Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

1.14. STS 지원 클러스터에서 Amazon CloudMonitor로 로그 전달

Amazon CloudMonitor는 관리자가 AWS(Amazon Web Services)에서 리소스 및 애플리케이션을 관찰하고 모니터링할 수 있도록 지원하는 서비스입니다. AWS STS(Security Token Service)를 사용하는 IRSA(Service Accounts) 역할에 대한 AWS의 IAM(Identity and Access Management) 역할을 활용하여 OpenShift Logging에서 CloudMonitor로 로그를 안전하게 전달할 수 있습니다.

CloudMonitor의 인증은 다음과 같이 작동합니다.

  1. 로그 수집기는 서비스 계정 토큰을 AWS의 OpenID Connect(OIDC) 공급자에 제공하여 STS(Security Token Service)에서 임시 AWS 인증 정보를 요청합니다.
  2. AWS는 토큰을 검증합니다. 나중에 신뢰 정책에 따라 AWS는 로그 수집기에서 사용할 액세스 키 ID, 시크릿 액세스 키, 세션 토큰을 포함하여 수명이 짧은 임시 인증 정보를 발행합니다.

AWS의 Red Hat OpenShift Service와 같은 STS 지원 클러스터에서 AWS 역할은 필요한 신뢰 정책으로 사전 구성됩니다. 이를 통해 서비스 계정에서 역할을 가정할 수 있습니다. 따라서 IAM 역할을 사용하는 STS를 사용하여 AWS의 시크릿을 생성할 수 있습니다. 그런 다음 시크릿을 사용하여 CloudMonitor 출력으로 로그를 전달하는 ClusterLogForwarder 사용자 정의 리소스(CR)를 생성하거나 업데이트할 수 있습니다. 다음 절차에 따라 역할이 사전 구성된 경우 시크릿 및 ClusterLogForwarder CR을 생성합니다.

  • 기존 AWS 역할을 사용하여 CloudMonitor의 시크릿 생성
  • STS 지원 클러스터에서 Amazon CloudMonitor로 로그 전달

신뢰 정책으로 AWS IAM 역할이 사전 구성되지 않은 경우 먼저 필요한 신뢰 정책으로 역할을 생성해야 합니다. 시크릿, ClusterLogForwarder CR 및 역할을 생성하려면 다음 절차를 완료합니다.

1.14.1. AWS IAM 역할 생성
링크 복사

서비스 계정에서 AWS 리소스에 안전하게 액세스하기 위해 가정할 수 있는 AWS(Amazon Web Services) IAM 역할을 생성합니다.

다음 절차에서는 AWS CLI를 사용하여 AWS IAM 역할을 생성하는 방법을 보여줍니다. 또는 CCO(Cloud Credential Operator) 유틸리티 ccoctl 을 사용할 수 있습니다. ccoctl 유틸리티를 사용하면 ClusterLogForwarder 사용자 정의 리소스(CR)에 필요하지 않은 IAM 역할 정책에 많은 필드가 생성됩니다. 이러한 추가 필드는 CR에서 무시합니다. 그러나 ccoctl 유틸리티는 IAM 역할을 구성하는 편리한 방법을 제공합니다. 자세한 내용은 구성 요소에 대한 단기 인증 정보가 있는 수동 모드를 참조하십시오.

사전 요구 사항

  • AWS에 대해 활성화되어 구성된 STS(Security Token Service)가 활성화된 Red Hat OpenShift Logging 클러스터에 액세스할 수 있습니다.
  • AWS 계정에 대한 관리자 액세스 권한이 있습니다.
  • AWS CLI가 설치되어 있어야 합니다.

프로세스

  1. CloudMonitor에 로그를 쓸 수 있는 권한을 부여하는 IAM 정책을 생성합니다.

    1. 다음 콘텐츠를 사용하여 cw-iam-role-policy.json 과 같은 파일을 생성합니다. 

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents",
                "logs:CreateLogGroup",
                "logs:PutRetentionPolicy",
                "logs:CreateLogStream",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "arn:aws:logs:*:*:*"
        }
    ]
}
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 이전 정책 정의를 기반으로 IAM 정책을 생성합니다. 

      aws iam create-policy \
    --policy-name cluster-logging-allow \
    --policy-document file://cw-iam-role-policy.json
      Copy to Clipboard Toggle word wrap

      생성된 정책의 Arn 값을 확인합니다.

  2. 로깅 서비스 계정에서 IAM 역할을 가정할 수 있는 신뢰 정책을 생성합니다.

    1. 다음 콘텐츠를 사용하여 cw-trust-policy.json 과 같은 파일을 생성합니다. 

      {
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Principal": {
            "Federated": "arn:aws:iam::123456789012:oidc-provider/<OPENSHIFT_OIDC_PROVIDER_URL>"
      1 
      
        },
        "Action": "sts:AssumeRoleWithWebIdentity",
        "Condition": {
            "StringEquals": {
                "<OPENSHIFT_OIDC_PROVIDER_URL>:sub": "system:serviceaccount:openshift-logging:logcollector"
      2 
      
            }
        }
    }
]
}
      Copy to Clipboard Toggle word wrap
      1
      & lt;OPENSHIFT_OIDC_PROVIDER_URL >을 Red Hat OpenShift Logging OIDC URL의 URL로 바꿉니다.
      2
      로그 전달자가 사용하는 네임스페이스 및 서비스 계정은 네임스페이스 및 서비스 계정과 일치해야 합니다.

  3. 다음 명령을 실행하여 이전에 정의한 신뢰 정책을 기반으로 IAM 역할을 생성합니다. 

    $ aws iam create-role --role-name openshift-logger --assume-role-policy-document file://cw-trust-policy.json
    Copy to Clipboard Toggle word wrap

    생성된 역할의 Arn 값을 확인합니다.

  4. 다음 명령을 실행하여 역할에 정책을 연결합니다. 

    $ aws iam put-role-policy \
      --role-name openshift-logger --policy-name cluster-logging-allow \
      --policy-document file://cw-role-policy.json
    Copy to Clipboard Toggle word wrap

검증

  • 다음 명령을 실행하여 역할 및 권한 정책을 확인합니다. 

    $ aws iam get-role --role-name openshift-logger
    Copy to Clipboard Toggle word wrap

    출력 예

    ROLE	arn:aws:iam::123456789012:role/openshift-logger
ASSUMEROLEPOLICYDOCUMENT	2012-10-17
STATEMENT	sts:AssumeRoleWithWebIdentity	Allow
STRINGEQUALS	system:serviceaccount:openshift-logging:openshift-logger
PRINCIPAL	arn:aws:iam::123456789012:oidc-provider/<OPENSHIFT_OIDC_PROVIDER_URL>
    Copy to Clipboard Toggle word wrap

1.14.2. 기존 AWS 역할을 사용하여 AWS CloudMonitor의 시크릿 생성
링크 복사

oc create secret --from-literal 명령을 사용하여 구성된 AWS IAM 역할에서 AWS(Amazon Web Services) Security Token Service(STS)의 시크릿을 생성합니다.

사전 요구 사항

  • AWS IAM 역할을 생성했습니다.
  • Red Hat OpenShift Logging에 대한 관리자 액세스 권한이 있습니다.

프로세스

  • CLI에서 다음을 입력하여 AWS의 시크릿을 생성합니다. 

    $ oc create secret generic sts-secret -n openshift-logging --from-literal=role_arn=arn:aws:iam::123456789012:role/openshift-logger
    Copy to Clipboard Toggle word wrap

    시크릿 예

    apiVersion: v1
kind: Secret
metadata:
  namespace: openshift-logging
  name: sts-secret
stringData:
  role_arn: arn:aws:iam::123456789012:role/openshift-logger
    Copy to Clipboard Toggle word wrap

1.14.3. STS 지원 클러스터에서 Amazon CloudMonitor로 로그 전달
링크 복사

AWS(Amazon Web Services) Security Token Service(STS)가 활성화된 클러스터에 배포된 Red Hat OpenShift의 로깅에서 Amazon CloudMonitor로 로그를 전달할 수 있습니다. Amazon CloudMonitor는 관리자가 AWS에서 리소스 및 애플리케이션을 관찰하고 모니터링할 수 있도록 지원하는 서비스입니다.

사전 요구 사항

  • Red Hat OpenShift Logging Operator가 설치되었습니다.
  • 인증 정보 시크릿을 구성했습니다.
  • Red Hat OpenShift Logging에 대한 관리자 액세스 권한이 있습니다.

프로세스

  • ClusterLogForwarder CR(사용자 정의 리소스)을 생성하거나 업데이트합니다. 

    apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: <log_forwarder_name>
  namespace: openshift-logging
spec:
  serviceAccount:
    name: <service_account_name>
    1 
    
  outputs:
   - name: cw-output
    2 
    
     type: cloudwatch
    3 
    
     cloudwatch:
       groupName: 'cw-projected{.log_type||"missing"}'
    4 
    
       region: us-east-2
    5 
    
       authentication:
         type: iamRole
    6 
    
         iamRole:
           roleARN:
    7 
    
             key: role_arn
             secretName: sts-secret
           token:
    8 
    
             from: serviceAccount
  pipelines:
    - name: to-cloudwatch
      inputRefs:
    9 
    
        - infrastructure
        - audit
        - application
      outputRefs:
    10 
    
        - cw-output
    Copy to Clipboard Toggle word wrap
    1
    서비스 계정을 지정합니다.
    2
    출력 이름을 지정합니다.
    3
    cloudwatch 유형을 지정합니다.
    4
    로그 스트림의 그룹 이름을 지정합니다.
    5
    AWS 리전을 지정합니다.
    6
    STS의 인증 유형으로 iamRole 을 지정합니다.
    7
    시크릿의 이름과 role_arn 리소스가 저장된 키를 지정합니다.
    8
    인증에 사용할 서비스 계정 토큰을 지정합니다. 예상 서비스 계정 토큰을 사용하려면 serviceAccount 에서 를 사용합니다.
    9
    파이프라인을 사용하여 전달할 로그 유형 (application, infrastructure, 또는 audit)을 지정합니다.
    10
    이 파이프라인으로 로그를 전달할 때 사용할 출력 이름을 지정합니다.

1.14.4. Amazon S3 끝점으로 로그 전달
링크 복사

Red Hat OpenShift Logging Operator를 사용하여 로그를 수집하여 S3 구성된 엔드포인트로 전달할 수 있습니다.

사전 요구 사항

  • Red Hat OpenShift Logging Operator가 설치되어 있습니다.
  • 인증 정보 시크릿을 구성했습니다.
  • OpenShift Container Platform에 대한 관리자 액세스 권한이 있습니다.
  • OpenShift CLI(oc)가 설치되어 있어야 합니다.

프로세스

  1. ClusterLogForwarder CR(사용자 정의 리소스)을 생성하거나 업데이트합니다. 

    apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: <log_forwarder_name>
  namespace: openshift-logging
spec:
  serviceAccount:
    name: <service_account_name>
  outputs:
   - name: s3-output
     type: s3
     s3:
       keyPrefix: 's3{.log_type||"missing"}'
       bucket: <bucket_name>
       region: us-east-2
       authentication:
         type: iamRole
         iamRole:
           roleARN:
             key: role_arn
             secretName: sts-secret
           token:
             from: serviceAccount
  pipelines:
    - name: to-s3
      inputRefs:
        - infrastructure
        - audit
        - application
      outputRefs:
        - s3-output
    Copy to Clipboard Toggle word wrap
    • keyPrefix: 로그 오브젝트에 대한 S3 키 접두사를 정의합니다. || 로 구분되고 정적 폴백 값으로 끝나는 필드 경로로 구성된 정적 또는 동적 값을 사용할 수 있습니다.
    • bucket: 로그를 저장할 S3 버킷 이름을 지정합니다.

  2. 다음 명령을 실행하여 ClusterLogForwarder CR을 적용합니다. 

    $ oc apply -f <filename>.yaml
    Copy to Clipboard Toggle word wrap

1.14.5. AssumeRole을 사용한 계정 로그 전달
링크 복사

AWS STS(Security Token Service) AssumeRole 기능을 사용하여 외부 AWS 계정에 로그를 전달할 수 있습니다. 계정 간 로그 전달을 사용하면 보안 경계를 유지하면서 여러 AWS 계정에서 중앙 집중식 로깅이 가능합니다.

계정 간 로그 전달은 다음과 같이 작동합니다.

  1. 초기 인증: 수집기는 IAM(Identity and Access Management) 역할 또는 액세스 키를 사용하여 클러스터의 AWS 계정에 인증합니다.
  2. 역할 중단: 초기 인증 후 수집기는 대상 AWS 계정에서 역할을 가정합니다.
  3. 로그 전달: 수집기는 가정된 역할의 인증 정보를 사용하여 대상 계정의 CloudMonitor 또는 S3 버킷으로 로그를 전달합니다.

계정 간 로그 전달을 사용할 때 다음 보안 고려 사항을 고려하십시오.

  • 계정 간 역할 가정에는 외부 ID를 사용합니다.

    외부 ID는 추가 식별자 역할을 합니다.

    참고

    외부 ID는 CloudTrail 로그 및 API 응답에 표시됩니다. 따라서 이들은 비밀로 간주되지 않습니다.

    외부 ID를 생성할 때 다음 조치를 수행합니다.

    • 각 신뢰 관계에 대해 고유해야 합니다.
    • 이는 예측할 수 없으며 공개 정보를 기반으로 하지 않아야 합니다.
  • 가정된 역할에 필요한 최소 권한만 부여합니다.
  • 역할 ARM(Amazon Resource Names) 및 토큰을 포함하는 보안을 보호합니다.
  • AssumeRole 활동을 위해 CloudTrail을 모니터링합니다.

1.14.6. 계정 간 액세스를 위한 AWS IAM 구성
링크 복사

계정 간 액세스를 위해 AWS IAM(Identity Access Management)을 구성할 수 있습니다.

사전 요구 사항

  • 관리자 권한이 있습니다.
  • 대상 역할을 생성했으며 대상 역할에는 Cloudwatch 또는 S3 출력에 데이터를 보낼 수 있는 권한이 있습니다.
  • 초기 및 대상 역할에 대한 정책을 업데이트할 수 있는 권한이 있습니다.

프로세스

  1. 클러스터 계정에 초기 계정을 생성하여 필요한 권한으로 대상 역할을 가정합니다.

    초기 계정은 사용자 또는 IAM 역할일 수 있습니다. 이 계정은 대상 역할을 가정합니다. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<target-aws-account-id>:role/target-logging-role"
        }
    ]
}
    Copy to Clipboard Toggle word wrap

  2. 대상 역할에서 신뢰 정책을 생성하고 초기 클러스터 역할 및 선택적으로 외부 ID를 지정합니다. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam:::<role_or_user>/<role-name_or_user-name>"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "<your-unique-external-id>"
                }
            }
        }
    ]
}
    Copy to Clipboard Toggle word wrap

    다음과 같이 Principal.AWS 필드를 설정합니다.

    • 초기 계정이 사용자인 경우 형식을 사용합니다.

      arn:aws:iam::<aws-account-id>:user/<user-name>

    • 초기 계정이 IAM 역할인 경우 형식을 사용합니다.

      arn:aws:iam::<aws-account-id>:role/<role-name>

  3. 로그를 CloudMonitor 또는 S3 출력에 전달할지 여부에 따라 대상 역할에서 CloudWatch 또는 S3 권한을 구성합니다.

    CloudMonitor 권한

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "*"
        }
    ]
}
    Copy to Clipboard Toggle word wrap

    S3 권한

    {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "AllowRoleToPutObjects",
        "Effect": "Allow",
        "Principal": {
            "AWS": "<assumerole_arn>"
        },
        "Action": [
            "s3:PutObject",
            "s3:PutObjectAcl"
        ],
        "Resource": [
            "arn:<aws_partition>:s3:::<s3_bucket>",
            "arn:<aws_partition>:s3:::<s3_bucket>/*"
        ]
        }
    ]
}
    Copy to Clipboard Toggle word wrap

1.14.7. 계정 간 전달을 위한 ClusterLogForwarder 구성의 예
링크 복사

다음 예제에서는 CloudMonitor로 로그를 전달할 때 계정 간 AssumeRole 필드 구성을 사용하는 방법을 보여줍니다.

AssumeRole 인증을 사용하는 ClusterLogForwarder 리소스

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: cross-account-example
  namespace: openshift-logging
spec:
  serviceAccount:
    name: my-sa
  outputs:
    - name: cw-cross-account
      type: cloudwatch
      cloudwatch:
        groupName: my-logs-{.log_type||"unknown"}
        region: us-east-1
        authentication:
          type: iamRole
          iamRole:
            roleARN:
              secretName: initial-role-secret
              key: role_arn
            token:
              from: serviceAccount
          # Cross-account assume role configuration
          assumeRole:
            roleARN:
              secretName: cross-account-secret
              key: assume_role_arn
            externalID: "my-unique-id-1234"
  pipelines:
    - name: cross-account-logs
      inputRefs:
        - application
      outputRefs:
        - cw-cross-account
Copy to Clipboard Toggle word wrap

  • authentication.assumeRole.roleARN: 대상 계정에서 가정할 역할의 ARN이 포함된 보안에 대한 참조입니다.
  • authentication.assumeRole.externalID: 역할을 가정하기 위해 시행할 외부 ID가 포함된 문자열입니다. 이렇게 하면 외부 ID에 대한 지식이 있는 엔터티만 역할을 가정할 수 있도록 하여 추가 보안을 제공할 수 있습니다.

가정된 역할 세션의 세션 이름은 감사 목적으로 AWS CloudTrail 로그에서 의미 있는 ID를 제공하기 위해 Red Hat OpenShift Logging Operator에 의해 자동으로 생성됩니다. Operator는 다음과 같이 클러스터 메타데이터를 사용하여 세션 이름을 생성합니다.

  • 기본 형식: {clusterId}-{clfName}-{outputName}.
  • 대체 형식(클러스터 메타데이터를 사용할 수 없는 경우): output-{outputName}.
  • 항상 64자(AWS 요구 사항)로 잘립니다.
  • 고유성을 위해 클러스터 ID의 처음 8자를 사용합니다.

1.14.8. 교차 계정 로그 전달 문제 해결
링크 복사

다음 표에서는 계정 간 로그 전달과 문제를 해결하기 위해 수행할 수 있는 단계에 발생할 수 있는 문제에 대해 설명합니다.

Expand
표 1.3. 교차 계정 로그 전달 문제 및 해결 방법
문제문제 해결 단계

Role Assumption Fails

  • 대상 계정의 신뢰 관계를 확인합니다.
  • 신뢰 정책의 외부 ID가 'ClusterLogForwarder' 사용자 정의 리소스(CR)에서 사용된 ID와 정확히 일치하는지 확인합니다.
  • 초기 역할에 sts:AssumeRole 권한이 있는지 확인합니다.

권한 거부

  • 가정된 역할에 CloudWatch 또는 S3 권한이 있는지 확인합니다.
  • CloudMonitor 또는 s3 버킷 리소스 정책을 확인합니다.
  • 초기 및 대상 역할의 지역 구성이 일치하는지 확인합니다.

잘못된 역할 또는 사용자 ARN

  • 형식의 Amazon Resource Name(ARN) 역할이 있는지 확인합니다.

    • arn:<aws-partition>:iam::<aws-account-id>:role/<role-name>
    • arn:<aws-partition>:iam::<aws-account-id>:user/<user-name>
  • 대상 계정에 역할이 있는지 확인합니다.

1.14.9. 원하지 않는 로그 레코드를 삭제하도록 콘텐츠 필터 구성
링크 복사

모든 클러스터 로그를 수집하면 많은 양의 데이터가 생성되므로 이동 및 저장하는 데 비용이 많이 들 수 있습니다. 볼륨을 줄이기 위해 전달 전에 원하지 않는 로그 레코드를 제외하도록 드롭 필터를 구성할 수 있습니다. 로그 수집기는 필터에 대해 로그 스트림을 평가하고 지정된 조건과 일치하는 레코드를 삭제합니다.

drop 필터는 test 필드를 사용하여 로그 레코드를 평가하기 위한 하나 이상의 조건을 정의합니다. 이 필터는 다음 규칙을 적용하여 레코드를 삭제할지 여부를 확인합니다.

  • 지정된 조건이 모두 true로 평가되면 테스트가 통과됩니다.
  • 테스트가 통과하면 필터에서 로그 레코드를 삭제합니다.
  • drop 필터 구성에 여러 테스트를 정의하면 테스트 중 하나가 통과하면 필터에서 로그 레코드를 삭제합니다.
  • 예를 들어 참조된 필드가 누락된 조건을 평가하는 동안 오류가 발생하면 해당 조건이 false로 평가됩니다.

사전 요구 사항

  • Red Hat OpenShift Logging Operator가 설치되어 있습니다.
  • 관리자 권한이 있습니다.
  • ClusterLogForwarder CR(사용자 정의 리소스)을 생성했습니다.
  • OpenShift CLI(oc)가 설치되어 있습니다.

프로세스

  1. 기존 ClusterLogForwarder 구성을 추출하여 로컬 파일로 저장합니다. 

    $ oc get clusterlogforwarder <name> -n <namespace> -o yaml > <filename>.yaml
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    • < name>은 구성할 ClusterLogForwarder 인스턴스의 이름입니다.
    • <namespace >는 ClusterLogForwarder 인스턴스를 생성한 네임스페이스입니다(예: openshift-logging ).
    • <filename >은 구성을 저장하는 로컬 파일의 이름입니다.

  2. ClusterLogForwarder CR의 필터 사양에 원하지 않는 로그 레코드를 삭제하는 구성을 추가합니다.

    ClusterLogForwarder CR의 예

    apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  # ...
  filters:
  - name: drop-filter
    type: drop
    1 
    
    drop:
    2 
    
    - test:
    3 
    
      - field: .kubernetes.labels."app.version-1.2/beta"
    4 
    
        matches: .+
    5 
    
      - field: .kubernetes.pod_name
        notMatches: "my-pod"
    6 
    
  pipelines:
  - name: my-pipeline
    7 
    
    filterRefs:
    - drop-filter
  # ...
    Copy to Clipboard Toggle word wrap

    1
    필터 유형을 지정합니다. drop 필터는 필터 구성과 일치하는 로그 레코드를 삭제합니다.
    2
    drop filter에 대한 구성 옵션을 지정합니다.
    3
    필터가 로그 레코드를 삭제하는지 여부를 평가할 테스트에 대한 조건을 지정합니다.
    4
    로그 레코드에서 점으로 구분된 필드 경로를 지정합니다.
    • 각 경로 세그먼트에는 영숫자 및 밑줄, a-z,A-Z 0-9,_ .kubernetes.namespace_name 을 포함할 수 있습니다.
    • 세그먼트에 다른 문자가 포함된 경우 세그먼트는 따옴표로 묶어야 합니다(예: .kubernetes.labels."app.version-1.2/beta" ).
    • 단일 테스트 구성에 여러 필드 경로를 포함할 수 있지만 테스트가 통과하고 drop 필터를 적용하려면 모두 true로 평가되어야 합니다.
    5
    정규식을 지정합니다. 로그 레코드가 이 정규식과 일치하는 경우 해당 레코드가 삭제됩니다.
    6
    정규식을 지정합니다. 로그 레코드가 이 정규식과 일치하지 않으면 삭제됩니다.
    7
    drop 필터를 사용하는 파이프라인을 지정합니다.
    참고

    단일 필드 경로에 대해 matches 또는 notMatches 조건을 설정할 수 있지만 둘 다 설정할 수는 없습니다.

    우선순위가 높은 로그 레코드만 유지하는 구성의 예

    # ...
filters:
- name: important
  type: drop
  drop:
  - test:
    - field: .message
      notMatches: "(?i)critical|error"
    - field: .level
      matches: "info|warning"
# ...
    Copy to Clipboard Toggle word wrap

    여러 테스트가 있는 구성 예

    # ...
filters:
- name: important
  type: drop
  drop:
  - test:
    1 
    
    - field: .kubernetes.namespace_name
      matches: "openshift.*"
  - test:
    2 
    
    - field: .log_type
      matches: "application"
    - field: .kubernetes.pod_name
      notMatches: "my-pod"
# ...
    Copy to Clipboard Toggle word wrap

    1
    필터는 openshift 로 시작하는 네임스페이스가 포함된 로그를 삭제합니다.
    2
    이 필터는 Pod 이름에 my-pod 가 없는 애플리케이션 로그를 삭제합니다.

  3. 다음 명령을 실행하여 ClusterLogForwarder CR을 적용합니다. 

    $ oc apply -f <filename>.yaml
    Copy to Clipboard Toggle word wrap

1.14.10. API 감사 필터 개요
링크 복사

OpenShift API 서버는 모든 API 호출에 대한 감사 이벤트를 생성합니다. 이러한 이벤트에는 요청, 응답 및 요청자의 ID에 대한 세부 정보가 포함됩니다. 이로 인해 대량의 데이터가 발생할 수 있습니다.

API 감사 필터는 필수가 아닌 이벤트를 제외하고 이벤트 크기를 줄이기 위해 규칙을 사용하여 감사 추적을 관리하는 데 도움이 됩니다. 규칙은 순서대로 확인되며 첫 번째 일치 시에 확인 중지됩니다. 이벤트의 데이터 양은 수준 필드의 값에 따라 달라집니다.

  • 없음: 이벤트가 삭제되었습니다.
  • metadata: 이벤트에는 감사 메타데이터와 제외 요청 및 응답 본문이 포함됩니다.
  • request : 이벤트에는 감사 메타데이터와 요청 본문이 포함되어 있으며 응답 본문이 제외됩니다.
  • RequestResponse: 이벤트에는 메타데이터, 요청 본문 및 응답 본문이라는 모든 데이터가 포함됩니다. 응답 본문은 매우 커질 수 있습니다. 예를 들어 oc get pods -A 는 클러스터의 모든 포드에 대한 YAML 설명이 포함된 응답 본문을 생성합니다.
참고

사용자 로깅 배포에 Vector 수집기가 설정된 경우에만 API 감사 필터 기능을 사용할 수 있습니다.

ClusterLogForwarder CR(사용자 정의 리소스)은 표준 Kubernetes 감사 정책과 동일한 형식을 사용합니다. ClusterLogForwarder CR은 다음과 같은 추가 기능을 제공합니다.

와일드카드
사용자, 그룹, 네임스페이스 및 리소스의 이름에는 선행 또는 후행 * 별표 문자가 있을 수 있습니다. 예를 들어 openshift-\* 네임스페이스는 openshift-apiserver 또는 openshift-authentication 네임스페이스와 일치합니다. \*/status 리소스는 Pod/status 또는 Deployment/status 리소스와 일치합니다.
기본 규칙

정책의 규칙과 일치하지 않는 이벤트는 다음과 같이 필터링됩니다.

  • get,listwatch 와 같은 읽기 전용 시스템 이벤트가 삭제됩니다.
  • 서비스 계정은 서비스 계정과 동일한 네임스페이스 내에서 발생하는 이벤트를 기록합니다.
  • 기타 모든 이벤트는 구성된 속도 제한에 따라 전달됩니다.

이러한 기본값을 비활성화하려면 수준 필드만 있는 규칙으로 규칙 목록을 종료하거나 빈 규칙을 추가합니다.

응답 코드 생략
생략할 정수 상태 코드 목록입니다. 이벤트가 생성되지 않은 HTTP 상태 코드를 나열하는 OmitResponseCodes 필드를 사용하여 응답에서 HTTP 상태 코드를 기반으로 이벤트를 삭제할 수 있습니다. 기본값은 [404, 409, 422, 429] 입니다. 값이 빈 목록인 경우 [] 에서는 상태 코드가 생략되지 않습니다.

ClusterLogForwarder CR 감사 정책은 OpenShift Container Platform 감사 정책 외에도 작동합니다. ClusterLogForwarder CR 감사 필터는 로그 수집기가 전달하는 내용을 변경하고 동사, 사용자, 그룹, 네임스페이스 또는 리소스별로 필터링하는 기능을 제공합니다. 여러 필터를 생성하여 동일한 감사 스트림의 다른 요약을 다른 위치로 보낼 수 있습니다. 예를 들어 자세한 스트림을 로컬 클러스터 로그 저장소로 전송하고 덜 자세한 스트림을 원격 사이트로 보낼 수 있습니다.

중요
  • 감사 로그를 수집하려면 collect-audit-logs 클러스터 역할이 있어야 합니다.
  • 제공된 다음 예제는 감사 정책에서 가능한 규칙 범위를 설명하기 위한 것이며 권장되는 구성은 아닙니다.

감사 정책의 예

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  serviceAccount:
    name: example-service-account
  pipelines:
    - name: my-pipeline
      inputRefs:
        - audit
1 

      filterRefs:
        - my-policy
2 

      outputRefs:
        - my-output
  filters:
    - name: my-policy
      type: kubeAPIAudit
      kubeAPIAudit:
        # Don't generate audit events for all requests in RequestReceived stage.
        omitStages:
          - "RequestReceived"

        rules:
          # Log pod changes at RequestResponse level
          - level: RequestResponse
            resources:
            - group: ""
              resources: ["pods"]

          # Log "pods/log", "pods/status" at Metadata level
          - level: Metadata
            resources:
            - group: ""
              resources: ["pods/log", "pods/status"]

          # Don't log requests to a configmap called "controller-leader"
          - level: None
            resources:
            - group: ""
              resources: ["configmaps"]
              resourceNames: ["controller-leader"]

          # Don't log watch requests by the "system:kube-proxy" on endpoints or services
          - level: None
            users: ["system:kube-proxy"]
            verbs: ["watch"]
            resources:
            - group: "" # core API group
              resources: ["endpoints", "services"]

          # Don't log authenticated requests to certain non-resource URL paths.
          - level: None
            userGroups: ["system:authenticated"]
            nonResourceURLs:
            - "/api*" # Wildcard matching.
            - "/version"

          # Log the request body of configmap changes in kube-system.
          - level: Request
            resources:
            - group: "" # core API group
              resources: ["configmaps"]
            # This rule only applies to resources in the "kube-system" namespace.
            # The empty string "" can be used to select non-namespaced resources.
            namespaces: ["kube-system"]

          # Log configmap and secret changes in all other namespaces at the Metadata level.
          - level: Metadata
            resources:
            - group: "" # core API group
              resources: ["secrets", "configmaps"]

          # Log all other resources in core and extensions at the Request level.
          - level: Request
            resources:
            - group: "" # core API group
            - group: "extensions" # Version of group should NOT be included.

          # A catch-all rule to log all other requests at the Metadata level.
          - level: Metadata
Copy to Clipboard Toggle word wrap

1
수집된 로그 유형입니다. 이 필드의 값은 감사 로그, 애플리케이션 로그의 애플리케이션, 인프라 로그용 인프라 또는 애플리케이션에 정의된 이름이 지정된 입력에 대한 감사일 수 있습니다.
2
감사 정책의 이름입니다.

입력 선택기를 사용하여 라벨 표현식 또는 일치하는 라벨 키와 해당 값을 기반으로 애플리케이션 로그를 포함할 수 있습니다.

프로세스

  1. ClusterLogForwarder CR의 입력 사양에 필터 구성을 추가합니다.

    다음 예제에서는 라벨 표현식 또는 일치하는 라벨 키/값에 따라 로그를 포함하도록 ClusterLogForwarder CR을 구성하는 방법을 보여줍니다.

    ClusterLogForwarder CR의 예

    apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
# ...
spec:
  serviceAccount:
    name: <service_account_name>
  inputs:
    - name: mylogs
      application:
        selector:
          matchExpressions:
          - key: env
    1 
    
            operator: In
    2 
    
            values: ["prod", "qa"]
    3 
    
          - key: zone
            operator: NotIn
            values: ["east", "west"]
          matchLabels:
    4 
    
            app: one
            name: app1
      type: application
# ...
    Copy to Clipboard Toggle word wrap

    1
    일치시킬 레이블 키를 지정합니다.
    2
    Operator를 지정합니다. 유효한 값에는 in,NotIn,ExistsDoesNotExist 가 있습니다.
    3
    문자열 값의 배열을 지정합니다. operator 값이 Exists 또는 DoesNotExist 이면 값 배열이 비어 있어야 합니다.
    4
    정확한 키 또는 값 매핑을 지정합니다.

  2. 다음 명령을 실행하여 ClusterLogForwarder CR을 적용합니다. 

    $ oc apply -f <filename>.yaml
    Copy to Clipboard Toggle word wrap

1.14.12. 로그 레코드를 정리하도록 콘텐츠 필터 구성
링크 복사

prune 필터를 구성하면 로그 수집기는 전달 전에 필터에 대해 로그 스트림을 평가합니다. 수집기는 Pod 주석과 같은 낮은 값 필드를 제거하여 로그 레코드를 정리합니다.

사전 요구 사항

  • Red Hat OpenShift Logging Operator가 설치되어 있습니다.
  • 관리자 권한이 있습니다.
  • ClusterLogForwarder CR(사용자 정의 리소스)을 생성했습니다.
  • OpenShift CLI(oc)가 설치되어 있습니다.

프로세스

  1. 기존 ClusterLogForwarder 구성을 추출하여 로컬 파일로 저장합니다. 

    $ oc get clusterlogforwarder <name> -n <namespace> -o yaml > <filename>.yaml
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    • < name>은 구성할 ClusterLogForwarder 인스턴스의 이름입니다.
    • <namespace >는 ClusterLogForwarder 인스턴스를 생성한 네임스페이스입니다(예: openshift-logging ).
    • <filename >은 구성을 저장하는 로컬 파일의 이름입니다.

  2. ClusterLogForwarder CR의 필터 사양에 로그 레코드를 정리하는 구성을 추가합니다.

    중요

    매개 변수와 notIn 매개변수를 둘 다 지정하면 정리 중에 notIn 배열이 우선합니다. notIn 배열을 사용하여 레코드를 정리하면 in 배열을 사용하여 정리됩니다.

    ClusterLogForwarder CR의 예

    apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  serviceAccount:
    name: my-account
  filters:
  - name: prune-filter
    type: prune
    1 
    
    prune:
    2 
    
      in: [.kubernetes.annotations, .kubernetes.namespace_id]
    3 
    
      notIn: [.kubernetes,.log_type,.message,."@timestamp",.log_source]
    4 
    
  pipelines:
  - name: my-pipeline
    5 
    
    filterRefs: ["prune-filter"]
  # ...
    Copy to Clipboard Toggle word wrap

    1
    필터 유형을 지정합니다. prune 필터는 구성된 필드를 통해 로그 레코드를 정리합니다.
    2
    정리 필터에 대한 구성 옵션을 지정합니다.
    • innotIn 필드는 로그 레코드의 필드에 대한 점으로 구분된 경로의 배열입니다.
    • 각 경로 세그먼트에는 alpha-numeric 문자 및 밑줄, a-z,0-9,_ .kubernetes.namespace_name 을 포함할 수 있습니다.
    • 세그먼트에 다른 문자가 포함된 경우 세그먼트는 따옴표로 묶어야 합니다(예: .kubernetes.labels."app.version-1.2/beta" ).
    3
    선택 사항: 로그 레코드에서 제거할 필드를 지정합니다. 로그 수집기는 다른 모든 필드를 유지합니다.
    4
    선택 사항: 로그 레코드에 유지할 필드를 지정합니다. 로그 수집기는 다른 모든 필드를 제거합니다.
    5
    prune 필터가 적용되는 파이프라인을 지정합니다.
    중요
    • 필터는 로그 레코드에서 .log_type .log_source,.message 필드를 제거할 수 없습니다. 이를 notIn 필드에 포함해야 합니다.
    • GoogleCloudLogging 출력을 사용하는 경우 notIn 필드에 .hostname 을 포함해야 합니다.

  3. 다음 명령을 실행하여 ClusterLogForwarder CR을 적용합니다. 

    $ oc apply -f <filename>.yaml
    Copy to Clipboard Toggle word wrap
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat