查看事件统计
登录容器安全卫士控制台。
在左侧导航栏选择“集群安全 > 集群审计”,进入集群审计页面。
查看事件统计信息:统计信息分为审计事件总数、操作用户总数、添加事件总数、删除事件总数、更新事件总数、查看事件总数、操作类型分布、资源操作分布、返回状态码、操作用户分布,帮助客户更直观的查看集群内的异常事件分布。
查看日志列表
登录容器安全卫士控制台。
在左侧导航栏选择“集群安全 > 集群审计”,进入集群审计页面。
查看页面下方的审计日志列表,方便用户溯源事件。
日志列表内,支持按照“安全状态”、“日志级别”、“日志所属阶段”、“操作对象”、“操作类型”、“对应客户端”、“客户端节点IP”、“API响应状态”进行筛选查询。
日志信息参数说明:
参数 说明 日志级别 审计日志根据日志策略可以选择事件保存的等级,根据等级不同,APIServer记录日志的详细程度也不同。
目前支持的日志等级有:
None:不记录日志。
Metadata:只记录Request的一些metadata(例如user, timestamp, resource, verb等),但不记录Request或Response的body。
Request:记录Request的metadata和body。
RequestResponse:最全记录方式,会记录所有的metadata、Request和Response的Body。
日志所属阶段 审计日志根据日志策略可以选择在事件执行的某个阶段记录。
目前支持的事件阶段有:
RequestReceived:接收到事件且在分配给对应handler前记录。
ResponseStarted:开始响应数据的Header但在响应数据Body发送前记录,这种一般应用在持续很长的操作事件,例如watch操作。
ResponseComplete:事件响应完毕后记录。
Panic:内部出现panic时记录。
操作对象 操作的资源类型。 所在集群 操作对象所属集群。 操作类型 操作类型分为get获取、watch监控、list获取、update更新、create创建、patch修改、delete删除这些类型。
update和patch的区别:update请求需要将整个修改后的对象提交给 k8s;而patch请求只需要将对象中某些字段的修改提交给k8s。
对应客户端 事件服务的客户端名称(在userAgent中定义)。 访问源IPv6/IPv4 事件服务的客户端所在节点的IP地址。 API响应状态 API响应状态码分为以下几类:
“1XX”为信息性状态码(informational)。
“2XX”为成功状态码(Success)。
“3XX”为重定向状态码(Redirection)。
“4XX”为客户端错误状态码(Client Error)。
“5XX”为服务端错误状态码。
常用的状态码解释说明如下:
200:OK,请求成功,具体意义根据请求所使用的方法不同而不同。
201:Created,请求成功并创建了资源;
403:Forbidden,表示身份认证通过了,但是对服务器请求资源的访问被拒绝了;
404:Not Found,表示服务器找不到你请求的资源;
409:Conflict,表示请求与服务器当前状态冲突。通常发生在更新资源时,主要是处理并发问题的状态码。
500:Internal Server Error,表示服务器执行请求的时候出错了。
API请求URL API请求URL的地址。 安全状态 安全状态分为正常和异常这两种,异常是指触发了内置策略的事件。 请求时间 事件的请求时间。 单击日志列表内的下拉按钮,可展开查看事件的json格式详情。
