我正在检查我的rke安装:
https://docs.rke2.io/security/cis_self_assessment123 # 1219
指令工作,有意义,但我不应该通过运行kubectl describe po -n kube-system kube-apiserver-{my-ip}来检查这一点吗?我在资源上做了一个describe po,希望看到audit-log-path,但它不在那里。如果它不在pod描述中,我怎么能发现这个设置?ps是最好的方法吗?唯一的办法?
审计后端将审计日志存储到外部持久存储。kube- apisserver有两个可用的后端:日志后端,将日志存储到文件系统中的一个目录中。Webhook后端,使用HTTP API将日志推送到外部存储。由于您试图在本地存储数据,我们将使用日志后端。正如您提供的文档中提到的那样——audit-log-path用于设置审计日志文件的路径,如果没有提供任何路径,它将转到标准输出/var/log/kubernetes/audit/audit.log,并且应该使用持久卷来存储这些日志,因此您可以使用下面的命令
来获取路径详细信息Kubectl get pv(在大多数情况下,audit将是关键字,因此您可以使用它找到路径)
引用:
- https://kubernetes.io/docs/tasks/debug/debug-cluster/audit/
- https://www.ibm.com/docs/en/mvi/1.1.1?topic=environment-checking-kubernetes-storage-status