第 14 章 配置审计日志记录
Red Hat Advanced Cluster Security for Kubernetes 提供了审计日志记录功能,可用于检查 Red Hat Advanced Cluster Security for Kubernetes 中所做的所有更改。审计日志捕获所有 PUT
和 POST
事件,这些事件会修改 Red Hat Advanced Cluster Security for Kubernetes。使用此信息对问题进行故障排除或记录重要事件,如对角色和权限的更改。使用审计日志记录时,您可以了解 Red Hat Advanced Cluster Security for Kubernetes 上发生的所有正常和异常事件。
注意
默认情况下不启用审计日志记录。您必须手动启用审计日志记录。
警告
目前,没有消息发送保证用于审计日志消息。
14.1. 启用审计日志记录
当您启用审计日志记录时,每次有修改时,Red Hat Advanced Cluster Security for Kubernetes 会向配置的系统发送 HTTP POST 信息(JSON 格式)。
前提条件
- 配置 Splunk 或其他 webhook 接收器来处理 Red Hat Advanced Cluster Security for Kubernetes 日志消息。
-
您必须在角色的 Notifiers 资源上启用
写入权限
。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 向下滚动到 Notifier Integrations 部分,然后选择 Generic Webhook 或 Splunk。
- 填写所需信息,再打开 Enable Audit Logging 切换开关。