第 11 章配置审计日志策略

您可以通过选择要使用的审计日志策略配置集来控制记录到 API 服务器审计日志的信息量。

11.1. 关于审计日志策略配置集

审计日志配置集定义如何记录发送到 OpenShift API 服务器、Kubernetes API 服务器、OpenShift OAuth API 服务器和 OpenShift OAuth 服务器的请求。

OpenShift Container Platform 提供以下预定义的审计策略配置集：

配置集	描述
`default`	仅记录读取和写入请求的日志元数据；除了 OAuth 访问令牌请求外，不记录请求正文。这是默认策略。
`WriteRequestBodies`	除了记录所有请求的元数据外，还会记录对 API 服务器的写入请求(`create`, `update`, `patch`, `delete`, `deletecollection`)。这个配置集的资源开销比 `Default` 配置集大。^[1]
`AllRequestBodies`	除了记录所有请求的元数据外，对 API 服务器的每个读写请求（`get`、`list`、`create`、`update`、`patch`）都进行日志记录。这个配置集的资源开销最大。^[1]
`None`	没有记录请求，包括 OAuth 访问令牌请求和 OAuth 授权令牌请求。当设置此配置集时，会忽略自定义规则。警告除非完全了解在对问题进行故障排除时无法记录数据的风险，否则不要使用 `None` 配置集禁用审计日志记录。如果禁用审计日志记录且出现支持情况，您可能需要启用审计日志记录并重现问题，才能正确排除故障。

敏感资源（如 Secret、Route 和 OAuthClient 对象）仅记录在元数据级别上。OpenShift OAuth 服务器事件仅记录在元数据级别上。

默认情况下，OpenShift Container Platform 使用 Default 审计日志配置集。您可以使用另一个审计策略配置集来记录请求的具体数据，但注意这会消耗更多资源（如 CPU、内存和 I/O）。