7.6.18. 基本审计
审计提供一组安全相关的按时间排序的记录,记录各个用户、管理员或其他系统组件影响系统的一系列活动。
审计在 API 服务器级别运作,记录所有传入到服务器的请求。每个审计日志包含两个条目:
请求行中包含:
- 用于匹配响应行的唯一 ID(参见 #2)
- 请求的源 IP
- 被调用的 HTTP 方法
- 调用该操作的原始用户
-
操作的模拟用户(
self表示自己) -
操作的模拟组(
lookup表示用户的组) - 请求的命名空间或 <none>
- 请求的 URI
响应行中包括:
- #1 中的唯一 ID
- 响应代码
用户 admin 询问 pod 列表的输出示例:
AUDIT: id="5c3b8227-4af9-4322-8a71-542231c3887b" ip="127.0.0.1" method="GET" user="admin" as="<self>" asgroups="<lookup>" namespace="default" uri="/api/v1/namespaces/default/pods" AUDIT: id="5c3b8227-4af9-4322-8a71-542231c3887b" response="200"
7.6.18.1. 启用基本审计
以下流程在安装后启用基本审计。
高级审计必须在安装过程中启用。
编辑所有 master 节点上的 /etc/origin/master/master-config.yaml 文件,如下例所示:
auditConfig: auditFilePath: "/var/log/origin/audit-ocp.log" enabled: true maximumFileRetentionDays: 14 maximumFileSizeMegabytes: 500 maximumRetainedFiles: 15
重启集群中的 API pod。
# /usr/local/bin/master-restart api
要在安装过程中启用基本审计,请在清单文件中添加以下变量声明。根据情况调整值。
openshift_master_audit_config={"enabled": true, "auditFilePath": "/var/lib/origin/openpaas-oscp-audit.log", "maximumFileRetentionDays": 14, "maximumFileSizeMegabytes": 500, "maximumRetainedFiles": 5}审计配置采用以下参数:
| 参数名称 | 描述 |
|---|---|
|
|
启用或禁用审计日志的布尔值。默认为 |
|
| 请求应记录到的文件路径。如果没有设置,日志会被输出到 master 日志中。 |
|
| 根据文件名中编码的时间戳,指定用于保留旧审计日志文件的最大天数。 |
|
| 指定要保留的旧审计日志文件的最大数量。 |
|
| 在轮转日志文件前,指定日志文件的最大大小(以 MB 为单位)。默认值为 100MB。 |
Audit 配置示例
auditConfig: auditFilePath: "/var/log/origin/audit-ocp.log" enabled: true maximumFileRetentionDays: 14 maximumFileSizeMegabytes: 500 maximumRetainedFiles: 15
当您定义 auditFilePath 参数时,如果该目录不存在,则会创建该目录。
