红帽全球峰会9.2. 查看审计记录
集群管理员可以使用 OpenShift 审计来查看对 DataScienceCluster (DSC)和 DSCInitialization (DSCI)自定义资源的修改,来查看对 OpenShift AI Operator 配置所做的更改。标准 OpenShift 集群配置中默认启用审计日志记录。如需更多信息,请参阅 OpenShift 文档中的 查看审计日志。
以下示例演示了如何使用 OpenShift 审计日志查看 DSC 和 DSCI 自定义资源所做的更改历史记录。
先决条件
- 有 OpenShift 集群的集群管理员特权。
-
已安装 OpenShift 命令行界面(
oc),如 安装 OpenShift CLI 中所述。
流程
在一个终端窗口中,如果您还没有以集群管理员登录到 OpenShift 集群,请登录 OpenShift CLI,如下例所示:
$ oc login <openshift_cluster_url> -u <admin_username> -p <password>
-
要访问更改的自定义资源的完整内容,请将 OpenShift 审计日志策略设置为
WriteRequestBodies或更全面的配置集。如需更多信息,请参阅关于审计日志策略配置集。 获取可用于相关 control plane 节点的审计日志文件。例如:
oc adm node-logs --role=master --path=kube-apiserver/ \ | awk '{ print $1 }' | sort -u \ | while read node ; do oc adm node-logs $node --path=kube-apiserver/audit.log < /dev/null done \ | grep opendatahub > /tmp/kube-apiserver-audit-opendatahub.log在文件中搜索 DSC 和 DSCI 自定义资源。例如:
jq 'select((.objectRef.apiGroup == "dscinitialization.opendatahub.io" or .objectRef.apiGroup == "datasciencecluster.opendatahub.io") and .user.username != "system:serviceaccount:redhat-ods-operator:redhat-ods-operator-controller-manager" and .verb != "get" and .verb != "watch" and .verb != "list")' < /tmp/kube-apiserver-audit-opendatahub.log
验证
- 命令返回相关的日志条目。
提示
要配置日志保留时间,请参阅 OpenShift 文档中的 Logging 部分。
