OpenShift 4 - 集群节点日志和API审计日志策略

最新推荐文章于 2024-09-11 11:00:10 发布
最新推荐文章于 2024-09-11 11:00:10 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Ops OpenShift 4 安全 文章标签: kubernetes openshift 日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/123275455
版权
OpenShift 4 同时被 3 个专栏收录
272 篇文章 80 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏
Ops
59 篇文章 2 订阅
订阅专栏

OpenShift / RHEL / DevSecOps 汇总目录
说明:本文已经在OpenShift 4.8 环境中验证

文章目录

集群节点日志

集群节点日志类型

  1. 执行以下命令,可以在任一个 Master 节点中查看在 RHCOS 中的所有日志目录和文件。其中一部分是RHCOS系统级服务日志,而
    openshift-apiserver、kube-apiserver、oauth-apiserver 是 OpenShift
    集群的API级别日志。
$ CONTROL_NODE=$(oc get nodes -l node-role.kubernetes.io/master= -o jsonpath='{.items[0].metadata.name}')
$ oc adm node-logs $CONTROL_NODE --path=/
audit/
btmp
chrony/
containers/
crio/
etcd/
glusterfs/
journal/
kube-apiserver/
lastlog
oauth-apiserver/
openshift-apiserver/
openvswitch/
pods/
private/
qemu-ga/
samba/
sssd/
wtmp
  1. 分别执行命令,可以查看角色为 Master 节点的 openshift-apiserver、kube-apiserver、oauth-apiserver 日志文件。
$ oc adm node-logs --role=master --path=openshift-apiserver/
ip-10-0-135-39.us-east-2.compute.internal audit.log
ip-10-0-173-152.us-east-2.compute.internal audit.log
ip-10-0-173-213.us-east-2.compute.internal audit.log
 
$ oc adm node-logs --role=master --path=kube-apiserver/
 
$ oc adm node-logs --role=master --path=oauth-apiserver/
  1. 还可以查看主机系统级别的日志,或者按照关键字查看主机系统日志。
$ oc adm node-logs $CONTROL_NODE --path=journal | wc -l
$ oc adm node-logs $CONTROL_NODE -u kubelet | wc -l

收集集群节点日志

可以通过以下命令将集群节点的重要日志(etcd、kube-apiserver、openshift-apiserver、oauth-apiserver)下载到本地。

$ oc adm must-gather -- /usr/bin/gather_audit_logs 
$ ll must-gather.local.xxxxxxx/quay-io-openshift-release-dev-ocp-xxxxxxx/audit_logs/
total 24
drwxr-xr-x. 2 lab-user users  230 Mar  5 01:06 etcd
-rw-r--r--. 1 lab-user users  194 Mar  5 01:06 etcd.audit_logs_listing
drwxr-xr-x. 2 lab-user users 4096 Mar  5 01:07 kube-apiserver
-rw-r--r--. 1 lab-user users 3025 Mar  5 01:06 kube-apiserver.audit_logs_listing
drwxr-xr-x. 4 lab-user users   92 Mar  5 01:06 monitoring
drwxr-xr-x. 2 lab-user users  194 Mar  5 01:07 oauth-apiserver
-rw-r--r--. 1 lab-user users  158 Mar  5 01:06 oauth-apiserver.audit_logs_listing
drwxr-xr-x. 2 lab-user users  194 Mar  5 01:07 openshift-apiserver
-rw-r--r--. 1 lab-user users  158 Mar  5 01:06 openshift-apiserver.audit_logs_listing

OpenShift API 的审计日志

审计日志会记录访问 OpenShift API 服务、Kubernetes API 服务和 OAuth API 服务的请求。其中 OpenShift API 审计日志按时间排序记录用户、管理员或其他系统组件访问OpenShift API 服务的活动。审计日志的内容分散在不同 Node 上的 /var/log/openshift-apiserver/audit.log 文件中,内容为 JSON 格式。

OpenShift API 审计日志内容

以下是 OpenShift API 审计日志的主要内容:

  • auditID:为每个请求生成的唯一审计 ID。
  • verb:与请求相关联的 Kubernetes 操作动词。
  • user:经过身份验证的用户和组信息。
  • requestObject:请求中的 API 对象。
  • responseObject:响应中返回的API 对象。
  • requestReceivedTimestamp:请求到达当前审计阶段的时间。
  • stageTimestamp:请求到达当前审计阶段的时间。

其中根据对用户认证结果,以上 user 可以所属以下三类组:

Virtual 组描述
system:authenticated关联到所有认证过的用户
system:authenticated:oauth关联到所有认证过并带有OAuth访问令牌的用户
system:unauthenticated关联到所有未经认证的用户

OpenShift API 审计日志策略

OpenShift 提供以下4中预定义的审计策略配置,不同的策略记录的审计日志内容范围有差别。

审计策略名称描述
Default仅记录读取和写入请求的日志元数据 ;除了 OAuth 访问令牌请求外,不记录请求正文。这是默认策略。
WriteRequestBodies仅除了记录所有请求的元数据外,同时记录对 API 服务器的写入请求(create、update、patch)的具体数据(body)。这个配置集的资源开销比 Default 配置集大。
AllRequestBodies除了记录所有请求的元数据外,对 API 服务器的每个读写请求(get、list、create、update、patch)都进行日志记录。这个配置集的资源开销最大。
None关闭审计日志。

查看审计日志的命令和操作

  1. 执行命令,查看一个节点的访问审计日志中的一条日志。注意审计日志中的内容。
$ oc adm node-logs $CONTROL_NODE --path=openshift-apiserver/audit.log | tail -1 | jq '{requestReceivedTimestamp,verb,username: .user.username,usergroups: .user.groups,requestObject}'
{
  "requestReceivedTimestamp": "2022-03-06T02:27:37.343244Z",
  "kind": "Event",
  "verb": "watch",
  "username": "system:serviceaccount:openshift-ingress:router",
  "usergroups": [
    "system:serviceaccounts",
    "system:serviceaccounts:openshift-ingress",
    "system:authenticated"
  ],
  "requestObject": null
}

使用缺省的 API 审计日志配置

缺省情况,API 审计日志不记录requestObjectresponseObject中的内容。

  1. 执行命令,查看升级日志的配置。缺省只有 “profile: Default” 一行。
$ oc get apiserver cluster -oyaml
apiVersion: config.openshift.io/v1
kind: APIServer
metadata:
。。。
spec:
  audit:
    profile: Default
  1. 执行命令修改审计日志使用的缺省profile为“WriteRequestBodies”。修改后需确认 openshift-apiserver、kube-apiserver、authentication的 clusteroperator 都恢复 AVAILABLE再继续下面的操作。
$ oc patch apiserver/cluster -p '{"spec":{"audit":{"profile":"WriteRequestBodies"}}}' --type merge 
$ oc get clusteroperator openshift-apiserver kube-apiserver authentication
NAME                  VERSION   AVAILABLE   PROGRESSING   DEGRADED   SINCE   MESSAGE
authentication        4.10.1    True        False         False      100m
kube-apiserver        4.10.1    True        False         False      7h31m
openshift-apiserver   4.10.1    True        False         False      5h19m
  1. 先确认当前没有和 “my-project1” 项目有关的审计日志。
$ oc adm node-logs --role=master --path=openshift-apiserver/audit.log | awk 'sub($1,"")' | jq 'select(.objectRef.name == "my-project1") | {requestReceivedTimestamp,verb,username: .user.username,usergroups: .user.groups,requestObject}'
  1. 创建一个新项目 “my-project1”。
$ oc new-project my-project1
  1. 再确认已经有了 “my-project1” 内容的日志。注意:
    . “verb: get” 操作不会有 requestObjects;“verb: create”操作会有 requestObjects。
    . 返回记录不是按照 “requestReceivedTimestamp” 排序的,而是按照结果中不包含的 “stageTimestamp” 排序的。
    . 用户在 OpenShift 中创建项目时,用户创建的只是 “ProjectRequest”,而真正的项目是由 ServiceAccount:“system:serviceaccount:openshift-apiserver:openshift-apiserver-sa” 创建的。
$ oc adm node-logs --role=master --path=openshift-apiserver/audit.log | awk 'sub($1,"")' | jq 'select(.objectRef.name == "my-project1") | {requestReceivedTimestamp,verb,username: .user.username,usergroups: .user.groups,requestObject}'

{
  "requestReceivedTimestamp": "2022-03-06T03:21:59.175551Z",
  "verb": "get",
  "username": "system:serviceaccount:openshift-apiserver:openshift-apiserver-sa",
  "usergroups": [
    "system:serviceaccounts",
    "system:serviceaccounts:openshift-apiserver",
    "system:authenticated"
  ],
  "requestObject": null
}
{
  "requestReceivedTimestamp": "2022-03-06T03:21:59.192883Z",
  "verb": "create",
  "username": "system:serviceaccount:openshift-apiserver:openshift-apiserver-sa",
  "usergroups": [
    "system:serviceaccounts",
    "system:serviceaccounts:openshift-apiserver",
    "system:authenticated"
  ],
  "requestObject": {
    "kind": "Project",
    "apiVersion": "project.openshift.io/v1",
    "metadata": {
      "name": "my-project1",
      "creationTimestamp": null,
      "annotations": {
        "openshift.io/description": "",
        "openshift.io/display-name": "",
        "openshift.io/requester": "opentlc-mgr"
      }
    },
    "spec": {},
    "status": {}
  }
}
{
  "requestReceivedTimestamp": "2022-03-06T03:21:59.356254Z",
  "verb": "get",
  "username": "system:serviceaccount:openshift-apiserver:openshift-apiserver-sa",
  "usergroups": [
    "system:serviceaccounts",
    "system:serviceaccounts:openshift-apiserver",
    "system:authenticated"
  ],
  "requestObject": null
}
{
  "requestReceivedTimestamp": "2022-03-06T03:21:59.167383Z",
  "verb": "create",
  "username": "opentlc-mgr",
  "usergroups": [
    "system:masters",
    "system:authenticated"
  ],
  "requestObject": {
    "kind": "ProjectRequest",
    "apiVersion": "project.openshift.io/v1",
    "metadata": {
      "name": "my-project1",
      "creationTimestamp": null
    }
  }
}

个性化 API 审计日志配置规则

下面操作将修改API审计日志配置:
. 缺省使用 Default 日志配置,即不记录所有操作的 Request 部分。
. 当用户所属组为 “system:authenticated:oauth”,则使用 Default 日志配置,即不记录所有操作的 Request 部分。
. 当用户所属组为 “system:authenticated”,则使用 WriteRequestBodies 日志配置,即只记录Write操作的 Request 部分。

  1. 修改集群的 API 审计日志配置
$ oc edit apiserver cluster
  1. 根据以下内容修改配置。
apiVersion: config.openshift.io/v1
kind: APIServer
metadata:
...
spec:
  audit:
    customRules: 
    - group: system:authenticated:oauth
      profile: Default
    - group: system:authenticated
      profile: WriteRequestBodies 
    profile: Default
  1. 修改后需确认 openshift-apiserver、kube-apiserver、authentication的 clusteroperator 都恢复 AVAILABLE再继续下面的操作。
$ oc get clusteroperator openshift-apiserver kube-apiserver authentication
NAME                  VERSION   AVAILABLE   PROGRESSING   DEGRADED   SINCE   MESSAGE
openshift-apiserver   4.10.1    True        False         False      5h19m
kube-apiserver        4.10.1    True        False         False      7h32m
authentication        4.10.1    True        False         False      101m
  1. 再创建一个项目。确认在返回结果中用户所属组为 “system:authenticated:oauth” 的时候将不记录 Request 对象。
$ oc new-project my-project2
$ oc adm node-logs --role=master --path=openshift-apiserver/audit.log | awk 'sub($1,"")' | jq 'select(.objectRef.name == "my-project2") | {requestReceivedTimestamp,verb,username: .user.username,usergroups: .user.groups,requestObject}'

{
  "requestReceivedTimestamp": "2022-03-06T08:00:23.084097Z",
  "verb": "get",
  "username": "system:serviceaccount:openshift-apiserver:openshift-apiserver-sa",
  "usergroups": [
    "system:serviceaccounts",
    "system:serviceaccounts:openshift-apiserver",
    "system:authenticated"
  ],
  "requestObject": null
}
{
  "requestReceivedTimestamp": "2022-03-06T08:00:23.133258Z",
  "verb": "create",
  "username": "system:serviceaccount:openshift-apiserver:openshift-apiserver-sa",
  "usergroups": [
    "system:serviceaccounts",
    "system:serviceaccounts:openshift-apiserver",
    "system:authenticated"
  ],
  "requestObject": {
    "kind": "Project",
    "apiVersion": "project.openshift.io/v1",
    "metadata": {
      "name": "my-project2",
      "creationTimestamp": null,
      "annotations": {
        "openshift.io/description": "",
        "openshift.io/display-name": "",
        "openshift.io/requester": "opentlc-mgr"
      }
    },
    "spec": {},
    "status": {}
  }
}
{
  "requestReceivedTimestamp": "2022-03-06T08:00:23.378818Z",
  "verb": "get",
  "username": "system:serviceaccount:openshift-apiserver:openshift-apiserver-sa",
  "usergroups": [
    "system:serviceaccounts",
    "system:serviceaccounts:openshift-apiserver",
    "system:authenticated"
  ],
  "requestObject": null
}
{
  "requestReceivedTimestamp": "2022-03-06T08:00:23.073977Z",
  "verb": "create",
  "username": "opentlc-mgr",
  "usergroups": [
    "system:authenticated:oauth",
    "system:authenticated"
  ],
  "requestObject": null
}

参考

https://learning.redhat.com/mod/scorm/player.php?a=2175&currentorg=&scoid=4951&sesskey=bmCgDdE67n&display=popup&mode=normal
https://access.redhat.com/documentation/zh-cn/openshift_container_platform/4.9/html-single/security_and_compliance/index#audit-log-view

dawnsky.liu
关注
专栏目录
云计算与云原生技术系列文章
烟云的计算
08-04 4694
目录 文章目录目录OpenStack IaaSKubernetes CaaSOpenShift PaaS云计算行业剖析云计算发展预测 OpenStack IaaS Kubernetes CaaS OpenShift PaaS 云计算行业剖析 云计算发展预测
API安全机制之审计日志
大军的博客
02-26 1511
API安全机制之审计日志
linux的mysql日志审计策略_Linux 配置用户命令日志审计功能
weixin_36324695的博客
02-17 915
目的:监控登陆上linux 系统服务器的用户,所使用过的命令。采用以下步骤配置用户命令日志审计功能:1.创建用户审计文件存放目录和审计日志文件 ;mkdir -p /var/log/usermonitor/2.创建用户审计日志文件;echo usermonitor >/var/log/usermonitor/usermonitor.log3.将日志文件所有者赋予一个最低权限的用户;chown...
APIKit:一站式API发现、扫描与审计工具
gitblog_00560的博客
08-09 535
APIKit:一站式API发现、扫描与审计工具 APIKitAPIKit:Discovery, Scan and Audit APIs Toolkit All In One.项目地址:https://gitcode.com/gh_mirrors/api/APIKit 项目介绍 在数字化转型的浪潮中,API已成为企业间数据交互的桥梁。然而,随着API的广泛应用,其安全性问题也日益凸显。APIKit...
日志审计
weixin_30244681的博客
02-27 816
说明:所谓sudo命令日志审计(并不记录普通用户的普通操作,而是记录,那些执行sudo命令的用户的操作) 项目实战:简历中的经验说明 1.1 服务器日志审计项目提出与实施 1、权限方案实施后,权限得到了细化控制,接下来进一步实施对所有用户日志记录方案 2、通过sudo和rsyslog 配合实现对所有用户进行日志审计并将记录几种管理(发送到中心日志服务器) 3、实施后让所有运维和开发的所有...
OpenShift 4 - 配置 OpenShift 的 EFK 日志环境
多恩斯基的博客
07-20 978
OpenShift 4 中使用 Elasticsearch 作为日志存储组件,使用 Kibana 作为日志展示组件,使用 Fluentd 作为日志的收集组件。 OpenShift 4 缺省安装后是没有集群日志环境的。我们可以通过以下步骤在 OpenShift 上安装配置基于 EFK 的集群日志运行环境。......
OpenShift 4 - 配置OpenShift集群日志环境EFK
多恩斯基的博客
04-17 1607
文章目录安装Elastic Search Operator安装Cluster Logging Operator查看Kibana OpenShift 4 缺省安装完是没有提供基于ElasticSesrch-Fluentd-Kibana(EFK)的集群日志环境。我们可以通过以下步骤在OpenShift上配置出基于EFK的集群日志运行环境。 安装Elastic Search Operator 以下步骤采...
OpenShiftKubernetes的关键区别
u012516914的专栏
06-04 741
介绍 在快速发展的 DevOps 和云原生应用程序领域,容器编排已成为管理和部署可扩展应用程序的关键组件。该领域的两个主要参与者是 OpenShiftKubernetes。但它们有何不同?您应该为您的组织选择哪一个?让我们深入了解这两个平台的复杂性,以帮助您做出明智的决定。什么是 Kubernetes? 定义和核心功能Kubernetes,通常缩写为 K8s,是一个开源平台,旨在自动部署、扩...
K8s中EFK日志采集部署
最新发布
qianshang666的博客
09-11 1208
Kubernetes 集群作为一个整体,我们需要统一收集日志。但是 Kubernetes 并不提供任何日志收集功能,因此您需要设置一个集中的日志后端
OpenShift中的权限控制与身份认证
# 1. OpenShift平台简介 ## 1.1 OpenShift概述 OpenShift是由Red Hat...OpenShift提供了一套灵活的权限控制机制,可以帮助管理员精确控制用户和服务账户对集群资源的访问权限,确保系统的安全性和稳定性。 ## 1.3 O
Kubernetes主要特性回顾
知行合一 止于至善
09-19 1497
这篇文章整理一下Kubernetes发展过程中的各个版本的主要特性,从2015年Kubernetes推出1.0版至今过去了4年,4年的一个Cycle,我们来看一下Kubernetes演进的程度。
openshift日志管理---续
haiziccc的专栏
06-23 358
前文提到可以通过fluentd将日志发给syslog server,而需要使用该功能需要用到fluent-plugin-remote-syslog-1.1插件,如何确认你安装的fluentd是否包含此插件呢,可按照如下方式操作。 docker run -it ose-logging-fluentd:latest /bin/bash ...
OpenShift - 5分钟自动替换 OpenShift 集群故障节点(附视频)
多恩斯基的博客
05-21 608
OpenShift / RHEL / DevSecOps 汇总目录》 文本已在OpenShift 4.10环境中进行验证。 文章目录场景说明配置 Machine 健康检查验证自动修复故障节点启动观察模拟Worker节点故障观察节点修复过程参考 场景说明 就像 Deployment 可以自动恢复故障 Pod,通过 IPI 方式安装的 OpenShift 可以使用 MachineSet 自动恢复故障 Machine/节点。需要注意的是,这种方式只能针对通过 IPI 安装的 OpenShift 集群。 配置
OpenShift 4 - 提升客户端访问 API Server 安全
多恩斯基的博客
04-20 992
OpenShift / RHEL / DevSecOps 汇总目录》 文章目录kubeconfig 文件的作用kubeconfig 文件构成用户认证 Token了解 OpenShift 认证和 Token 关系更改 Token 有效时间,增强客户端访问安全参考 kubeconfig 文件的作用 OpenShiftKubernetes 的客户端每次向 OpenShiftKubernetes 发出命令,Kubernetes 都需要对其身份进行识别。如果 Kubernetes 识别出客户端没有认证登录
日志审计windows系统日志、linux日志
agrilly的博客
07-20 3870
日志审计、windows、linux
Openshift4 安装(参考)
justlpf的专栏
11-16 2181
准备了离线安装 OCP 所需要的离线资源,包括安装镜像、所有样例和中的所有 RedHat Operators。本文就开始正式安装 OCP(Openshift Container Platform) 集群,包括DNS 解析、负载均衡配置、ignition配置文件生成和集群部署。OCP安装期间需要用到多个文件:安装配置文件、Kubernetes 部署清单、Ignition 配置文件(包含了 machine types)。Ignition安装程序使用这些Ignition。
一张图展示OpenShift API 资源
Christina の Blog
02-05 373
[root@localhost cuatroseis]# oc api-resources NAME SHORTNAMES APIGROUP NAMESPACED KIND bindings true
Openshift API调用方法
炮哥技术分享
01-21 3096
概述 请思考以下场景: 你们已经有了一套发布平台,用于生产环境或者开发,测试,预发布和生产都已经在使用了,然后你也想推广容器平台,但是容器平台的界面和现有的发布平台是割裂的,而且现有的数据也没法用到容器平台,要怎么做才能实现两个平台的整合呢? 解决思路: 由于没有大规模使用过容器来跑业务应用,你希望把容器平台作为测试环境,那么你可以这样做,把生成Dockerfile和Template的界面移到发布...
openshift 3.10部署文档
纵横四海的博客
11-06 5967
机器 ip hostname 10.39.47.63 openshift-master 10.39.47.64 openshift-node-64 10.39.47.65 openshift-node-65 10.39.47.66 openshift-node-66 系统 [root@openshift-master ansible]# cat /etc/redha...
openshift internal-registry 切换 sc
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值