10.2. 查看审计记录

集群管理员可以使用 OpenShift 审计来查看对 DataScienceCluster (DSC)和 DSCInitialization (DSCI)自定义资源的修改，来查看对 OpenShift AI Operator 配置所做的更改。标准 OpenShift 集群配置中默认启用审计日志记录。如需更多信息，请参阅 OpenShift 文档中的查看审计日志。

注意

在带有托管的 control plane (ROSA HCP)的 Red Hat OpenShift Service on Amazon Web Services 中，审计日志记录默认是禁用的，因为 Elasticsearch 日志存储不会为审计日志提供安全存储。要配置日志转发，请参阅 OpenShift 文档中的 Logging 部分。

以下示例演示了如何使用 OpenShift 审计日志查看 DSC 和 DSCI 自定义资源所做的更改历史记录。

先决条件

具有集群管理员特权。
已安装 OpenShift 命令行界面(oc)，如安装 OpenShift CLI 中所述。

流程

在一个终端窗口中，如果您还没有以集群管理员登录到 OpenShift 集群，请登录 OpenShift CLI，如下例所示：
```
$ oc login <openshift_cluster_url> -u <admin_username> -p <password>
```
要访问更改的自定义资源的完整内容，请将 OpenShift 审计日志策略设置为 WriteRequestBodies 或更全面的配置集。如需更多信息，请参阅配置审计日志策略。

获取可用于相关 control plane 节点的审计日志文件。例如：

oc adm node-logs --role=master --path=kube-apiserver/ \
  | awk '{ print $1 }' | sort -u \
  | while read node ; do
      oc adm node-logs $node --path=kube-apiserver/audit.log < /dev/null
    done \
  | grep opendatahub > /tmp/kube-apiserver-audit-opendatahub.log

在文件中搜索 DSC 和 DSCI 自定义资源。例如：

jq 'select((.objectRef.apiGroup == "dscinitialization.opendatahub.io"
                or .objectRef.apiGroup == "datasciencecluster.opendatahub.io")
              and .user.username != "system:serviceaccount:redhat-ods-operator:redhat-ods-operator-controller-manager"
              and .verb != "get" and .verb != "watch" and .verb != "list")' < /tmp/kube-apiserver-audit-opendatahub.log

验证

命令返回相关的日志条目。

提示

要配置日志保留时间，请参阅 OpenShift 文档中的 Logging 部分。

10.2. 查看审计记录

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links