Monitorování událostí auditu Kubernetes
> Platí pro: Místní Azure verze 23H2, AKS povolené službou Azure Arc ve VMware (Preview)
K protokolům auditu Kubernetes můžete přistupovat v protokolech řídicí roviny Kubernetes. Protokoly řídicí roviny pro clustery AKS se implementují jako protokoly prostředků ve službě Azure Monitor. Protokoly prostředků se neshromažďují a neukládají, dokud nevytvoříte nastavení diagnostiky pro jejich směrování do jednoho nebo více umístění. Obvykle je odesíláte do pracovního prostoru služby Log Analytics, kde je většina dat pro Container Insights uložená.
Vytvoření nastavení diagnostiky
Před vytvořením nastavení diagnostiky nainstalujte rozšíření Arc K8S , které umožňuje shromažďování protokolů z clusteru AKS.
Nainstalujte rozšíření Arc K8S spuštěním následujícího příkazu:
az k8s-extension create -g <resouerce-group-name> -c <cluster-name> --cluster-type connectedClusters --extension-type Microsoft.AKSArc.AzureMonitor --name "aksarc-azuremonitor" --auto-upgrade true
Po úspěšné instalaci rozšíření postupujte podle pokynů v nastavení diagnostiky ve službě Azure Monitor a vytvořte nastavení diagnostiky pomocí webu Azure Portal, Azure CLI nebo PowerShellu. Během tohoto procesu můžete určit, které kategorie protokolů se mají shromažďovat. Kategorie pro AKS Arc jsou uvedené v referenčních informacích ke službě Azure Monitor.
Ukázkový příkaz je následující:
az monitor diagnostic-settings create –name <Diagnostics_Setting_Name> --resource <Cluster_Resource_ID> --logs "[{category:kube-audit,enabled:true},{category:kube-audit-admin,enabled:true},{category:kube-apiserver,enabled:true},{category:kube-controller-manager,enabled:true},{category:kube-scheduler,enabled:true},{category:cluster-autoscaler,enabled:true},{category:cloud-controller-manager,enabled:true},{category:guard,enabled:true},{category:csi-aksarcdisk-controller,enabled:true},{category:csi-aksarcsmb-controller,enabled:true},{category:csi-aksarcnfs-controller,enabled:true}]" --workspace <LA_Workspace_ID>
AKS podporuje pro protokoly prostředků buď režim diagnostiky Azure, nebo režim specifický pro prostředky. Režim určuje tabulky v pracovním prostoru služby Log Analytics, do kterého se data odesílají. Režim diagnostiky Azure odesílá všechna data do tabulky AzureDiagnostics, zatímco režim specifický pro prostředky odesílá data do ArcK8SAudit, ArcK8SAuditAdmin a ArcK8SControlPlane, jak je znázorněno v tabulce kategorií protokolů v další části.
Po uložení nastavení může trvat hodinu, než se události zobrazí v pracovním prostoru služby Log Analytics nebo v jiném podporovaném cíli. Můžete napsat dotaz KQL, který extrahuje přehledy na základě kategorie protokolu, kterou jste povolili.
Kategorie protokolu
| Kategorie | Popis | Tabulka (režim specifický pro prostředky) |
|---|---|---|
| kube-apiserver | Protokoly ze serveru rozhraní API. | ArcK8SControlPlane. |
| kube-audit | Data protokolu auditu pro každou událost auditu, včetně získání, výpisu, vytvoření, aktualizace, odstranění, opravy a publikování. | ArcK8SAudit |
| kube-audit-admin | Podmnožina kategorie protokolu kube-audit. Výrazně snižuje počet protokolů vyloučením událostí auditu get a list z protokolu. | ArcK8SAuditAdmin |
| kube-controller-manager | Získejte hlubší přehled o problémech, ke kterým může dojít mezi Kubernetes a řídicí rovinou Azure. Typickým příkladem je cluster AKS, který nemá oprávnění k interakci s Azure. | ArcK8SControlPlane |
| kube-scheduler | Protokoly z plánovače. | ArcK8SControlPlane. |
| automatické škálování clusteru | Zjistěte, proč se cluster AKS škáluje nahoru nebo dolů, což se nemusí očekávat. Tyto informace jsou také užitečné ke korelaci časových intervalů, kdy se v clusteru stalo něco zajímavého. | ArcK8SControlPlane |
| správce kontroleru cloudu | Protokoly ze komponenty cloud-node-manager správce cloudového kontroleru Kubernetes. | ArcK8SControlPlane |
| stráž | Spravované ID Microsoft Entra a audity Azure RBAC U spravovaného ID Microsoft Entra zahrnuje tato kategorie token a informace o uživatelích. V případě Azure RBAC zahrnuje kontroly přístupu do a ven. | ArcK8SControlPlane |
| csi-aksarcdisk-controller | Protokoly z ovladače úložiště AKS Arc CSI. | ArcK8SControlPlane. |
| csi-aksarcsmb-controller | Protokoly z ovladače úložiště AKS Arc SMB CSI. | ArcK8SControlPlane. |
| csi-aksarcnfs-controller | Protokoly z ovladače úložiště CSI AKS Arc NFS. | ArcK8SControlPlane. |
Odstranění a zakázání nastavení diagnostiky
Nastavení diagnostiky můžete odstranit pomocí webu Azure Portal, PowerShellu nebo Azure CLI:
az monitor diagnostic-settings delete –name <diagnostics-setting-name> --resource <resource-name> -g <resource-group-name>
Po úspěšném odstranění nastavení můžete rozšíření odstranit pomocí Azure CLI:
az k8s-extension delete -g <resouerce-group-name> -c <cluster-name> --cluster-type connectedClusters --name "hybridaks-observability"