홈
제품
OpenShift Container Platform
4.8
로깅
7.15. OVN 네트워크 정책 감사 로그 수집

7.15. OVN 네트워크 정책 감사 로그 수집

OVN-Kubernetes Pod의 /var/log/ovn/acl-audit-log.log 파일에서 OVN 네트워크 정책 감사 로그를 수집하여 로깅 서버로 전달할 수 있습니다.

사전 요구 사항

OpenShift Container Platform 버전 4.8 이상을 사용하고 있어야 합니다.
클러스터 로깅 5.2 이상을 사용하고 있어야 합니다.
ClusterLogForwarder CR(사용자 정의 리소스) 오브젝트가 이미 설정되어 있습니다.
OpenShift Container Platform 클러스터는 OVN-Kubernetes 네트워크 정책 감사 로깅을 위해 구성되어 있습니다. 다음 "추가 리소스" 섹션을 참조하십시오.

참고

감사 데이터를 저장하는 로깅 서버는 규정 준수 및 보안을 위한 조직 및 정부 요구 사항을 충족해야 합니다.

절차

타사 시스템으로 로그를 전달하는 방법에 대한 다른 항목에 설명된 대로 ClusterLogForwarder CR 오브젝트를 정의하는 YAML 파일을 생성하거나 편집합니다.
YAML 파일에서 파이프라인의 inputRefs 요소에 audit 로그 유형을 추가합니다. 예를 들면 다음과 같습니다.
```
  pipelines:
   - name: audit-logs
     inputRefs:
      - audit 
     outputRefs:
      - secure-logging-server 
```
```
  pipelines:
   - name: audit-logs
     inputRefs:
      - audit 
```
1
```
     outputRefs:
      - secure-logging-server 
```
2
Copy to Clipboard Toggle word wrap
1
입력할 로그 유형 중 하나로 audit을 지정합니다.
2
로깅 서버에 연결하는 출력을 지정합니다.
업데이트된 CR 오브젝트를 다시 생성합니다.
```
oc create -f <file-name>.yaml
```
```
$ oc create -f <file-name>.yaml
```
Copy to Clipboard Toggle word wrap

검증

모니터링 중인 노드의 감사 로그 항목이 로깅 서버에서 수집한 로그 데이터 사이에 있는지 확인합니다.

/var/log/ovn/acl-audit-log.log에서 원래 감사 로그 항목을 찾아 로깅 서버의 해당 로그 항목과 비교합니다.

예를 들어 /var/log/ovn/acl-audit-log.log의 원본 로그 항목은 다음과 같을 수 있습니다.

2021-07-06T08:26:58.687Z|00004|acl_log(ovn_pinctrl0)|INFO|name="verify-audit-
logging_deny-all", verdict=drop, severity=alert:
icmp,vlan_tci=0x0000,dl_src=0a:58:0a:81:02:12,dl_dst=0a:58:0a:81:02:14,nw_src=10
.129.2.18,nw_dst=10.129.2.20,nw_tos=0,nw_ecn=0,nw_ttl=64,icmp_type=8,icmp_code=0

2021-07-06T08:26:58.687Z|00004|acl_log(ovn_pinctrl0)|INFO|name="verify-audit-
logging_deny-all", verdict=drop, severity=alert:
icmp,vlan_tci=0x0000,dl_src=0a:58:0a:81:02:12,dl_dst=0a:58:0a:81:02:14,nw_src=10
.129.2.18,nw_dst=10.129.2.20,nw_tos=0,nw_ecn=0,nw_ttl=64,icmp_type=8,icmp_code=0

Copy to Clipboard

Toggle word wrap

로깅 서버에서 찾은 해당 OVN 감사 로그 항목은 다음과 같을 수 있습니다.

{
  "@timestamp" : "2021-07-06T08:26:58..687000+00:00",
  "hostname":"ip.abc.iternal",
  "level":"info",
  "message" : "2021-07-06T08:26:58.687Z|00004|acl_log(ovn_pinctrl0)|INFO|name=\"verify-audit-logging_deny-all\", verdict=drop, severity=alert: icmp,vlan_tci=0x0000,dl_src=0a:58:0a:81:02:12,dl_dst=0a:58:0a:81:02:14,nw_src=10.129.2.18,nw_dst=10.129.2.20,nw_tos=0,nw_ecn=0,nw_ttl=64,icmp_type=8,icmp_code=0"
}

{
  "@timestamp" : "2021-07-06T08:26:58..687000+00:00",
  "hostname":"ip.abc.iternal",
  "level":"info",
  "message" : "2021-07-06T08:26:58.687Z|00004|acl_log(ovn_pinctrl0)|INFO|name=\"verify-audit-logging_deny-all\", verdict=drop, severity=alert: icmp,vlan_tci=0x0000,dl_src=0a:58:0a:81:02:12,dl_dst=0a:58:0a:81:02:14,nw_src=10.129.2.18,nw_dst=10.129.2.20,nw_tos=0,nw_ecn=0,nw_ttl=64,icmp_type=8,icmp_code=0"
}

Copy to Clipboard

Toggle word wrap

다음과 같습니다.

@timestamp는 로그 항목의 타임스탬프입니다.
hostname은 로그가 시작된 노드입니다.
level은 로그 항목입니다.
message는 원래 감사 로그 메시지입니다.

참고

Elasticsearch 서버에서 인덱스가 audit-00000으로 시작하는 로그 항목을 찾습니다.

문제 해결

OpenShift Container Platform 클러스터가 모든 사전 요구 사항을 충족하는지 확인합니다.
절차를 완료했는지 확인합니다.
OVN 로그를 생성하는 노드가 활성화되어 있고 /var/log/ovn/acl-audit-log.log 파일이 있는지 확인합니다.
문제가 있는지 Fluentd Pod 로그를 확인합니다.

맨 위로 이동

7.15. OVN 네트워크 정책 감사 로그 수집

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links