我试图找到某种方法来记录每个用户的审计事件,即用户执行的 kubectl 命令以及用户通过登录集群中的任何 pod 运行的命令。这些日志可以推送到 elasticsearch 或任何其他类似的日志记录应用程序,用于集群审计。
有人可以在这里帮助我吗,有什么工具可以帮助我做到这一点,或者有什么方法可以满足我的要求。
答案 0 :(得分:2)
审计记录在 kube-apiserver 组件中开始它们的生命周期。每个请求在其执行的每个阶段都会生成一个审计事件,然后根据特定策略对其进行预处理并写入后端。该策略确定记录的内容,后端保留记录。现在,这个后端可以有两种类型:
您需要将策略文件传递给您的 kubeapi-server,并为您的资源定义规则。因为,每个事件都经过审核,但是有了适当的策略,您将只能获得那些在策略 yaml 中指定为规则的事件。
k8s 文档中提供了更多信息:
https://kubernetes.io/docs/tasks/debug-application-cluster/audit/