Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

11.3. 使用自定义规则配置审计日志策略

您可以配置定义自定义规则的审计日志策略。您可以指定多个组,并定义要用于该组的配置集。

这些自定义规则优先于顶级配置集字段。自定义规则从上到下评估,第一个匹配项会被应用。

重要

如果将顶级配置集字段设置为 None,API 服务器(如 Kubernetes API 服务器)将忽略自定义规则并禁用审计日志记录。

先决条件

  • 您可以使用具有 cluster-admin 角色的用户访问集群。

流程

  1. 编辑 APIServer 资源: 

    $ oc edit apiserver cluster
    Copy to Clipboard Toggle word wrap

  2. 添加 spec.audit.customRules 字段: 

    apiVersion: config.openshift.io/v1
kind: APIServer
metadata:
...
spec:
  audit:
    customRules:
    1 
    
    - group: system:authenticated:oauth
      profile: WriteRequestBodies
    - group: system:authenticated
      profile: AllRequestBodies
    profile: Default
    2
    Copy to Clipboard Toggle word wrap
    1
    添加一个或多个组,并指定要用于该组的配置集。这些自定义规则优先于顶级配置集字段。自定义规则从上到下评估,第一个匹配项会被应用。
    2
    设置为 DefaultWriteRequestBodiesAllRequestBodies。如果您没有设置此顶级配置集字段,则默认为 Default 配置集。
  3. 保存文件以使改变生效。

验证

  • 验证是否已推出 Kubernetes API 服务器 pod 的新修订版本。所有节点更新至新修订版本可能需要几分钟时间。 

    $ oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="NodeInstallerProgressing")]}{.reason}{"\n"}{.message}{"\n"}'
    Copy to Clipboard Toggle word wrap

    查看 Kubernetes API 服务器的 NodeInstallerProgressing 状态条件,以验证所有节点是否处于最新的修订版本。在更新成功后,输出会显示 AllNodesAtLatestRevision

    AllNodesAtLatestRevision
3 nodes are at revision 12
    1
    Copy to Clipboard Toggle word wrap
    1
    在本例中,最新的修订版本号为 12

    如果输出显示的信息类似于以下消息之一,则更新仍在进行中。等待几分钟后重试。

    • 3 nodes are at revision 11; 0 nodes have achieved new revision 12
    • 2 nodes are at revision 11; 1 nodes are at revision 12
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat