概述

集群审计是基于 Kubernetes Audit 对 kube-apiserver 产生的可配置策略的 JSON 结构日志的记录存储及检索功能，支持通过 API Server 审计日志来记录用户在集群中的日常操作，帮助集群管理员对集群的操作行为进行安全审计，保证集群安全、稳定运行。本文为您介绍如何配置集群审计功能。

使用限制

• 本文仅适用于 CCE 托管集群、独立集群。

• 请确保您账号下 BLS 日志服务资源没有超出配额，否则会导致集群审计功能开启失败。

  • 目前BLS 日志服务允许每个 accoutID 下最多可创建50个日志集，如需更多，提工单申请。
• 当前新版集群审计由于受BLS 日志服务限制，不支持成都、香港、南京三个地域，因此这三个地域不支持集群审计功能升级，仍默认显示旧版集群审计页面。

前提条件

• 已成功 创建CCE集群。
• 已开通日志服务产品，您可以登录 日志服务控制台 确认是否开通。

计费说明

• 开启集群审计后，将采集集群审计日志投递到日志服务（BLS），日志服务会按照您的实际使用情况计费，计费标准请参考 计费概述。

操作步骤

开启集群审计

1. 登录 容器引擎控制台。
2. 在左侧导航栏，选择 集群列表。
3. 在“集群列表”页面单击目标集群，进入集群管理页面。
4. 在集群管理页面左侧导航栏中选择 安全管理-集群审计。

5. 在 集群审计 页面，针对未授权开启集群审计功能的集群，单击 立即开启；针对已授权开启过集群审计功能的集群，单击 升级，即可升级集群审计，将集群审计日志投递到 BLS 日志服务。

   说明

   • 开启集群审计功能，如果是独立集群，会重启集群的 API Server，导致 API Server 暂时无法访问，请勿频繁开启或关闭集群审计功能。
   • 开启集群审计功能，容器服务会在您账号下自动创建的名称为k8s-audit-{集群ID}日志集中，帮助您更安全有效的运维集群自动创建日志集，并开启日志主题的索引配置。请勿修改索引，以免报表失效。

查看审计日志

集群审计功能配置完成后，您可以在集群审计页面中，查看集群审计日志信息。

说明

• 集群审计日志在BLS日志服务中对应的日志集中数据默认保存时间为180天。如需修改日志的默认保存时间，请参考文档 日志集。
• 集群审计日志在BLS默认开启ObjectRef、ResponseStatus、User、Verb、namespace、resource、userID作为索引字段，如果关闭默认索引字段，将影响审计日志查询。
• 如果您有自定义查询、分析审计日志的需求，可以进入日志服务控制台 查看详细的日志记录。

关闭集群审计

如果您不再需要集群API Server的审计功能的话，可以通过以下方法关闭审计功能。

1. 在集群审计页面中，单击右上角 关闭集群审计。

2. 弹出二次确认对话框，单击 确认，完成配置。

   说明

   • 关闭集群审计功能，会重启集群的 API Server，导致 API Server 暂时无法访问，请勿频繁开启或关闭集群审计功能。
   • 关闭集群审计功能，不会删除 BLS 日志服务中的日志集，如需删除日志集，您可以登录 日志服务控制台 确认删除相应的日志集。