9.3. 使用自定义规则配置审计日志策略
您可以配置定义自定义规则的审计日志策略。您可以指定多个组,并定义要用于该组的配置集。
这些自定义规则优先于顶级配置集字段。自定义规则从上到下评估,第一个匹配项会被应用。
重要
如果顶级配置集字段设为 None,则忽略自定义规则。
先决条件
-
您可以使用具有
cluster-admin角色的用户访问集群。
流程
编辑
APIServer资源:$ oc edit apiserver cluster
添加
spec.audit.customRules字段:apiVersion: config.openshift.io/v1 kind: APIServer metadata: ... spec: audit: customRules: 1 - group: system:authenticated:oauth profile: WriteRequestBodies - group: system:authenticated profile: AllRequestBodies profile: Default 2警告如果要使用自定义规则,请不要将顶级配置集字段设置为
None。如果顶级配置集字段设为None,则忽略自定义规则。- 保存文件以使改变生效。
验证
验证是否已推出 Kubernetes API 服务器 pod 的新修订版本。所有节点更新至新修订版本可能需要几分钟时间。
$ oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="NodeInstallerProgressing")]}{.reason}{"\n"}{.message}{"\n"}'查看 Kubernetes API 服务器的
NodeInstallerProgressing状态条件,以验证所有节点是否处于最新的修订版本。在更新成功后,输出会显示AllNodesAtLatestRevision:AllNodesAtLatestRevision 3 nodes are at revision 12 1- 1
- 在本例中,最新的修订版本号为
12。
如果输出显示的信息类似于以下消息之一,则更新仍在进行中。等待几分钟后重试。
-
3 nodes are at revision 11; 0 nodes have achieved new revision 12 -
2 nodes are at revision 11; 1 nodes are at revision 12
