5.3. 配置审计日志值
您可以使用 MicroShift 服务配置文件配置审计日志设置。
流程
-
在
/etc/microshift/目录中复制提供的config.yaml.default文件,将它重命名为config.yaml。将您创建的新 MicroShiftconfig.yaml保留在/etc/microshift/目录中。每当 MicroShift 服务启动时都会读取新的config.yaml。创建后,config.yaml文件优先于内置设置。 将 YAML 的
auditLog部分中的默认值替换为您需要的有效值。默认
auditLog配置示例apiServer: # .... auditLog: maxFileAge: 7 1 maxFileSize: 200 2 maxFiles: 1 3 profile: Default 4 # ....- 1
- 指定日志文件保留的最长时间(以天为单位)。超过这个限制的文件会被删除。在本例中,日志文件超过 7 天后,它将被删除。无论 live 日志是否已达到
maxFileSize字段中指定的最大文件大小,文件都会被删除。文件年龄由轮转日志文件名称写入的时间戳决定,例如audit-2024-05-16T17-03-59.994.log。当值为0时,会禁用限制。 - 2
- 以 MB 为单位的最大审计日志文件大小。在本例中,当实时日志达到 200 MB 限制时,该文件就会立即轮转。当值设为
0时,会禁用限制。 - 3
- 轮转审计日志文件的最大数量。达到限制后,日志文件将从最旧的到最新的顺序删除。在这个示例中,除了当前活跃的日志外,值
1只会保留 1 个大小maxFileSize的文件。当值设为0时,会禁用限制。 - 4
- 仅记录读取和写入请求的日志元数据 ;除了 OAuth 访问令牌请求外,不记录请求正文。如果没有指定此字段,则使用
Default配置集。
可选: 要为日志指定新目录,您可以停止 MicroShift,然后将
/var/log/kube-apiserver目录移到所需位置:运行以下命令来停止 MicroShift:
$ sudo systemctl stop microshift
运行以下命令,将
/var/log/kube-apiserver目录移到所需的位置:$ sudo mv /var/log/kube-apiserver <~/kube-apiserver> 1- 1
- 将 < ~/kube-apiserver > 替换为您要使用的目录的路径。
如果您为日志指定了新目录,请运行以下命令在
/var/log/kube-apiserver上创建一个指向自定义目录的符号链接:$ sudo ln -s <~/kube-apiserver> /var/log/kube-apiserver 1- 1
- 将 < ~/kube-apiserver > 替换为您要使用的目录的路径。这会在 sos 报告中启用日志集合。
如果要在正在运行的实例中配置审计日志策略,请输入以下命令重启 MicroShift:
$ sudo systemctl restart microsohift
