Chapitre 5. Définition des niveaux de journal d'audit pour l'adaptateur Prometheus

1. Modifiez l'objet cluster-monitoring-config ConfigMap dans le projet openshift-monitoring:

   Copy to Clipboard Toggle word wrap

   $ oc -n openshift-monitoring edit configmap cluster-monitoring-config

2. Ajouter profile: dans la section k8sPrometheusAdapter/audit sous data/config.yaml:

   Copy to Clipboard Toggle word wrap

   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: cluster-monitoring-config
     namespace: openshift-monitoring
   data:
     config.yaml: |
       k8sPrometheusAdapter:
         audit:
           profile: <audit_log_level> 

   1

   1

   Le niveau du journal d'audit à appliquer à l'adaptateur Prometheus.

3. Définissez le niveau du journal d'audit en utilisant l'une des valeurs suivantes pour le paramètre profile::

   • None: Ne pas enregistrer les événements.
   • Metadata: Enregistrer uniquement les métadonnées de la demande, telles que l'utilisateur, l'horodatage, etc. Ne pas enregistrer le texte de la demande et le texte de la réponse. Metadata est le niveau par défaut du journal d'audit.
   • Request: Enregistrer uniquement les métadonnées et le texte de la demande, mais pas le texte de la réponse. Cette option ne s'applique pas aux demandes ne portant pas sur des ressources.
   • RequestResponse: Métadonnées de l'événement, texte de la demande et texte de la réponse. Cette option ne s'applique pas aux demandes ne portant pas sur des ressources.

4. Enregistrez le fichier pour appliquer les modifications. Les pods de l'adaptateur Prometheus redémarrent automatiquement lorsque vous appliquez la modification.

   Avertissement

   Lorsque des modifications sont enregistrées dans une carte de configuration de surveillance, les pods et autres ressources du projet concerné peuvent être redéployés. Les processus de surveillance en cours dans ce projet peuvent également être redémarrés.

Vérification

1. Dans la carte de configuration, sous k8sPrometheusAdapter/audit/profile, réglez le niveau de journalisation sur Request et enregistrez le fichier.

2. Confirmez que les pods de l'adaptateur Prometheus sont en cours d'exécution. L'exemple suivant répertorie l'état des modules dans le projet openshift-monitoring:

   Copy to Clipboard Toggle word wrap

   $ oc -n openshift-monitoring get pods

3. Confirmez que le niveau du journal d'audit et le chemin d'accès au fichier du journal d'audit sont correctement configurés :

   Copy to Clipboard Toggle word wrap

   $ oc -n openshift-monitoring get deploy prometheus-adapter -o yaml

   Exemple de sortie

   Copy to Clipboard Toggle word wrap

   ...
     - --audit-policy-file=/etc/audit/request-profile.yaml
     - --audit-log-path=/var/log/adapter/audit.log

4. Confirmez que le niveau de journalisation correct a été appliqué dans le déploiement de prometheus-adapter dans le projet openshift-monitoring:

   Copy to Clipboard Toggle word wrap

   $ oc -n openshift-monitoring exec deploy/prometheus-adapter -c prometheus-adapter -- cat /etc/audit/request-profile.yaml

   Exemple de sortie

   Copy to Clipboard Toggle word wrap

   "apiVersion": "audit.k8s.io/v1"
   "kind": "Policy"
   "metadata":
     "name": "Request"
   "omitStages":
   - "RequestReceived"
   "rules":
   - "level": "Request"

   Note

   Si vous saisissez une valeur profile non reconnue pour l'adaptateur Prometheus dans l'objet ConfigMap, aucune modification n'est apportée à l'adaptateur Prometheus et une erreur est consignée par l'opérateur de surveillance des clusters.

5. Examinez le journal d'audit de l'adaptateur Prometheus :

   Copy to Clipboard Toggle word wrap

   oc -n openshift-monitoring exec -c <prometheus_adapter_pod_name> -- cat /var/log/adapter/audit.log