検索
サポートコンソール開発者トライアルの開始お問い合わせ

1.2. Logging 5.8

download PDF
注記

ロギングは、コアの Red Hat OpenShift Service on AWS とは異なるリリースサイクルで、インストール可能なコンポーネントとして提供されます。Red Hat OpenShift Container Platform ライフサイクルポリシー はリリースの互換性を概説しています。

注記

stable チャネルは、Logging の最新リリースを対象とする更新のみを提供します。以前のリリースの更新を引き続き受信するには、サブスクリプションチャネルを stable-x.y に変更する必要があります。x.y は、インストールしたログのメジャーバージョンとマイナーバージョンを表します。たとえば、stable-5.7 です。

1.2.1. Logging 5.8.4

このリリースには、OpenShift Logging バグ修正リリース 5.8.4 が含まれています。

1.2.1.1. バグ修正

  • この更新まで、開発者コンソールのログでは現在の namespace が考慮されなかったため、クラスター全体のログアクセスを持たないユーザーのクエリーが拒否されていました。今回の更新により、サポートされているすべての OCP バージョンで、正しい namespace が確実に含まれるようになりました。(LOG-4905)
  • この更新まで、Cluster Logging Operator は、デフォルトのログ出力が LokiStack の場合にのみ、LokiStack デプロイメントをサポートする ClusterRoles をデプロイしていました。今回の更新により、このロールは読み取りおよび書き込みの 2 つのグループに分割されました。書き込みロールは、これまで使用されていたすべてのロールと同様に、デフォルトのログストレージ設定に基づきデプロイされます。読み取りロールは、ロギングコンソールプラグインがアクティブかどうかに基づきデプロイされます。(LOG-4987)
  • この更新まで、1 つのサービスで ownerReferences が変更されると、同じ出力レシーバー名を定義する複数の ClusterLogForwarder はサービスを延々と調整していました。今回の更新により、各レシーバー入力には、<CLF.Name>-<input.Name> の規則に準じて名付けられた独自のサービスが追加されます。(LOG-5009)
  • この更新まで、ClusterLogForwarder は、シークレットなしでログを cloudwatch に転送する際にエラーを報告しませんでした。今回の更新により、シークレットなしでログを cloudwatch に転送すると、secret must be provided for cloudwatch output のエラーメッセージが表示されるようになりました。(LOG-5021)
  • この更新まで、log_forwarder_input_info には applicationinfrastructureaudit の入力メトリクスポイントが含まれていました。今回の更新により、http もメトリクスポイントとして追加されました。(LOG-5043)

1.2.1.2. CVE

1.2.2. Logging 5.8.3

このリリースには、Logging Bug Fix 5.8.3Logging Security Fix 5.8.3 が含まれます。

1.2.2.1. バグ修正

  • この更新前は、カスタム S3 認証局を読み取るように設定されている場合、ConfigMap の名前または内容が変更されても、Loki Operator は設定を自動的に更新しませんでした。今回の更新により、Loki Operator は ConfigMap への変更を監視し、生成された設定を自動的に更新します。(LOG-4969)
  • この更新前は、設定された Loki 出力に有効な URL がない場合にコレクター Pod がクラッシュしていました。今回の更新により、出力は URL 検証の対象となり、問題が解決されました。(LOG-4822)
  • この更新前は、Cluster Logging Operator は、サービスアカウントのベアラートークンを使用するためのシークレットを指定していない出力に対してコレクター設定フィールドを生成していました。今回の更新により、出力に認証が不要になり、問題が解決されました。(LOG-4962)
  • この更新前は、シークレットが定義されていない場合、出力の tls.insecureSkipVerify フィールドの値が true に設定されませんでした。今回の更新により、この値を設定するためのシークレットは必要なくなりました。(LOG-4963)
  • この更新より前の出力設定では、セキュアではない (HTTP) URL と TLS 認証の組み合わせが許可されていました。今回の更新により、TLS 認証用に設定された出力にはセキュアな (HTTPS) URL が必要になります。(LOG-4893)

1.2.2.2. CVE

1.2.3. Logging 5.8.2

このリリースには、OpenShift Logging バグ修正リリース 5.8.2 が含まれています。

1.2.3.1. バグ修正

  • この更新まで、LokiStack ルーラー Pod は、Pod 間通信に使用される HTTP URL の IPv6 Pod IP をフォーマットしなかったため、Prometheus 互換 API を介したルールとアラートのクエリーが失敗していました。この更新により、LokiStack ルーラー Pod は IPv6 Pod IP を角かっこでカプセル化して、問題を解決しました。(LOG-4890)
  • この更新まで、開発者コンソールログは現在の namespace を考慮しなかったため、クラスター全体のログアクセスを持たないユーザーのクエリーが拒否されていました。今回の更新により、namespace の追加が修正され、問題が解決されました。(LOG-4947)
  • この更新まで、Red Hat OpenShift Service on AWS Web コンソールのロギングビュープラグインは、カスタムのノード配置または容認を許可しませんでした。今回の更新により、カスタムのノード配置と容認の定義が Red Hat OpenShift Service on AWS Web コンソールのログビュープラグインに追加されました。(LOG-4912)

1.2.3.2. CVE

1.2.4. Logging 5.8.1

このリリースには、OpenShift Logging のバグ修正リリース 5.8.1 および OpenShift Logging のバグ修正リリース 5.8.1 Kibana が含まれています。

1.2.4.1. 機能拡張

1.2.4.1.1. ログの収集
  • この更新により、Vector をコレクターとして設定する際に、サービスアカウントに関連付けられたトークンの代わりにシークレットで指定されたトークンを使用するロジックを Red Hat OpenShift Logging Operator に追加できるようになりました。(LOG-4780)
  • この更新により、BoltDB Shipper Loki ダッシュボードの名前が Index ダッシュボードに変更されました。(LOG-4828)

1.2.4.2. バグ修正

  • この更新前は、JSON ログの解析を有効にすると、ClusterLogForwarder が、ロールオーバー条件が満たされていない場合でも、空のインデックスを作成していました。今回の更新により、write-index が空の場合、ClusterLogForwarder はロールオーバーをスキップするようになりました。(LOG-4452)
  • この更新前は、Vector が default ログレベルを誤って設定していました。この更新により、ログレベル検出のための正規表現 (regexp) の機能拡張により、正しいログレベルが設定されるようになりました。(LOG-4480)
  • この更新前は、インデックスパターンの作成プロセス中に、各ログ出力の初期インデックスからデフォルトのエイリアスが欠落していました。その結果、Kibana ユーザーは OpenShift Elasticsearch Operator を使用してインデックスパターンを作成できませんでした。この更新により、不足しているエイリアスが OpenShift Elasticsearch Operator に追加され、問題が解決されます。Kibana ユーザーは、{app,infra,audit}-000001 インデックスを含むインデックスパターンを作成できるようになりました。(LOG-4683)
  • この更新前は、IPv6 クラスター上の Prometheus サーバーのバインドが原因で、Fluentd コレクター Pod が CrashLoopBackOff 状態になっていました。この更新により、コレクターが IPv6 クラスター上で適切に動作するようになりました。(LOG-4706)
  • この更新前は、ClusterLogForwarder に変更があるたびに Red Hat OpenShift Logging Operator が何度も調整を受けていました。この更新により、Red Hat OpenShift Logging Operator が、調整をトリガーしたコレクターデーモンセットのステータス変更を無視するようになりました。(LOG-4741)
  • この更新前は、IBM Power マシン上で Vector ログコレクター Pod が CrashLoopBackOff 状態のままになっていました。この更新により、Vector ログコレクター Pod が IBM Power アーキテクチャーマシン上で正常に起動するようになりました。(LOG-4768)
  • この更新前は、従来のフォワーダーを使用して内部 LokiStack に転送すると、Fluentd コレクター Pod の使用により SSL 証明書エラーが発生していました。この更新により、ログコレクターサービスアカウントがデフォルトで認証に使用され、関連するトークンと ca.crt が使用されるようになりました。(LOG-4791)
  • この更新前は、従来のフォワーダーを使用して内部 LokiStack に転送すると、Vector コレクター Pod の使用による SSL 証明書エラーが発生していました。この更新により、ログコレクターサービスアカウントがデフォルトで認証に使用され、関連するトークンと ca.crt も使用されるようになりました。(LOG-4852)
  • この修正が行われる前は、プレースホルダーに対して 1 つ以上のホストが評価された後、IPv6 アドレスが正しく解析されませんでした。この更新により、IPv6 アドレスが正しく解析されるようになりました。(LOG-4811)
  • この更新前は、HTTP レシーバー入力の監査権限を収集するために ClusterRoleBinding を作成する必要がありました。この更新により、ClusterRoleBinding を作成する必要がなくなりました。エンドポイントがすでにクラスター認証局に依存しているためです。(LOG-4815)
  • この更新前は、Loki Operator がカスタム CA バンドルをルーラー Pod にマウントしませんでした。その結果、アラートルールまたは記録ルールを評価するプロセス中に、オブジェクトストレージへのアクセスが失敗していました。この更新により、Loki Operator がカスタム CA バンドルをすべてのルーラー Pod にマウントするようになりました。ルーラー Pod は、オブジェクトストレージからログをダウンロードして、アラートルールまたは記録ルールを評価できます。(LOG-4836)
  • この更新前は、ClusterLogForwarderinputs.receiver セクションを削除しても、HTTP 入力サービスとそれに関連するシークレットが削除されませんでした。この更新により、HTTP 入力リソースが、不要な場合に削除されるようになりました。(LOG-4612)
  • この更新前は、ClusterLogForwarder のステータスに検証エラーが示されていても、出力とパイプラインのステータスにその問題が正確に反映されていませんでした。この更新により、出力、入力、またはフィルターが正しく設定されていない場合に、パイプラインステータスに検証失敗の理由が正しく表示されるようになりました。(LOG-4821)
  • この更新前は、時間範囲や重大度などのコントロールを使用する LogQL クエリーを変更すると、ラベルマッチャー演算子が正規表現のように定義されて変更されました。この更新により、クエリーの更新時に正規表現演算子が変更されなくなりました。(LOG-4841)

1.2.4.3. CVE

1.2.5. Logging 5.8.0

このリリースには、OpenShift Logging のバグ修正リリース 5.8.0 および OpenShift Logging のバグ修正リリース 5.8.0 Kibana が含まれています。

1.2.5.1. 非推奨のお知らせ

Logging 5.8 で、Elasticsearch、Fluentd、および Kibana が非推奨となりました。これらは今後の Red Hat OpenShift Service on AWS リリースに同梱される見込みの Logging 6.0 で削除される予定です。Red Hat は、現行リリースのライフサイクルにおいて、該当コンポーネントの「重大」以上の CVE に対するバグ修正とサポートを提供しますが、機能拡張は提供しません。Red Hat OpenShift Logging Operator が提供する Vector ベースのコレクターと、Loki Operator が提供する LokiStack は、ログの収集と保存に推奨される Operator です。Vector および Loki ログスタックは今後強化される予定であるため、すべてのユーザーに対しこのスタックの採用が推奨されます。

1.2.5.2. 機能拡張

1.2.5.2.1. ログの収集
  • 今回の更新により、LogFileMetricExporter はデフォルトでコレクターを使用してデプロイされなくなりました。実行中のコンテナーによって生成されたログからメトリクスを生成するには、LogFileMetricExporter カスタムリソース (CR) を手動で作成する必要があります。LogFileMetricExporter CR を作成しない場合、Red Hat OpenShift Service on AWS Web コンソールのダッシュボードの Produced LogsNo datapoints found というメッセージが表示される場合があります。(LOG-3819)

  • この更新により、RBAC で保護された複数の分離された ClusterLogForwarder カスタムリソース (CR) インスタンスを任意の namespace にデプロイできるようになります。これにより、独立したグループは、設定を他のコレクターデプロイメントから分離したまま、任意のログを任意の宛先に転送できます。(LOG-1343)

    重要

    openshift-logging namespace 以外の追加の namespace でマルチクラスターログ転送をサポートするには、すべての namespace を監視するように Red Hat OpenShift Logging Operator を更新する必要があります。この機能は、新しい Red Hat OpenShift Logging Operator バージョン 5.8 インストールでデフォルトでサポートされています。

  • この更新により、フロー制御またはレート制限メカニズムを使用して、過剰なログレコードを削除することで収集または転送できるログデータの量を制限できるようになります。入力制限により、低パフォーマンスのコンテナーによる Logging の過負荷が防止され、出力制限により、指定されたデータストアへのログ送信レートに上限が設定されます。(LOG-884)
  • この更新により、HTTP 接続を検索し、Webhook とも呼ばれる HTTP サーバーとしてログを受信するように、ログコレクターを設定できるようになりました。(LOG-4562)
  • この更新により、監査ポリシーを設定して、ログコレクターによって転送される Kubernetes および OpenShift API サーバーイベントを制御できるようになりました。(LOG-3982)
1.2.5.2.2. ログのストレージ
  • この更新により、LokiStack 管理者は、namespace ごとにログへのアクセスを許可することで、誰がどのログにアクセスできるかをより詳細に制御できるようになりました。(LOG-3841)
  • この更新では、Loki Operator によって LokiStack デプロイメントに PodDisruptionBudget 設定が導入されました。その結果、Red Hat OpenShift Service on AWS クラスターの再起動中も、取り込みとクエリーパスの可用性が維持され、通常の操作を行えるようになりました。(LOG-3839)
  • この更新では、デフォルトのアフィニティーおよび非アフィニティーポリシーのセットを適用することで、既存の LokiStack インストールの信頼性がシームレスに向上しました。(LOG-3840)
  • この更新により、ゾーンに障害が発生した場合の信頼性を高めるために、LokiStack で管理者としてゾーン対応のデータレプリケーションを管理できるようになりました。(LOG-3266)
  • この更新により、いくつかのワークロードと小規模な取り込みボリューム (最大 100 GB/日) をホストする Red Hat OpenShift Service on AWS クラスターに、新しくサポートされた小規模な LokiStack サイズである 1x.extra-small が導入されました。(LOG-4329)
  • この更新により、LokiStack 管理者は公式 Loki ダッシュボードにアクセスして、ストレージのパフォーマンスと各コンポーネントの正常性を検査できるようになりました。(LOG-4327)
1.2.5.2.3. ログコンソール
  • この更新により、Elasticsearch がデフォルトのログストアである場合に、Logging Console プラグインを有効にできます。(LOG-3856)
  • この更新により、Red Hat OpenShift Service on AWS アプリケーションの所有者は、Red Hat OpenShift Service on AWS バージョン 4.14 以降の Red Hat OpenShift Service on AWS Web コンソールの Developer パースペクティブで、アプリケーションログベースのアラートの通知を受信できるようになります。(LOG-3548)

1.2.5.3. 既知の問題

  • 現在、Red Hat OpenShift Logging Operator のバージョン 5.8 にアップグレードした後、Splunk ログ転送が機能しない場合があります。この問題は、OpenSSL バージョン 1.1.1 からバージョン 3.0.7 に移行することによって発生します。新しい OpenSSL バージョンでは、デフォルトの動作が変更され、TLS 1.2 エンドポイントへの接続は、RFC 5746 エクステンションを公開しない場合は拒否されます。

    回避策として、Splunk HEC (HTTP Event Collector) エンドポイントの前にある TLS 終端ロードバランサーで TLS 1.3 サポートを有効にします。Splunk はサードパーティーシステムであるため、これは Splunk 側から設定する必要があります。

  • 現在、HTTP/2 プロトコルでの多重化ストリームの処理には、新しい多重化ストリームを繰り返しリクエストし、直後に RST_STREAM フレームを送信してキャンセルできるという欠陥があります。これにより、サーバーのセットアップで余分な作業が発生し、ストリームが切断され、サーバーのリソース消費を原因とするサービス拒否が発生します。現在、この問題に対する回避策はありません。(LOG-4609)
  • 現在、FluentD をコレクターとして使用すると、コレクター Pod は Red Hat OpenShift Service on AWS IPv6 対応クラスター上で起動できません。Pod ログでは、fluentd pod [error]: unexpected error error_class=SocketError error="getaddrinfo: Name or service not known エラーが生成されます。現在、この問題に対する回避策はありません。(LOG-4706)
  • 現在、ログアラートは IPv6 対応クラスターで利用できません。現在、この問題に対する回避策はありません。(LOG-4709)
  • 現在、must-gather は FIPS 対応クラスター上のログを収集できません。これは、必要な OpenSSL ライブラリーが cluster-logging-rhel9-operator で使用できないためです。現在、この問題に対する回避策はありません。(LOG-4403)
  • 現在、FIPS 対応クラスターに Logging バージョン 5.8 をデプロイする場合に、FluentD をコレクターとして使用する間は、コレクター Pod を起動できず、CrashLoopBackOff ステータスでスタックします。現在、この問題に対する回避策はありません。(LOG-3933)

1.2.5.4. CVE

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.