audit | 伪架构师 /tags/audit/ audit Source Themes Academic (https://sourcethemes.com/academic/)zhThu, 31 Aug 2017 01:35:22 +0800 /img/logo-wide.png audit /tags/audit/ Kubernetes 的审计日志和采集 /post/auditlog-in-k8s/ Thu, 31 Aug 2017 01:35:22 +0800 /post/auditlog-in-k8s/ <h2 id="基础操作">基础操作</h2> <p>一个正常运行的 Kubernetes 集群,除了利用访问控制对集群操作的许可进行限制之外,对于操作过程的跟踪审计也是比不可少的,围绕不同的实体,例如用户、节点以及各种工作负载进行观测是很有必要的。Kubernetes 的 API Server 提供了审计日志支持,利用审计日志的方式对系统内的操作进行记录,这里我们可以沿用推荐的 Elastic Search + Fluentd 对审计日志进行采集存储,最终使用 Kibana 或者其他支持 ES 查询的工具对关键资源或用户进行访问跟踪。</p> <p>首先要启用 API Server 的审计功能。Kubernetes 提供了四个基础参数来定义审计功能:</p> <ul> <li><p><strong>audit-log-path</strong> 启用审计日志,并将日志内容写入指定文件,“-” 代表 stdout。</p></li> <li><p><strong>audit-log-maxage</strong> 日志文件的最大保存天数,根据文件名中的日期进行确定。</p></li> <li><p><strong>audit-log-maxbackup</strong> 最多保存日志文件的数量。</p></li> <li><p><strong>audit-log-maxsize</strong> 最大文件尺寸,超过尺寸会被翻转。单位是 MB,缺省为 100MB。</p></li> </ul> <p>例如:</p> <pre><code class="language-bash">--audit-log-path=/var/log/kubernetes/kubernetes.audit \ --audit-log-maxage=7 \ --audit-log-maxbackup=4 \ --audit-log-maxsize=10 </code></pre> <p>在 Kubernetes API Server 的启动参数中加入这些开关之后,重新启动服务。</p> <p>这时我们就可以看到文件<code>/var/log/kubernetes/kubernetes.audit</code>已经生成。利用 tail 命令看看他的结构和内容,例如请求内容是这样的:</p> <pre><code class="language-bash">2017-08-30T16:28:35.485818099+08:00 AUDIT: id=&quot;ebc47b7b-c4fe-4a9a-861c-d9686903cec4&quot; ip=&quot;127.0.0.1&quot; method=&quot;GET&quot; user=&quot;system:apiserver&quot; groups=&quot;\&quot;system:masters\&quot;&quot; as=&quot;&lt;self&gt;&quot; asgroups=&quot;&lt;lookup&gt;&quot; namespace=&quot;&lt;none&gt;&quot; uri=&quot;/apis/admissionregistration.k8s.io/v1alpha1/initializerconfigurations&quot; </code></pre> <p>而响应内容格式如下:</p> <pre><code class="language-bash">2017-08-30T16:28:35.486131325+08:00 AUDIT: id=&quot;ebc47b7b-c4fe-4a9a-861c-d9686903cec4&quot; response=&quot;404&quot; </code></pre> <p>我们本文中暂时只对请求内容进行进一步解析,响应内容可以通过加入第二格式的方式进行采集。内容中的<code>id</code>字段,可以看作是会话 id,用于连接请求和响应。</p> <p>根据上述文本内容,可以开始 Fluentd 文件的编写。请求和响应的内容都很规则,简单的正则表达式即可完成解析,例如我写的是这样的:</p> <pre><code class="language-bash">&lt;source&gt; type tail format /^(?&lt;time&gt;\d.*?)\s+(?&lt;action&gt;\w+).\s+id=\&quot;(?&lt;id&gt;.*?)\&quot;\s+ip=\&quot;(?&lt;ip&gt;.*?)\&quot;\s+method=\&quot;(?&lt;method&gt;.*?)\&quot;\s+user=\&quot;(?&lt;user&gt;.*?)\&quot;\s+groups=(?&lt;groups&gt;.*?)\s+as=\&quot;(?&lt;as&gt;.*?)\&quot;\s+asgroups=\&quot;(?&lt;asgroups&gt;.*?)\&quot;\s+namespace=\&quot;(?&lt;namespace&gt;.*?)\&quot;\s+uri=\&quot;(?&lt;uri&gt;.*?)\&quot;$/ path /var/log/kubernetes/kubernetes.audit pos_file /var/log/audit.pos time_format %Y-%m-%dT%H:%M:%S.%N%z tag audit.response &lt;/source&gt; </code></pre> <p>将这一部分内容加入到 Fluentd 配置之中去,启动抓取。日志入库之后,我们就可以对指定用户或者资源进行查询,获知他的黑历史了,例如我们要查找用户<code>admin</code>的操作历史:</p> <pre><code class="language-json">{ &quot;query&quot;: { &quot;match&quot;: { &quot;user&quot;: { &quot;query&quot;: &quot;admin&quot;, &quot;type&quot;: &quot;phrase&quot; } } } } </code></pre> <p>在 Kibana 中执行查询,会看到类似内容(如果所在集群没有该用户,可以替换为 <code>system:apiserver</code>等内置用户进行测试):</p> <p>利用解析出的各个字段,可以比较清楚的看到什么人,在什么时间,对什么对象进行了什么操作。</p> <p><img src="images/audit-screenshot.jpg" alt="screenshot" /></p> <h2 id="高级审计">高级审计</h2> <p>在 Kubernetes 1.7 中新增了 Advanced audit 特性(Alpha),可以对审计内容、以及后续处理进行定义。</p> <ul> <li><p>首先加入了审计策略的支持,可以使用行为,动作等条件进行限制,过滤掉无需考虑的审计内容。</p></li> <li><p>存储后端在日志之外,还增加了 Web Hook 的支持,可以直接将审计内容发布到指定的 Web 服务中。</p></li> </ul>