1.4. Logging 5.4
日志记录作为一个可安装的组件提供,它有一个不同于 OpenShift Container Platform 的发布周期。Red Hat OpenShift Container Platform 生命周期政策概述了发行版本兼容性。
1.4.1. Logging 5.4.14
此发行版本包括 OpenShift Logging 程序错误修复 5.4.14。
1.4.1.1. 程序错误修复
无。
1.4.1.2. CVE
1.4.2. Logging 5.4.13
此发行版本包括 OpenShift Logging 程序错误修复 5.4.13。
1.4.2.1. 程序错误修复
-
在此次更新之前,Fluentd 收集器的问题会导致它不会捕获存储在
/var/log/auth-server/audit.log
中的 OAuth 登录事件。这会导致 OAuth 服务中的登录事件集合不完整。在这个版本中,Fluentd 收集器通过从 OAuth 服务捕获所有登录事件来解决这个问题,包括存储在/var/log/auth-server/audit.log
中的登录事件。(LOG-3731)
1.4.2.2. CVE
1.4.3. Logging 5.4.12
此发行版本包括 OpenShift Logging 程序错误修复 5.4.12。
1.4.3.1. 程序错误修复
无。
1.4.3.2. CVE
1.4.4. Logging 5.4.11
此发行版本包括 OpenShift Logging 程序错误修复 5.4.11。
1.4.4.1. 程序错误修复
1.4.4.2. CVE
1.4.5. Logging 5.4.10
此发行版本包括 OpenShift Logging 程序错误修复 5.4.10。
1.4.5.1. 程序错误修复
无。
1.4.5.2. CVE
1.4.6. 日志记录 5.4.9
此发行版本包括 OpenShift Logging 程序错误修复 5.4.9。
1.4.6.1. 程序错误修复
1.4.6.2. CVE
- CVE-2016-3709
- CVE-2020-35525
- CVE-2020-35527
- CVE-2020-36516
- CVE-2020-36558
- CVE-2021-3640
- CVE-2021-30002
- CVE-2022-0168
- CVE-2022-0561
- CVE-2022-0562
- CVE-2022-0617
- CVE-2022-0854
- CVE-2022-0865
- CVE-2022-0891
- CVE-2022-0908
- CVE-2022-0909
- CVE-2022-0924
- CVE-2022-1016
- CVE-2022-1048
- CVE-2022-1055
- CVE-2022-1184
- CVE-2022-1292
- CVE-2022-1304
- CVE-2022-1355
- CVE-2022-1586
- CVE-2022-1785
- CVE-2022-1852
- CVE-2022-1897
- CVE-2022-1927
- CVE-2022-2068
- CVE-2022-2078
- CVE-2022-2097
- CVE-2022-2509
- CVE-2022-2586
- CVE-2022-2639
- CVE-2022-2938
- CVE-2022-3515
- CVE-2022-20368
- CVE-2022-21499
- CVE-2022-21618
- CVE-2022-21619
- CVE-2022-21624
- CVE-2022-21626
- CVE-2022-21628
- CVE-2022-22624
- CVE-2022-22628
- CVE-2022-22629
- CVE-2022-22662
- CVE-2022-22844
- CVE-2022-23960
- CVE-2022-24448
- CVE-2022-25255
- CVE-2022-26373
- CVE-2022-26700
- CVE-2022-26709
- CVE-2022-26710
- CVE-2022-26716
- CVE-2022-26717
- CVE-2022-26719
- CVE-2022-27404
- CVE-2022-27405
- CVE-2022-27406
- CVE-2022-27950
- CVE-2022-28390
- CVE-2022-28893
- CVE-2022-29581
- CVE-2022-30293
- CVE-2022-34903
- CVE-2022-36946
- CVE-2022-37434
- CVE-2022-39399
1.4.7. 日志记录 5.4.8
此发行版本包括 RHSA-2022:7435-OpenShift Logging 程序错误修复 5.4.8。
1.4.7.1. 程序错误修复
无。
1.4.7.2. CVE
- CVE-2016-3709
- CVE-2020-35525
- CVE-2020-35527
- CVE-2020-36518
- CVE-2022-1304
- CVE-2022-2509
- CVE-2022-3515
- CVE-2022-22624
- CVE-2022-22628
- CVE-2022-22629
- CVE-2022-22662
- CVE-2022-26700
- CVE-2022-26709
- CVE-2022-26710
- CVE-2022-26716
- CVE-2022-26717
- CVE-2022-26719
- CVE-2022-30293
- CVE-2022-32149
- CVE-2022-37434
- CVE-2022-40674
- CVE-2022-42003
- CVE-2022-42004
1.4.8. 日志记录 5.4.6
此发行版本包括 OpenShift Logging 程序错误修复 5.4.6。
1.4.8.1. 程序错误修复
- 在此次更新之前,Fluentd 有时无法识别 Kubernetes 平台轮转日志文件,且不会读取日志消息。在这个版本中,通过设置上游开发团队所推荐的配置参数修正。(LOG-2792)
-
在此次更新之前,当
ClusterLogForwarder
自定义资源定义了 JSON 解析时,每个 rollover 任务都会创建空索引。在这个版本中,新的索引不为空。(LOG-2823) - 在此次更新之前,如果您删除了 Kibana 自定义资源,OpenShift Container Platform Web 控制台将继续显示到 Kibana 的链接。在这个版本中,删除 Kibana 自定义资源也会删除该链接。(LOG-3054)
1.4.8.2. CVE
1.4.9. 日志记录 5.4.5
此发行版本包括 RHSA-2022:6183-OpenShift Logging Bug Fix 5.4.5。
1.4.9.1. 程序错误修复
- 在此次更新之前,Operator 无法确保 pod 就绪,这会导致集群在集群重启过程中达到可操作的状态。在这个版本中,Operator 会在重启过程中进入新 pod 前将新 pod 标记为 ready,这会解决这个问题。(LOG-2881)
- 在此次更新之前,添加多行错误检测会导致内部路由更改并将记录转发到错误的目的地。在这个版本中,内部路由正确。(LOG-2946)
- 在此次更新之前,Operator 无法使用带引号的布尔值值解码索引设置 JSON 响应,并导致错误。在这个版本中,Operator 可以正确解码这个 JSON 响应。(LOG-3009)
- 在此次更新之前,Elasticsearch 索引模板定义了带有错误类型的标签的字段。这会更新这些模板以匹配日志收集器所转发的预期类型。(LOG-2972)
1.4.9.2. CVE
1.4.10. Logging 5.4.4
此发行版本包括 RHBA-2022:5907-OpenShift Logging Bug Fix 5.4.4。
1.4.10.1. 程序错误修复
- 在此次更新之前,非拉丁字符在 Elasticsearch 中无法正确显示。在这个版本中,Elasticsearch 可以正确显示所有有效的 UTF-8 符号。(LOG-2794)
- 在此次更新之前,非拉丁字符在 Fluentd 中无法正确显示。在这个版本中,Fluentd 可以正确地显示所有有效的 UTF-8 字符。(LOG-2657)
- 在此次更新之前,收集器的指标服务器尝试使用通过环境值公开的值绑定到地址。在这个更改中,将配置修改为绑定到任何可用接口。(LOG-2821)
-
在此次更新之前,
cluster-logging
Operator 依赖于集群来创建 secret。OpenShift Container Platform 4.11 中更改了集群行为,这会导致日志记录部署失败。在这个版本中,cluster-logging
Operator 会根据需要创建 secret 来解决这个问题。(LOG-2840)
1.4.10.2. CVE
1.4.11. Logging 5.4.3
此发行版本包括 RHSA-2022:5556-OpenShift Logging Bug Fix 5.4.3。
1.4.11.1. Elasticsearch Operator 弃用通知
在日志记录 5.4.3 中,Elasticsearch Operator 已被弃用,计划在以后的发行版本中删除。红帽将在当前发行生命周期中提供对这个功能的程序漏洞修复和支持,但这个功能将不再获得改进,并将被删除。作为使用 Elasticsearch Operator 管理默认日志存储的替代选择,您可以使用 Loki Operator。
1.4.11.2. 程序错误修复
- 在此次更新之前,OpenShift Logging 仪表板会显示活跃主分片的数量,而不是所有活跃分片。在这个版本中,仪表板显示所有活跃分片。(LOG-2781)
-
在此次更新之前,
elasticsearch-operator
使用的库中的有一个程序错误,它包含一个拒绝服务攻击的安全漏洞。在这个版本中,库已更新至不包含此漏洞的版本。(LOG-2816) - 在此次更新之前,当将 Vector 配置为将日志转发到 Loki 时,无法设置自定义 bearer 令牌,如果 Loki 启用了 TLS,则无法使用默认的令牌。在这个版本中,Vector 可以使用启用了 TLS 的令牌将日志转发到 Loki。(LOG-2786
-
在此次更新之前,Elasticure Operator 在选择
oauth-proxy
镜像时省略ImageStream
自定义资源的referencePolicy
属性。这导致 Kibana 部署在特定环境中失败。在这个版本中,使用referencePolicy
解决了这个问题,Operator 可以成功部署 Kibana。(LOG-2791) -
在此次更新之前,
ClusterLogForwarder
自定义资源的警报规则不会考虑多个转发输出。这个版本解决了这个问题。(LOG-2640) - 在此次更新之前,配置为将日志转发到 Amazon CloudWatch 的集群会将拒绝的日志文件写入到临时存储,从而导致集群变得不稳定。在这个版本中,CloudWatch 的块备份已被禁用,从而解决了这个问题。(LOG-2768)
1.4.11.3. CVE
1.4.12. Logging 5.4.2
此发行版本包括 RHBA-2022:4874-OpenShift Logging Bug Fix 5.4.2
1.4.12.1. 程序错误修复
1.4.12.2. CVE
例 1.2. 点击以展开 CVE
- CVE-2018-25032
- CVE-2020-0404
- CVE-2020-4788
- CVE-2020-13974
- CVE-2020-19131
- CVE-2020-27820
- CVE-2021-0941
- CVE-2021-3612
- CVE-2021-3634
- CVE-2021-3669
- CVE-2021-3737
- CVE-2021-3743
- CVE-2021-3744
- CVE-2021-3752
- CVE-2021-3759
- CVE-2021-3764
- CVE-2021-3772
- CVE-2021-3773
- CVE-2021-4002
- CVE-2021-4037
- CVE-2021-4083
- CVE-2021-4157
- CVE-2021-4189
- CVE-2021-4197
- CVE-2021-4203
- CVE-2021-20322
- CVE-2021-21781
- CVE-2021-23222
- CVE-2021-26401
- CVE-2021-29154
- CVE-2021-37159
- CVE-2021-41617
- CVE-2021-41864
- CVE-2021-42739
- CVE-2021-43056
- CVE-2021-43389
- CVE-2021-43976
- CVE-2021-44733
- CVE-2021-45485
- CVE-2021-45486
- CVE-2022-0001
- CVE-2022-0002
- CVE-2022-0286
- CVE-2022-0322
- CVE-2022-1011
- CVE-2022-1271
1.4.13. Logging 5.4.1
此发行版本包括 RHSA-2022:2216-OpenShift Logging 程序错误修复 5.4.1。
1.4.13.1. 程序错误修复
-
在此次更新之前,日志文件指标 exporter 仅报告在导出器运行期间创建的日志,从而造成日志增长数据不准确。此次更新通过监控
/var/log/pods
解决了这个问题。(LOG-2442) -
在此次更新之前,收集器会被阻断,因为它在将日志转发到 fluentd 转发接收器时不断尝试使用过时的连接。在这个版本中,
keepalive_timeout
值被设置为 30 秒(30s
),以便收集器回收连接并重新尝试在合理的时间内发送失败消息。(LOG-2534) - 在此次更新之前,网关组件强制租期中的错误,用于读取带有 Kubernetes 命名空间的日志的有限访问会导致 "audit" 以及一些 "infrastructure" 日志不可读取。在这个版本中,代理可以正确地检测到具有 admin 访问权限的用户,并允许在没有命名空间的情况下访问日志。(LOG-2448)
-
在此次更新之前,
system:serviceaccount:openshift-monitoring:prometheus-k8s
服务帐户将集群级别权限作为clusterrole
和clusterrolebinding
。在这个版本中,服务帐户使用角色和 rolebinding 限制到openshift-logging
命名空间。(LOG-2437) - 在此次更新之前,Linux 审计日志时间解析依赖于键/值对的正序位置。此更新会将解析更改为使用正则表达式来查找时间条目。(LOG-2321)
1.4.13.2. CVE
1.4.14. Logging 5.4
以下公告可用于日志记录 5.4 :{logging-title-uc} 版本 5.4
1.4.14.1. 技术预览
OpenShift Container Platform 中提供了以下功能。
1.4.14.1.1. Vector 收集器
Vector 是一个日志收集器,作为日志记录的当前默认收集器的技术预览替代。
Vector 收集器支持以下输出:
-
elasticsearch
.一个外部 Elasticsearch 实例。elasticsearch
输出可以使用 TLS 连接。 -
kafka
.Kafka 代理。kafka
输出可以使用不安全的或 TLS 连接。 -
loki
。Loki,一个可横向扩展的、高可用性、多租户日志聚合系统。
向量不支持 FIPS 启用集群。
默认不启用向量。要在 OpenShift Container Platform 集群上启用向量,您必须将 logging.openshift.io/preview-vector-collector: enabled
注解添加到 ClusterLogging
自定义资源(CR)中,并将 vector
添加为集合类型:
ClusterLogging CR 示例
apiVersion: "logging.openshift.io/v1" kind: "ClusterLogging" metadata: name: "instance" namespace: "openshift-logging" annotations: logging.openshift.io/preview-vector-collector: enabled spec: collection: logs: type: "vector" vector: {}
1.4.14.1.2. Loki 日志存储
Loki 是一个可横向扩展的、高度可用且多租户的日志聚合系统,目前作为日志记录的日志存储提供。有关安装 Loki 的更多信息,请参阅 "Logging using LokiStack" 文档。
1.4.14.2. 程序错误修复
-
在此次更新之前,
cluster-logging-operator
使用集群范围的角色和绑定来建立 Prometheus 服务帐户的权限,以提取指标。这些权限在使用控制台界面部署 Operator 时创建,但在从命令行部署时缺失。在这个版本中,通过使角色和绑定命名空间范围解决了这个问题。(LOG-2286) -
在此次更新之前,修复仪表板协调在命名空间间引入一个
ownerReferences
字段。因此,在命名空间中不会创建配置映射和仪表板。在这个版本中,删除了ownerReferences
字段可以解决这个问题,OpenShift Logging 仪表板在控制台中可用。(LOG-2163) -
在此次更新之前,对指标仪表板的更改不会部署,因为
cluster-logging-operator
无法正确比较包含仪表板的现有和修改后的配置映射。在这个版本中,为对象标签添加唯一的散列值可解决这个问题。(LOG-2071) - 在此次更新之前,OpenShift Logging 仪表板没有正确显示表中的 pod 和命名空间,这会显示在最后 24 小时收集的生成容器。在这个版本中,pod 和命名空间会被正确显示。(LOG-2069)
-
在此次更新之前,当
ClusterLogForwarder
设置为Elasticsearch OutputDefault
且 Elasticsearch 输出没有结构化键时,生成的配置包含身份验证的错误值。在这个版本中,修正了使用的 secret 和证书。(LOG-2056) - 在此次更新之前,OpenShift Logging 仪表板会显示一个空的 CPU 图形,因为引用无效指标。在这个版本中,选择了正确的数据点来解决此问题。(LOG-2026)
- 在此次更新之前,Fluentd 容器镜像包含在运行时不需要的构建程序工具。这个版本从镜像中删除这些工具。(LOG-1927)
-
在此次更新之前,在 5.3 版本中部署的收集器的名称更改会导致日志记录收集器生成
FluentdNodeDown
警报。在这个版本中,修复 Prometheus 警报的作业名称解决了这个问题。(LOG-1918) - 在此次更新之前,日志收集器因为重构组件名称更改而收集自己的日志。这可能会导致收集器处理自己的日志的潜在反馈循环,这可能会导致内存和日志消息大小问题。在这个版本中解决了这个问题,它会从集合中排除收集器日志。(LOG-1774)
-
在此次更新之前,Elasticsearch 会生成错误
Unable to create PersistentVolumeClaim due to forbidden: exceeded quota: infra-storage-quota.
(如果 PVC 已存在)。在这个版本中,Elasticsearch 会检查现有的 PVC,从而解决了这个问题。(LOG-2131) -
在此次更新之前,当
elasticsearch-signing
secret 被删除时,Elasticsearch 无法返回 ready 状态。在这个版本中,Elasticsearch 能够在删除该 secret 后返回 ready 状态。(LOG-2171) - 在此次更新之前,收集器读取容器日志的路径的更改会导致收集器将一些记录转发到错误的索引。在这个版本中,收集器使用正确的配置来解决这个问题。(LOG-2160)
- 在此次更新之前,带有大量命名空间的集群会导致 Elasticsearch 停止服务请求,因为命名空间列表达到最大标头大小限制。在这个版本中,标头只包括命名空间名称列表,从而解决了这个问题。(LOG-1899)
- 在此次更新之前,OpenShift Container Platform Logging 仪表板显示分片"x"数量大于 Elasticsearch 具有 'x' 节点时的实际值。出现这个问题的原因是,它会输出每个 Elasticsearch pod 的所有主分片,并计算出整个 Elasticsearch 集群的总和。在这个版本中,分片数量会被正确计算。(LOG-2156)
-
在此次更新之前,如果 secret
kibana
和kibana-proxy
被删除,则不会重新创建它们。在这个版本中,elasticsearch-operator
会监视资源,并在删除时自动重新创建这些资源。(LOG-2250) - 在此次更新之前,调整缓冲区块大小可能会导致收集器生成超过事件流字节限制的块大小警告。在这个版本中,您还可以调整读行限制,并解决问题。(LOG-2379)
- 在此次更新之前,OpenShift WebConsole 中的日志记录控制台链接不会被 ClusterLogging CR 删除。在这个版本中,删除 CR 或卸载 Cluster Logging Operator 会删除链接。(LOG-2373)
- 在此次更新之前,对容器日志路径的更改会导致集合指标始终为零,且使用原始路径配置旧版本。在这个版本中,插件会公开有关收集日志的指标,支持从任一路径中读取来解决这个问题。(LOG-2462)