7.6.18. 기본 감사
감사는 개별 사용자, 관리자 또는 시스템의 기타 구성 요소가 시스템에 영향을 준 활동 시퀀스를 설명하는 보안 관련 레코드 집합을 제공합니다.
감사는 API 서버 수준에서 작동하며 서버로 들어오는 모든 요청을 기록합니다. 각 감사 로그에는 두 개의 항목이 포함되어 있습니다.
다음이 포함된 요청 행입니다.
- 응답 행과 일치시킬 수 있는 고유 ID ( #2 참조)
- 요청의 소스 IP
- HTTP 메서드가 호출되고 있습니다.
- 작업을 호출하는 원래 사용자
-
가장된 작업 사용자 (
자체의미) -
가장된 작업 그룹 (룩
업의미 사용자 그룹) - 요청 또는 <none>의 네임스페이스
- 요청된 URI
다음이 포함된 응답 행:
- #1의 고유 ID
- 응답 코드
사용자 admin 에서 Pod 목록을 요청하는 출력의 예:
AUDIT: id="5c3b8227-4af9-4322-8a71-542231c3887b" ip="127.0.0.1" method="GET" user="admin" as="<self>" asgroups="<lookup>" namespace="default" uri="/api/v1/namespaces/default/pods" AUDIT: id="5c3b8227-4af9-4322-8a71-542231c3887b" response="200"
7.6.18.1. 기본 감사 활성화
다음 절차에서는 기본 감사 후 설치를 활성화합니다.
고급 감사는 설치 중에 활성화해야 합니다.
다음 예와 같이 모든 마스터 노드에서 /etc/origin/master/master-config.yaml 파일을 편집합니다.
auditConfig: auditFilePath: "/var/log/origin/audit-ocp.log" enabled: true maximumFileRetentionDays: 14 maximumFileSizeMegabytes: 500 maximumRetainedFiles: 15
클러스터에서 API Pod를 재시작합니다.
# /usr/local/bin/master-restart api
설치 중에 기본 감사를 활성화하려면 다음 변수 선언을 인벤토리 파일에 추가합니다. 값을 적절하게 조정합니다.
openshift_master_audit_config={"enabled": true, "auditFilePath": "/var/lib/origin/openpaas-oscp-audit.log", "maximumFileRetentionDays": 14, "maximumFileSizeMegabytes": 500, "maximumRetainedFiles": 5}감사 구성은 다음 매개변수를 사용합니다.
| 매개변수 이름 | 설명 |
|---|---|
|
|
감사 로그를 활성화하거나 비활성화하는 부울입니다. 기본값은 |
|
| 요청을 로깅해야 하는 파일 경로입니다. 설정되지 않으면 로그가 마스터 로그에 인쇄됩니다. |
|
| 파일 이름에 인코딩된 타임스탬프를 기반으로 이전 감사 로그 파일을 유지하는 최대 기간(일)을 지정합니다. |
|
| 유지할 이전 감사 로그 파일의 최대 수를 지정합니다. |
|
| 순환되기 전에 로그 파일의 최대 크기(MB)를 지정합니다. 기본값은 100MB입니다. |
감사 구성 예
auditConfig: auditFilePath: "/var/log/origin/audit-ocp.log" enabled: true maximumFileRetentionDays: 14 maximumFileSizeMegabytes: 500 maximumRetainedFiles: 15
auditFilePath 매개변수를 정의하면 디렉터리가 없는 경우 생성됩니다.
