8.2. 配置审计日志策略
您可以配置审计日志策略,使其在记录 API 服务器的请求时使用。
先决条件
-
您可以使用具有
cluster-admin角色的用户访问集群。
流程
编辑
APIServer资源:$ oc edit apiserver cluster
更新
spec.audit.profile字段:apiVersion: config.openshift.io/v1 kind: APIServer metadata: ... spec: audit: profile: WriteRequestBodies 1- 1
- 设置为
Default、WriteRequestBodies或AllRequestBodies。默认配置集为Default。
- 保存文件以使改变生效。
验证是否已推出 Kubernetes API 服务器 pod 的新修订版本。这需要几分钟时间。
$ oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="NodeInstallerProgressing")]}{.reason}{"\n"}{.message}{"\n"}'查看 Kubernetes API 服务器的
NodeInstallerProgressing状态条件,以验证所有节点是否处于最新的修订版本。在更新成功后,输出会显示AllNodesAtLatestRevision:AllNodesAtLatestRevision 3 nodes are at revision 12 1- 1
- 在本例中,最新的修订版本号为
12。
如果输出显示的信息类似如下,这意味着更新仍在进行中。等待几分钟后重试。
-
3 nodes are at revision 11; 0 nodes have achieved new revision 12 -
2 nodes are at revision 11; 1 nodes are at revision 12
