/etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略。它仅指定不记录的内容。
注意:基本策略位于 cluster 的 master 节点上。

编辑和扩展基本策略以记录:
RequestResponse 级别的 persistentvolumes 更改
namespace front-apps 中 configmaps 更改的请求体
Metadata 级别的所有 namespace 中的 ConfigMap 和 Secret 的更改
此外,添加一个全方位的规则以在 Metadata 级别记录所有其他请求。
注意:不要忘记应用修改后的策略。


kube-apiserver.yaml选项解释:  
 - -audit-policy-file 指定审计策略文件  
 - -audit-log-path 指定用来写入审计事件的日志文件路径。不指定此标志会禁用日志后端。  
 - -audit-log-maxage 定义保留旧审计日志文件的最大天数  
 - -audit-log-maxbackup 定义要保留的审计日志文件的最大数量  
 - -audit-log-maxsize 定义审计日志文件轮转之前的最大大小(兆字节)


更多见参考


## 环境搭建


**命令**

mkdir -p /etc/kubernetes/logpolicy/
vim /etc/kubernetes/logpolicy/sample-policy.yaml


内容

apiVersion: audit.k8s.io/v1
kind: Policy

Don’t generate audit events for all requests in RequestReceived stage.

omitStages:

  • “RequestReceived”
    rules:

Don’t log watch requests by the “system:kube-proxy” on endpoints or services

  • level: None
    users: [“system:kube-proxy”]
    verbs: [“watch”]
    resources:
    • group: “” # core API group
      resources: [“endpoints”, “services”]

Don’t log authenticated requests to certain non-resource URL paths.

  • level: None
    userGroups: [“system:authenticated”]
    nonResourceURLs:
    • “/api*” # Wildcard matching.
    • “/version”

Please do not delete the above rule content, you can continue add it below.


## 解题


**命令**

vim /etc/kubernetes/logpolicy/sample-policy.yaml


内容

apiVersion: audit.k8s.io/v1 # This is required.
kind: Policy

Don’t generate audit events for all requests in RequestReceived stage.

omitStages:

  • “RequestReceived”
    rules:

Don’t log watch requests by the “system:kube-proxy” on endpoints or services

  • level: None
    users: [“system:kube-proxy”]
    verbs: [“watch”]
    resources:
    • group: “” # core API group
      resources: [“endpoints”, “services”]

Don’t log authenticated requests to certain non-resource URL paths.

  • level: None
    userGroups: [“system:authenticated”]
    nonResourceURLs:
    • “/api*” # Wildcard matching.
    • “/version”

Please do not delete the above rule content, you can continue add it below.

Log pod changes at RequestResponse level

  • level: RequestResponse
    resources:
    • group: “”
      resources: [“persistentvolumes”]

Log “pods/log”, “pods/status” at Metadata level

  • level: Metadata
    resources:
    • group: “”
      resources: [“secrets”, “configmaps”]

Log the request body of configmap changes in kube-system.

  • level: Request
    resources:
    • group: “” # core API group
      resources: [“configmaps”]
      namespaces: [“front-apps”]

A catch-all rule to log all other requests at the Metadata level.

  • level: Metadata

    Long-running requests like watches that fall under this rule will not

    generate an audit event in RequestReceived.

    omitStages:
    • “RequestReceived”

**截图**


![在这里插入图片描述](https://img-blog.csdnimg.cn/e7109d0e453140b0b4d0e44703ecae64.png)  
 修改kube-apiserverl.yaml配置文件  
 **命令**

vim /etc/kubernetes/manifests/kube-apiserver.yaml


添加以下四个启动项
  • –audit-log-path=/var/log/kubernetes/audit-logs.txt
  • –audit-policy-file=/etc/kubernetes/logpolicy/sample-policy.yaml
  • –audit-log-maxage=10
  • –audit-log-maxbackup=2

**截图**  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/6c232f51a69f4187bb5b2a6337baac45.png)  
 **截图**  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/c38aad0bae264abda3189f75ec0ed03e.png)

## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/e1ab9a4e3721f271cf5293603c95ebeb.png)

![img](https://img-blog.csdnimg.cn/img_convert/2842e5e5186ea8e1901165de454b4671.png)

![img](https://img-blog.csdnimg.cn/img_convert/4b150a4d8d31b6162eda8d7ffbadf738.png)

![img](https://img-blog.csdnimg.cn/img_convert/344df51eda3fa50c5c04ae06d72e97c8.png)

![img](https://img-blog.csdnimg.cn/img_convert/d4c73ae6f5720f72e054f4b2937d75b6.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
# kubernetes # 学习 # 容器
Logo
K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 |  韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号​前言台湾作家林清玄在接受记者采访的时候,如此评价自己 30 多年写作生涯:“第一个十年我才华横溢,‘贼光闪现’,令周边黯然失色;第二个十年,我终于‘宝光现形’,不再去抢风头,反而与身边的美丽相得益彰;进入第三个十年,繁华落尽见真醇,我进入了‘醇光初现’的阶段,真正体味到了境界之美”。​长夜有穷,真水无香。领略过了 K8s“身在江

avatar K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台?

作者 | 孙健波(天元)导读:当前云原生 DevOps 体系现状如何?面临哪些挑战?如何通过 OAM 解决云原生 DevOps 场景下的诸多问题?云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答,并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps?为什么基于 Kub

avatar K8S/Kubernetes

k8s 火了!

2020,上云之年,产品云端化成为一种趋势。在一线城市,很多公司都已经构建了自己的私有云环境,比如阿里云、网易云、华为云等。而Kubernetes 作为基于容器编排领域的王者,具备扩展...

avatar K8S/Kubernetes