet
# 针对资源记录日志
  - level: Metadata
    resources: 
    - group: ""
      resources: ["pods"]
# - group: "apps"
# resources: ["deployments"]
# 其他资源不记录日志
    - level: None

重启kubelet以生效

【】systemctl  restart  kubelet#若不生效则删一下apiserver的pod

五、收集审计日志方案:

  1. 审计日志文件+filebeat  比较实际
  2. 审计webhook+logstash
  3. 审计webhook+falco
弓长丿
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Kubernetes-Best-Practices
03-08
3. **定期审计与备份**:定期审计集群配置,备份重要数据,确保灾难恢复能力。 总结,Kubernetes最佳实践涵盖了从设计、部署、扩展到维护的全过程,旨在提升效率、稳定性和安全性。掌握这些实践,可以让你的...
Kubernetes审计日志以实现全面监控
zgt_certificate的博客
06-17 214
Kubernetes审计策略文件包含一系列规则,描述了记录日志的级别,采集哪些日志,不采集哪些日志。适用于需要基本审计记录,但不需要深入细节的场景。包括元数据和请求正文,但不包括响应正文。:需要完整记录请求和响应的场景,适用于全面审计需求。:需要详细记录请求内容,但对响应内容不敏感的场景。:在不需要记录任何日志的情况下使用。:审计日志最大可存储多少个日志文件。:单个审计日志最大大小,单位为MB。:审计日志保留的最大天数。:不为事件创建日志条目。:审计日志策略文件路径。:审计日志输出文件路径。
k8s之审计日志
fourierr的博客
05-03 1504
k8s在 v1.7 版本中发布了审计(Audit)日志功能,审计(Audit)提供了时序操作记录(包括时间、来源、操作结果、发起操作的用户、操作的资源以及请求/响应的详细信息等)。K8s 中的审计日志是标准的 JSON 格式,APIServer 会根据具体的日志策略将对应的审计日志保存本地,并可以设置最大保存周期、时间、轮转策略等,一般在/var/log/kube-apiserver目录下。
KubeSphere的日志查询无显示
最新发布
hwj940056201的博客
06-21 289
如果在kubesphere 页面进行容器日志查询、资源事件查询、审计日志查询需要配置kubesphere-config 中的 indexPrefix 和 output 中的 logstashPrefix一致。具体步骤: 集群设置---日志接收器 与kubersphere-config中的indexPrefix字段保持一致即可。3、也可以在日志接收器中修改 容器日志索引、资源事件日志索引、审计日志索引。审计日志索引 ks-whizard-auditing。容器日志索引 ks-whizard-logging。
【K8S系列】如何高效查看 k8s日志
热门推荐
颜淡慕潇
06-19 4万+
高效查看 Kubernetes 日志需要选择合适的工具和方法,并且需要根据实际情况进行调整和优化 在实际使用中,建议使用多种方法来查看 Kubernetes 日志,以便更全面地了解容器的运行情况。
Kubernetes APIServer安全 审计日志
小楼一夜听春雨,深巷明朝卖杏花
07-31 2258
What are Kubernetes audit logs? Audit logsrecord requests to theKubernetes API. Because the API server processes all changes to Kubernetes state—and serves as the gatekeeper to the backend database that stores this state—the API server is an ideal po.....
K8s进阶7——Sysdig、Falco、审计日志
百慕卿君博客
05-28 3318
1、Sysdig收集分析系统调用,配合Chisels工具使用实战。 2、Falco监控容器运行时,编写监控策略+web页面展示实战。 3、审计日志策略编写+实战
Kubernetes 审计日志
qq_36270681的博客
01-22 2042
启用审计日志功能:参考文档 审计 | Kubernetes vi /etc/kubernetes/manifests/kube-apiserver.yaml … - --audit-policy-file=/etc/kubernetes/audit/audit-policy.yaml - --audit-log-path=/var/log/k8s_audit.log - --audit-log-maxage=30 - --audit-log-maxbackup=10 - --audit-lo
kubernetes-security-best-practice:Kubernetes安全-最佳实践指南
02-04
13. **启用审计日志(Audit Logging)**:记录Kubernetes API Server的所有活动,便于审查和异常检测。 14. **监控与告警**:部署监控系统,对集群性能、安全事件进行实时监控,并设置相应的告警机制。 **八、安全...
kubernetes-server-linux-amd64-v1.18.5.tar.gz
09-10
3. **安全性和监控**:这一版本提升了安全性和审计能力,如支持Pod安全策略的默认禁止,以及对API服务器审计日志的增强,便于追踪和分析集群行为。 4. **调度器优化**:1.18版本的调度器性能得到了提升,能够处理更...
kubernetes-handbook
10-11
- **应用日志收集**:收集容器和应用的日志,方便后续的问题排查和审计。 - **配置最佳实践**:确保集群和应用的安全性和稳定性。 - **集群及应用监控**:实时监控集群和应用的状态,及时发现问题。 - **使用Jenkins...
kubernetes-使用文档.pdf
10-18
Kubernetes的架构由多个关键组件构成,如etcd(分布式键值存储,用于保存集群状态)、kube-apiserver(处理API请求并操作etcd)、kube-scheduler(负责将Pod调度到合适的Node上)、kube-controller-manager(管理...
跟着炎炎盐实践k8s---Kubernetes1.16.10 二进制高可用集群部署之master节点
qq_38473097的博客
07-02 244
开始在master节点部署k8s组件,我们接着来吧! 一、部署kube-api-server cd /opt/k8s/work/ wget https://github.com/kubernetes/kubernetes/releases/download/v1.16.10/kubernetes.tar.gz tar -xzvf kubernetes-server-linux-amd64.tar.gz cd kubernetes tar -xzvf kubernetes-src.tar.gz
kubeadm开启apiserver审计日志
weixin_42562106的博客
04-26 1605
Kubernetes 审计功能提供了与安全相关的按时间顺序排列的记录集,记录每个用户、管理员 或系统其他组件影响系统的活动顺序。 它能帮助集群管理员处理以下问题: 发生了什么? 什么时候发生的? 谁触发的? 活动发生在哪个(些)对象上? 在哪观察到的? 它从哪触发的? 活动的后续处理行为是什么? 审计记录最初产生于 kube-apiserver 内部。每个请求在不同执行阶段都会生成审计事件;这些审计事件会根据特定策略 被预处理并写入后端。策略确定要记录的内容和用来存储记录..
Kubernetes 审计日志采集与分析最佳实践
观测云的博客
05-17 1343
Kubernetes 在 1.7 版本中发布了审计(Audit)日志功能,通过审计日志,我们能够非常清晰的知道 K8S 集群到底发生了什么事情。
Kubernetes 审计
cl18707602767的博客
05-03 437
Kubernetes 集群中,API Server 的审计日志可以帮助集群管理人员记录和追溯不同用户的日常操作,是集群安全运维中重要的环节。
手动搭建k8s-1.16.6高可用集群之部署master节点-部署kube-apiserver集群
嘻哈王大头
04-29 936
本文档讲解部署一个三实例 kube-apiserver 集群的步骤。 注意:如果没有特殊指明,本文档的所有操作均在 k8s-01 节点上执行。 一、创建 kubernetes-master 证书和私钥 创建证书签名请求: $ cd /opt/k8s/work $ source /opt/k8s/bin/environment.sh $ cat > kubernetes-csr.json &...
三十二 、K8s审计
tushanpeipei的博客
12-17 1816
审计(audit)在K8s中的应用。
最全Kubernetes审计日志方案
weixin_34378767的博客
01-15 663
前言 当前Kubernetes(K8S)已经成为事实上的容器编排标准,大家关注的重点也不再是最新发布的功能、稳定性提升等,正如Kubernetes项目创始人和维护者谈到,Kubernetes已经不再是buzzword,当我们谈起它的时候,变得越发的boring,它作为成熟项目已经走向了IT基础设施的中台,为适应更大规模的生产环境和更多场景的应用不断延展迭...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值