第8章 監査ログポリシーの設定

使用する監査ログポリシープロファイルを選択して、API サーバー監査ログに記録する情報量を制御できます。

8.1. 監査ログポリシープロファイルについて

監査ログプロファイルは、OpenShift API サーバー、Kubernetes API サーバー、および OAuth API サーバーに送信される要求をログに記録する方法を定義します。

OpenShift Container Platform は、以下の事前定義された監査ポリシープロファイルを提供します。

プロファイル説明

Default

読み取りおよび書き込み要求のメタデータのみをログに記録します。OAuth アクセストークンの作成(ログイン) 要求を除く要求の本文はログに記録されません。これはデフォルトポリシーになります。

WriteRequestBodies

すべての要求のメタデータをロギングする以外にも、API サーバーへの書き込み要求ごとに要求の本文をログに記録します(createupdatepatch)。このプロファイルには、Default プロファイルよりも多くのリソースのオーバーヘッドがあります。[1]

AllRequestBodies

すべての要求のメタデータをロギングする以外にも、API サーバーへの読み取りおよび書き込み要求ごとに要求の本文をログに記録します (getlistcreateupdatepatch)。このプロファイルには最も多くのリソースのオーバーヘッドがあります。[1]

  1. SecretRouteOAuthClient オブジェクトなどの機密リソースは、メタデータレベルを超えるとログに記録されません。クラスターが OpenShift Container Platform 4.5 からアップグレードされた場合、OAuth トークンのオブジェクト名にシークレット情報が含まれる可能性があるため、OAuth トークンはいっさいログに記録されません。

デフォルトで、OpenShift Container Platform は Default 監査ログプロファイルを使用します。要求の本文もログに記録する別の監査ポリシープロファイルを使用できますが、リソース使用の増加について把握するようにしてください(CPU、メモリー、および I/O)。