启用/配置审计- k3s集群中的日志(使用k3d设置集群)

Question

我目前正尝试在k3s集群中启用和配置审计日志。目前，我正在使用k3d来设置我的k3s集群。有办法配置审计日志记录吗？

我知道在使用k3s创建集群时可以解析k3d服务器args。所以，我试过这个：

k3d cluster create test-cluster --k3s-server-arg '--kube-apiserver-arg=audit-log-path=/var/log/kubernetes/apiserver/audit.log' --k3s-server-arg '--kube-apiserver-arg=audit-policy-file=/etc/kubernetes/audit-policies/policy.yaml'

显而易见的问题是，到目前为止，集群中还不存在审计策略。因此，在创建集群时，它会崩溃。

还尝试了它，使用以下方法设置集群：

k3d cluster create test-cluster --k3s-server-arg '--kube-apiserver-arg=audit-log-path=/var/log/kubernetes/apiserver/audit.log'

然后将ssh放到主节点上，在所需的dir中创建策略文件，但随后我无法找到将集群变量audit-log-path设置到此目录的方法。因此，这些政策将不适用。

使用minikube进行此操作非常简单(因为它也有文档记录)，但是我无法让它与k3d一起工作--在文档中也没有任何关于它的内容。但是我确信，必须有一种方法来配置k3s上的审计日志，而不用像Falco这样的第三方应用程序。

有人知道如何解决这个问题吗？或者想分享一些类似的经历？

Answer 1

我使用以下命令创建具有auditlog功能的集群。我使用卷来为集群提供策略文件。我认为它需要同时设置审计策略文件和审计日志路径变量。

k3d cluster create test-cluster \\
  --k3s-arg '--kube-apiserver-arg=audit-policy-file=/var/lib/rancher/k3s/server/manifests/audit.yaml@server:*' \\
  --k3s-arg '--kube-apiserver-arg=audit-log-path=/var/log/kubernetes/audit/audit.log@server:*' \\
  --volume "$(pwd)/audit/audit.yaml:/var/lib/rancher/k3s/server/manifests/audit.yaml"