6.3. 配置审计日志值
您可以使用 MicroShift 服务配置文件配置审计日志设置。
流程
-
在
/etc/microshift/目录中生成提供的config.yaml.default文件的副本,将它重命名为config.yaml。在/etc/microshift/目录中保留您创建的新的 MicroShiftconfig.yaml。每当 MicroShift 服务启动时,会读取新的config.yaml。创建后,config.yaml文件优先于内置设置。 将 YAML 的
auditLog部分中的默认值替换为您所需的有效值。默认
auditLog配置示例apiServer: # .... auditLog: maxFileAge: 7 1 maxFileSize: 200 2 maxFiles: 1 3 profile: Default 4 # ....- 1
- 指定日志文件要保留的最大时间(以天为单位)。超过这个限制的文件会被删除。在本例中,日志文件超过 7 天后,将被删除。无论实时日志是否达到
maxFileSize字段中指定的最大文件大小,都会删除这些文件。文件年龄由使用轮转日志文件名称写入的时间戳决定,例如audit-2024-05-16T17-03-59.994.log。当值为0时,会禁用限制。 - 2
- 最大审计日志文件大小(以 MB 为单位)。在本例中,文件会在实时日志达到 200 MB 限制时进行轮转。当值设为
0时,会禁用限制。 - 3
- 保留的最大轮转审计日志文件数。达到限制后,日志文件将从最旧的到最新的顺序删除。在本例中,除了当前活跃日志外,值
1会导致只保留 1 个 sizemaxFileSize的文件。当值设为0时,会禁用限制。 - 4
- 仅记录读取和写入请求的日志元数据 ;除了 OAuth 访问令牌请求外,不记录请求正文。如果没有指定此字段,则使用
Default配置集。
可选: 要为日志指定新目录,您可以停止 MicroShift,然后将
/var/log/kube-apiserver目录移到所需的位置:运行以下命令来停止 MicroShift:
$ sudo systemctl stop microshift
运行以下命令,将
/var/log/kube-apiserver目录移到所需位置:$ sudo mv /var/log/kube-apiserver <~/kube-apiserver> 1
- 1
- 将 <
~/kube-apiserver> 替换为您要使用的目录的路径。
如果为日志指定新目录,请运行以下命令到位于
/var/log/kube-apiserver的自定义目录:$ sudo ln -s <~/kube-apiserver> /var/log/kube-apiserver 1
- 1
- 将 <
~/kube-apiserver> 替换为您要使用的目录的路径。这启用了 sos 报告中的日志集合。
如果要在运行的实例上配置审计日志策略,请输入以下命令重启 MicroShift:
$ sudo systemctl restart microshift
