7.9.10. 監査ログの監視

json-enricher コンテナーによって生成される高度な監査ログを監視する方法は 2 つあります。これらの手順に従うことで、KubernetesPod の監査ログを JSON 行形式で有効化および監視できるようになり、Pod のアクティビティーをより詳細に把握できます。

手順

高度な監査ログの末尾を監視するには、次のコマンドを使用します。

# kubectl -n openshift-security-profiles logs --since=1m --selector name=spod -c json-enricher --max-log-requests 6 -f

高度な監査ログファイルを監視するには、auditLogPath で指定し、Pod が実行されているノードのファイルシステムに書き込みます。監査ログを監視または検査するには、ノードに直接アクセスし、/tmp/logs/audit1.log などの指定されたパスにあるファイルを確認する必要があります。
以下のコマンドを使用して、Pod がスケジュールされているノードを特定します。
```
# kubectl get pod my-pod -o wide
```
以下のコマンドを使用してノードに SSH 接続します。
```
$ sudo ssh core@<node-name>
```

以下のコマンドを使用して監査ログを表示します。

$ cat /tmp/logs/audit1.log

出力例は以下のようになります。

{
"auditID": "a1b2c3d4-e5f6-7890-abcd-111111111111",
"cmdLine": "mkdir /tmp/audittest ",
"executable": "/bin/bash",
"gid": 0,
"node": {"name": "worker-1"},
"pid": 27184,
"requestUID": "f011c4a3-b20e-44ed-bb91-23e03ae31b3e",
"resource": {
"container": "nginx",
"namespace": "default",
"pod": "my-pod"
},
"syscalls": ["getpid", "execve"],
"timestamp": "2026-02-16T06:34:53.000Z",
"uid": 0,
"version": "spo/v1_alpha"
}
{
"auditID": "a1b2c3d4-e5f6-7890-abcd-222222222222",
"cmdLine": "touch /tmp/audittest/demo-file ",
"executable": "/bin/bash",
"gid": 0,
"node": {"name": "worker-1"},
"pid": 27274,
"requestUID": "f011c4a3-b20e-44ed-bb91-23e03ae31b3e",
"resource": {
"container": "nginx",
"namespace": "default",
"pod": "my-pod"
},
"syscalls": ["getpid", "execve"],
"timestamp": "2026-02-16T06:35:02.000Z",
"uid": 0,
"version": "spo/v1_alpha"
}

7.9.10. 監査ログの監視

詳細情報

試用、購入および販売

コミュニティー

会社概要

多様性を受け入れるオープンソースの強化

Red Hat ドキュメントについて

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links