7.6.18. 基本审计


审计提供一组安全相关的按时间排序的记录,记录各个用户、管理员或其他系统组件影响系统的一系列活动。

审计在 API 服务器级别运作,记录所有传入到服务器的请求。每个审计日志包含两个条目:

  1. 请求行中包含:

    1. 用于匹配响应行的唯一 ID(参见 #2)
    2. 请求的源 IP
    3. 被调用的 HTTP 方法
    4. 调用该操作的原始用户
    5. 操作的模拟用户(self 表示自己)
    6. 操作的模拟组(lookup 表示用户的组)
    7. 请求的命名空间或 <none>
    8. 请求的 URI
  2. 响应行中包括:

    1. #1 中的唯一 ID
    2. 响应代码

用户 admin 询问 pod 列表的输出示例:

AUDIT: id="5c3b8227-4af9-4322-8a71-542231c3887b" ip="127.0.0.1" method="GET" user="admin" as="<self>" asgroups="<lookup>" namespace="default" uri="/api/v1/namespaces/default/pods"
AUDIT: id="5c3b8227-4af9-4322-8a71-542231c3887b" response="200"

7.6.18.1. 启用基本审计

以下流程在安装后启用基本审计。

注意

高级审计必须在安装过程中启用。

  1. 编辑所有 master 节点上的 /etc/origin/master/master-config.yaml 文件,如下例所示:

    auditConfig:
      auditFilePath: "/var/log/origin/audit-ocp.log"
      enabled: true
      maximumFileRetentionDays: 14
      maximumFileSizeMegabytes: 500
      maximumRetainedFiles: 15
  2. 重启集群中的 API pod。

    # /usr/local/bin/master-restart api

要在安装过程中启用基本审计,请在清单文件中添加以下变量声明。根据情况调整值。

openshift_master_audit_config={"enabled": true, "auditFilePath": "/var/lib/origin/openpaas-oscp-audit.log", "maximumFileRetentionDays": 14, "maximumFileSizeMegabytes": 500, "maximumRetainedFiles": 5}

审计配置采用以下参数:

表 7.18. Audit 配置参数
参数名称描述

enabled

启用或禁用审计日志的布尔值。默认为 false

auditFilePath

请求应记录到的文件路径。如果没有设置,日志会被输出到 master 日志中。

maximumFileRetentionDays

根据文件名中编码的时间戳,指定用于保留旧审计日志文件的最大天数。

maximumRetainedFiles

指定要保留的旧审计日志文件的最大数量。

maximumFileSizeMegabytes

在轮转日志文件前,指定日志文件的最大大小(以 MB 为单位)。默认值为 100MB。

Audit 配置示例

auditConfig:
  auditFilePath: "/var/log/origin/audit-ocp.log"
  enabled: true
  maximumFileRetentionDays: 14
  maximumFileSizeMegabytes: 500
  maximumRetainedFiles: 15

当您定义 auditFilePath 参数时,如果该目录不存在,则会创建该目录。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.