6.3. 監査ログ値の設定
MicroShift サービス設定ファイルを使用して、監査ログ設定を指定できます。
手順
-
指定されている
config.yaml.defaultファイルのコピーを/etc/microshift/ディレクトリーに作成し、名前をconfig.yamlに変更します。作成した新しい MicroShiftconfig.yamlを/etc/microshift/ディレクトリーに保存します。MicroShift サービスが開始されるたびに、新しいconfig.yamlが読み取られます。これを作成すると、config.yamlファイルは組み込み設定よりも優先されます。 YAML の
auditLogセクションのデフォルト値を必要な有効な値に置き換えてください。デフォルトの
auditLog設定の例apiServer: # .... auditLog: maxFileAge: 7 1 maxFileSize: 200 2 maxFiles: 1 3 profile: Default 4 # ....- 1
- ログファイルが保持される最大時間を日数で指定します。この制限よりも古いファイルは削除されます。この例では、ログファイルは 7 日以上経過すると削除されます。ライブログが
maxFileSizeフィールドで指定された最大ファイルサイズに達したかどうかに関係なく、ファイルは削除されます。ファイルの有効期限は、ローテーションされたログファイルの名前に書き込まれたタイムスタンプによって決定されます (例:audit-2024-05-16T17-03-59.994.log)。値が0の場合、制限は無効になります。 - 2
- 監査ログファイルの最大サイズ (メガバイト単位)。この例では、ライブログが 200 MB の制限に達するとすぐにファイルがローテーションされます。値を
0に設定すると、制限は無効になります。 - 3
- 保持されるローテーションされた監査ログファイルの最大数。制限に達すると、ログファイルは古いものから順に削除されます。この例では、値
1を指定すると、現在のアクティブログに加えて、maxFileSizeサイズのファイル 1 つだけが保持されます。値を0に設定すると、制限は無効になります。 - 4
- 読み取りおよび書き込み要求のメタデータのみをログに記録します。OAuth アクセストークン要求を除く要求の本文はログに記録されません。このフィールドを指定しない場合は、
Defaultプロファイルが使用されます。
オプション: ログ用の新しいディレクトリーを指定するには、MicroShift を停止し、
/var/log/kube-apiserverディレクトリーを目的の場所に移動します。次のコマンドを実行して MicroShift を停止します。
$ sudo systemctl stop microshift
以下のコマンドを実行して、
/var/log/kube-apiserverディレクトリーを目的の場所に移動します。$ sudo mv /var/log/kube-apiserver <~/kube-apiserver> 1
- 1
<~/kube-apiserver>は、使用するディレクトリーへのパスに置き換えます。
ログの新規ディレクトリーを指定した場合、次のコマンドを実行して、
/var/log/kube-apiserverにカスタムディレクトリーへのシンボリックリンクを作成します。$ sudo ln -s <~/kube-apiserver> /var/log/kube-apiserver 1
- 1
<~/kube-apiserver>は、使用するディレクトリーへのパスに置き換えます。これにより、SOS レポートでのログの収集が可能になります。
実行中のインスタンスで監査ログポリシーを設定する場合は、次のコマンドを入力して MicroShift を再起動します。
$ sudo systemctl restart microshift
