启用 API 审计日志

重要提示

RKE add-on 安装仅支持 Rancher v2.0.8 之前的版本。 请使用 Rancher helm chart 将 Rancher 安装在 Kubernetes 集群上。有关详细信息,请参见Rancher 高可用安装。 如果您当前正在使用 RKE add-on 安装方法,参见将 RKE add-on 安装的 Rancher 迁移到 Helm 安装,获取有关如何使用 Helm chart 的详细信息。

如果使用 RKE 安装 Rancher,则可以使用指令为 Rancher 安装启用 API 审计日志。您可以知道容器中发生了什么事件,何时发生,事件发起人是谁以及它影响了哪些集群。API 审计日志记录了与 Rancher API 之间的所有请求和响应,包括对 Rancher UI 的使用以及通过程序使用对 Rancher API 的任何其他使用。

内联参数

通过向 Rancher 容器添加参数来使用 RKE 启用 API 审计日志。

启用 API 审计日志的的先决条件如下:

  • 将 API 审计日志 参数 (args) 添加到 Rancher 容器中。
  • 在容器的 volumeMounts 指令中声明一个 mountPath
  • volumes 指令中声明一个 path

有关每个参数的说明、使用参数的语法以及如何查看 API 审计日志的更多信息,请参阅Rancher v2.0 文档:API 审计日志

...
containers:
- image: rancher/rancher:latest
imagePullPolicy: Always
name: cattle-server
args: ["--audit-log-path", "/var/log/auditlog/rancher-api-audit.log", "--audit-log-maxbackup", "5", "--audit-log-maxsize", "50", "--audit-level", "2"]
ports:
- containerPort: 80
protocol: TCP
- containerPort: 443
protocol: TCP
volumeMounts:
- mountPath: /etc/rancher/ssl
name: cattle-keys-volume
readOnly: true
- mountPath: /var/log/auditlog
name: audit-log-dir
volumes:
- name: cattle-keys-volume
secret:
defaultMode: 420
secretName: cattle-keys-server
- name: audit-log-dir
hostPath:
path: /var/log/rancher/auditlog
type: Directory
最后由 yzeng25更新 于