对于EKS集群,cloudtrail记录集群事件,例如创建,更新和删除。但是,我们正在使用kubeadm来配置集群。我们如何记录这些群集事件的审核跟踪?谢谢。
答案 0 :(得分:0)
CloudTrail在AWS中记录API事件,因此我认为您不能将其用于K8S事件。但是,您可以使用日志发送方将自定义指标发送到CloudWatch。从那里您可以发出事件并创建仪表板。
为此,您有两个选择,可以使用CloudWatch代理,Elastic Beat,Logstash,或者如果不想使用CloudWatch,也可以使用Splunk之类的东西。
在K8S文档中,有一个审核日志(可能在您的集群的/var/log/kube-audit上)...
Kubernetes审核提供了与安全性有关的按时间顺序排列的记录集,记录了由单个用户,管理员或系统其他组件影响系统的活动的顺序。它允许集群管理员回答以下问题:
您可以与其他服务一起运送/解析此日志。
如果需要对结果进行更多控制,则可以根据libbeat规范编写自定义Beat。 https://github.com/elastic/beats/tree/master/libbeat
否则,我认为很多人都使用Filebeat:https://github.com/elastic/beats/tree/master/deploy/kubernetes
K8S还支持自定义审核策略以进行进一步控制