第 4 章 网络安全的审计日志记录
OVN-Kubernetes 网络插件使用 Open Virtual Network (OVN) 访问控制列表 (ACL) 来管理 AdminNetworkPolicy、BaselineAdminNetworkPolicy、NetworkPolicy 和 EgressFirewall 对象。审计日志记录会公开 NetworkPolicy、EgressFirewall 和 BaselineAdminNetworkPolicy 自定义资源(CR)的 Allow 和 Deny ACL 事件。日志记录还公开 AdminNetworkPolicy (ANP) CR 的 允许、Deny 和 Pass ACL 事件。
审计日志记录仅适用于 OVN-Kubernetes 网络插件。
4.1. 审计配置 复制链接链接已复制到粘贴板!
OpenShift Container Platform 中的审计日志记录配置在 OVN-Kubernetes 的集群网络自定义资源的 policyAuditConfig 部分中定义。您可以在启用日志记录前查看这些默认设置以计划日志目的地、文件大小限值和速率限值。
以下 YAML 演示了审计日志的默认值:
审计日志记录配置
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
name: cluster
spec:
defaultNetwork:
ovnKubernetesConfig:
policyAuditConfig:
destination: "null"
maxFileSize: 50
rateLimit: 20
syslogFacility: local0
下表描述了审计日志的配置字段。
| 字段 | 类型 | 描述 |
|---|---|---|
|
| 整数 |
每个节点每秒生成一次的消息数量上限。默认值为每秒 |
|
| 整数 |
审计日志的最大大小,以字节为单位。默认值为 |
|
| 整数 | 保留的日志文件的最大数量。 |
|
| 字符串 | 以下附加审计日志目标之一:
|
|
| 字符串 |
syslog 工具,如 as |