k8s上存放启动/停止实例/容器的审计日志

Question

在k8s上，启动/停止实例或容器的审计日志存储在哪里？

在k8s上，我们通常将日志存储在主机路径/var/k8s中，并让一个代理挂载此路径并负责刷新这些日志文件。我想知道hostpath中是否有一个文件，存储启动/停止pod或容器的审计日志。

Answer 1

默认情况下不启用它，但您可以通过kube-apiserver功能的一部分Audit来启用它。

你应该为审计创建一个策略，它将描述你想要捕获的内容，然后你有两个选择如何存储它们-使用WebHook推送到某个地方，或者写到主节点上的文件。

要允许写入文件，您应该为kube-apiserver：--audit-log-path设置一个带有日志文件路径的CLI标志。

此外，我强烈建议您通过--audit-log-maxsize为这些文件设置大小限制，因为它们可能真的很大。