审计日志查询
KubeSphere 支持租户隔离的审计日志查询。本教程演示了如何使用查询功能,包括界面、搜索参数和详情页面。
准备工作
您需要启用 KubeSphere 审计日志。
进入查询界面
-
所有用户都可以使用该查询功能。使用任意帐户登录控制台,在右下角的工具箱图标上悬停,然后在弹出菜单中选择操作审计。
备注
任意帐户都有权限查询审计日志,但每个帐户能查看的日志有区别。
- 如果一个帐户有权限查看项目中的资源,该帐户便可以查看此项目中发生的审计日志,例如在项目中创建工作负载。
- 如果一个帐户有权限在企业空间中列出项目,该帐户便可以查看此企业空间(而非项目)中发生的审计日志,例如在企业空间中创建项目。
- 如果一个帐户有权限在集群中列出项目,该帐户便可以查看此集群(而非企业空间和项目)中发生的审计日志,例如在集群中创建企业空间。
-
在弹出窗口中,您可以查看最近 12 小时内审计日志总数的趋势。
-
操作审计控制台支持以下查询参数:
参数 描述 集群 发生操作的集群。如果开启了多集群功能,则会启用该参数。 项目 发生操作的项目。支持精确匹配和模糊匹配。 企业空间 发生操作的企业空间。支持精确匹配和模糊匹配。 资源类型 与请求相关联的资源类型。支持模糊匹配。 资源名称 与请求相关联的资源名称。支持模糊匹配。 操作行为 与请求相关联的 Kubernetes 操作行为。对于非资源请求,该参数为小写 HTTP 方式。支持精确匹配。 状态码 HTTP 响应码。支持精确匹配。 操作帐户 调用该请求的用户。支持精确匹配和模糊匹配。 来源 IP 该请求源自的 IP 地址和中间代理。支持模糊匹配。 时间范围 该请求到达 Apiserver 的时间。 备注
- 模糊匹配不区分大小写,并且根据 ElasticSearch 分段规则,通过单词或词组的前半部分来检索完整术语。
- KubeSphere 默认存储最近七天的日志。您可以在
elasticsearch-logging-curatorConfigMap 中修改保留期限。
输入查询参数
-
选择一个过滤器,输入您想搜索的关键字。例如,查询包含
services创建信息的审计日志,如下方截图所示:
-
点击列表中的任一结果,您便可以查看审计日志的详细信息。
反馈
这篇文章对您有帮助吗?
感谢您的反馈。如果您有关于如何使用 KubeSphere 的具体问题,请在 Slack 上提问。如果您想报告问题或提出改进建议,请在 GitHub 存储库中打开问题。
上一篇
页面内容