第 5 章 检查审计日志
您可以使用审计日志来识别 pod 安全违反情况。
5.1. 通过审计日志识别 pod 安全违反情况
您可以通过查看服务器审计日志来识别工作负载中的 pod 安全准入违反情况。以下流程演示了如何访问审计日志,并解析它们以在工作负载中查找 pod 安全准入违反情况。
先决条件
-
您已安装了
jq。 -
您可以使用具有
cluster-admin角色的用户访问集群。
流程
要检索节点名称,请运行以下命令:
$ <node_name>=$(oc get node -ojsonpath='{.items[0].metadata.name}')要查看审计日志,请运行以下命令:
$ oc adm node-logs <node_name> --path=kube-apiserver/
输出示例
rhel-92.lab.local audit-2023-08-18T18-25-41.663.log rhel-92.lab.local audit-2023-08-19T11-21-29.225.log rhel-92.lab.local audit-2023-08-20T04-16-09.622.log rhel-92.lab.local audit-2023-08-20T21-11-41.163.log rhel-92.lab.local audit-2023-08-21T14-06-10.402.log rhel-92.lab.local audit-2023-08-22T06-35-10.392.log rhel-92.lab.local audit-2023-08-22T23-26-27.667.log rhel-92.lab.local audit-2023-08-23T16-52-15.456.log rhel-92.lab.local audit-2023-08-24T07-31-55.238.log
要解析受影响的审计日志,请输入以下命令:
$ oc adm node-logs <node_name> --path=kube-apiserver/audit.log \ | jq -r 'select((.annotations["pod-security.kubernetes.io/audit-violations"] != null) and (.objectRef.resource=="pods")) | .objectRef.namespace + " " + .objectRef.name + " " + .objectRef.resource' \ | sort | uniq -c
