Compartir a través de


Supervisión de eventos de auditoría de Kubernetes

> Se aplica a: Azure Local, versión 23H2, AKS habilitado por Azure Arc en VMware (versión preliminar)

Puede acceder a los registros de auditoría de Kubernetes en los registros del plano de control de Kubernetes. Los registros del plano de control de los clústeres de AKS se implementan como registros de recursos en Azure Monitor. Los registros de recursos no se recopilan ni almacenan hasta que se crea una configuración de diagnóstico para enrutarlas a una o varias ubicaciones. Normalmente, los envía a un área de trabajo de Log Analytics, que es donde se almacenan la mayoría de los datos de Container Insights.

Creación de una configuración de diagnóstico

Antes de crear la configuración de diagnóstico, instale la extensión Arc K8S, que habilita la recopilación de registros desde el clúster de AKS.

Instale la extensión Arc K8S ejecutando el siguiente comando:

az k8s-extension create -g <resouerce-group-name> -c <cluster-name> --cluster-type connectedClusters --extension-type Microsoft.AKSArc.AzureMonitor --name "aksarc-azuremonitor" --auto-upgrade true

Una vez que la extensión se instala correctamente, siga las instrucciones de Configuración de diagnóstico en Azure Monitor para crear una configuración de diagnóstico mediante Azure Portal, la CLI de Azure o PowerShell. Durante este proceso, puede especificar qué categorías de registros se van a recopilar. Las categorías de AKS Arc se enumeran en la Referencia de datos de monitoreo.

El comando de ejemplo es el siguiente:

az monitor diagnostic-settings create –name <Diagnostics_Setting_Name> --resource <Cluster_Resource_ID> --logs "[{category:kube-audit,enabled:true},{category:kube-audit-admin,enabled:true},{category:kube-apiserver,enabled:true},{category:kube-controller-manager,enabled:true},{category:kube-scheduler,enabled:true},{category:cluster-autoscaler,enabled:true},{category:cloud-controller-manager,enabled:true},{category:guard,enabled:true},{category:csi-aksarcdisk-controller,enabled:true},{category:csi-aksarcsmb-controller,enabled:true},{category:csi-aksarcnfs-controller,enabled:true}]" --workspace <LA_Workspace_ID>

Captura de pantalla de la hoja del portal que muestra la configuración de diagnóstico.

AKS admite el modo de diagnóstico de Azure o el modo específico del recurso para los registros de recursos. El modo especifica las tablas del área de trabajo de Log Analytics a la que se envían los datos. El modo de diagnóstico de Azure envía todos los datos a la tabla AzureDiagnostics, mientras que el modo específico del recurso envía datos a ArcK8SAudit, ArcK8SAuditAdmin y ArcK8SControlPlane, como se muestra en la tabla de categorías de registro de la sección siguiente.

Después de guardar la configuración, puede tardar hasta una hora en ver los eventos en el área de trabajo de Log Analytics u otro destino admitido. Puede escribir una consulta KQL para extraer la información en función de las categorías de registro que ha habilitado.

Eliminar y deshabilitar la configuración de diagnóstico

Puede eliminar la configuración de diagnóstico mediante Azure Portal, PowerShell o la CLI de Azure:

az monitor diagnostic-settings delete -name <diagnostics-setting-name> --resource <resource-name> -g <resource-group-name>

Después de eliminar correctamente la configuración, puede eliminar la extensión mediante la CLI de Azure:

az k8s-extension delete -g <resouerce-group-name> -c <cluster-name> --cluster-type connectedClusters --name "hybridaks-observability"

Pasos siguientes

Supervisión de eventos de objeto de Kubernetes