第5章 監査ログの確認
監査ログを使用すると、Pod のセキュリティー違反を特定できます。
5.1. 監査ログによる Pod のセキュリティー違反の特定
サーバー監査ログを表示することで、ワークロード上の Pod セキュリティーアドミッション違反を特定できます。次の手順では、監査ログにアクセスして解析し、ワークロードの Pod セキュリティーアドミッション違反を見つける方法を示します。
前提条件
-
jq
がインストールされている。 -
cluster-admin
ロールを持つユーザーとしてクラスターにアクセスできる。
手順
ノード名を取得するために、次のコマンドを実行します。
$ <node_name>=$(oc get node -ojsonpath='{.items[0].metadata.name}')
監査ログを表示するために、次のコマンドを実行します。
$ oc adm node-logs <node_name> --path=kube-apiserver/
出力例
rhel-92.lab.local audit-2023-08-18T18-25-41.663.log rhel-92.lab.local audit-2023-08-19T11-21-29.225.log rhel-92.lab.local audit-2023-08-20T04-16-09.622.log rhel-92.lab.local audit-2023-08-20T21-11-41.163.log rhel-92.lab.local audit-2023-08-21T14-06-10.402.log rhel-92.lab.local audit-2023-08-22T06-35-10.392.log rhel-92.lab.local audit-2023-08-22T23-26-27.667.log rhel-92.lab.local audit-2023-08-23T16-52-15.456.log rhel-92.lab.local audit-2023-08-24T07-31-55.238.log
該当する監査ログを解析するために、次のコマンドを入力します。
$ oc adm node-logs <node_name> --path=kube-apiserver/audit.log \ | jq -r 'select((.annotations["pod-security.kubernetes.io/audit-violations"] != null) and (.objectRef.resource=="pods")) | .objectRef.namespace + " " + .objectRef.name + " " + .objectRef.resource' \ | sort | uniq -c