第 8 章配置审计日志策略

您可以通过选择要使用的审计日志策略配置集来控制记录到 API 服务器审计日志的信息量。

8.1. 关于审计日志策略配置集

审计日志配置集定义了如何记录 OpenShift API 服务器、Kubernetes API 服务器和 OAuth API 服务器的请求。

OpenShift Container Platform 提供以下预定义的审计策略配置集：

配置集	描述
`默认`	仅用于读取和写入请求的日志元数据；除了 OAuth 访问令牌创建（login）请求外，不记录请求正文。这是默认策略。
`WriteRequestBodies`	除了记录所有请求的元数据外，同时记录对 API 服务器的写入请求（`create`、`update`、`patch`）的具体数据（body）。这个配置集的资源开销比 `Default` 配置集大。^[1]
`AllRequestBodies`	除了记录所有请求的元数据外，对 API 服务器的每个读写请求（`get`、`list`、`create`、`update`、`patch`）都进行日志记录。这个配置集的资源开销最大。^[1]

敏感资源，如 Secret、Route 和 OAuthClient 对象，永远不会记录在元数据级别上。如果您的集群是从 OpenShift Container Platform 4.5 升级的，则 OAuth 令牌不会被记录，因为它们的对象名称可能包含保密信息。

默认情况下，OpenShift Container Platform 使用 Default 审计日志配置集。您可以使用另一个审计策略配置集来记录请求的具体数据，但注意这会消耗更多资源（CPU、内存和 I/O）。