본문 바로가기
Linux/OpenShift

RHOCP) OpenShift Logging (5) - Audit log를 Log store로 전달

by LILO 2023. 8. 5.
반응형

INTRO

Openshift Logging을 설치 후에 Kibana 웹 콘솔에 접속해서 Index를 생성하여 시각화 그래프를 만드는 작업을 합니다.

 "application, infrastructure"는 기본적으로 Log Store로 저장이 되어서 바로 index를 생성할 수 있습니다.

하지만 Audit log는 별도로 ClusterLogForwarder object를 생성하여 Log store에 저장될 수 있게 해야 Kibana에서 audit Index를 생성할 수 있습니다.

 

Log Forwarding API에 대한 자세한 내용은 아래의 문서를 참고바랍니다.

Audit log를 Log store로 전달하는 기능은 일부분이며 Log store에 저장될 유형의 로그를 지정하여 타 솔루션 API를 통해 Splunk, AWS Cloud Watch 등으로 Forwarding시킬 수 있는 기능도 지원합니다.

 

Configuring the log store - Configuring your Logging deployment | Logging | OpenShift Container Platform 4.13

By default, OpenShift Logging does not store audit logs in the internal OpenShift Container Platform Elasticsearch log store. You can send audit logs to this log store so, for example, you can view them in Kibana. To send the audit logs to the default inte

docs.openshift.com

 

 

Audit log를 Log store로 전달

아무 설정을 하지 않고 Kibana에 접속하면 Audit log와 관련된 index는 보이지 않는 현상이 발생하는데 이 현상은 정상적입니다.

왜냐하면 Openshift Logging은 기본적으로 내부 Elasticsearch Log store로 Audit log를 저장하지 않기 때문입니다.

Log Fowarding API를 이용하여 Kibana에서 Audit log를 볼 수 있게 생성합니다.

# cat << EOF > clusterlogForwarder.yaml
apiVersion: logging.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  pipelines:
  - name: all-to-default
    inputRefs:
    - infrastructure
    - application
    - audit
    outputRefs:
    - default
EOF

# oc apply -f  clusterlogForwarder.yaml

 

Audit log가 저장되고 있는지 확인하기 위해 Elasticsearch pod에서 색인된 index를 확인합니다.

아래와 같이 정상적으로 쌓이고 있다면 Kibana에서도 확인할 수 있습니다.

# oc exec  -c elasticsearch elasticsearch-cdm-3vqyxcvy-1-5f5c9f47bb-746jq -n openshift-logging  -- es_util --query=_cat/indices |sort -n
green open app-000027               dr8hwazFQyqFYs4rkPmRZA 3 1       0 0   1.5kb    783b
green open app-000028               SSGI1q8DSK6kMeZTWW5cyg 3 1       0 0   1.5kb    783b
green open app-000029               Dk7qWkDwTf6mYuUpaYAJ4w 3 1       0 0   1.5kb    783b
green open app-000030               GLqqv_0fQHyUmPs1QugcWQ 3 1       0 0   1.5kb    783b
green open app-000031               rmt7bS9LRO6ZGWA_t11WeA 3 1       0 0   1.5kb    783b
green open app-000032               136NWr8kTJu1B182UQKVpA 3 1       0 0   1.5kb    783b
green open app-000033               6fZIlZEFS_ie6QIuNYxTGQ 3 1       0 0   1.5kb    783b
green open app-000034               22jTLM7rQ1iCsngorzQMXg 3 1       0 0   1.5kb    783b
green open app-000035               2bxUJGtUQCGIAGyaNMg-fg 3 1       0 0   1.5kb    783b
green open app-000036               er8DSiG5SBSv5hiff48ZuA 3 1       0 0   1.5kb    783b
green open app-000037               cFjr-t_yR-2GYcVChxUo9A 3 1       0 0   1.5kb    783b
green open app-000038               MDD5IdpWQEuBQm19v6v3AQ 3 1       0 0   1.5kb    783b
green open app-000039               PqItj91pQM-C-3nmARJz8g 3 1       0 0   1.5kb    783b
green open app-000040               53yucIRTQMO-IHOLnWX7nA 3 1       0 0   1.5kb    783b
green open app-000041               Cttya2EjRdeEOBKC2hWzSw 3 1       0 0   1.5kb    783b
green open app-000042               FLWNOxn4TbmE1wRblMg_Hw 3 1       0 0   1.5kb    783b
green open app-000043               rC1l3NxKS4ymEWvbsc5OTw 3 1       0 0   1.5kb    783b
green open app-000044               Z6QF8Qy4RM2CxSTb9CqwWA 3 1       0 0   1.5kb    783b
green open app-000045               ZHdn9z1MRTeDThlgvF0edQ 3 1       0 0   1.5kb    783b
green open app-000046               jKoj0yYESMKMUp6Ptyhh8Q 3 1       0 0   1.5kb    783b
green open app-000047               HxtE5H3mSNyZxwY8guYXJw 3 1       0 0   1.5kb    783b
green open audit-000001             2YiOLV6EQ0CNhY7DknKrpA 3 1       0 0   1.5kb    783b
green open audit-000002             83HGsE_ZQYihDoxPNEDpZg 3 1       0 0   1.5kb    783b
green open audit-000003             KVPblalUSMyhIxQDBS8rdA 3 1       0 0   1.5kb    783b
green open audit-000004             snAbpX-KR3yHgFhF0MF8xg 3 1  471516 0     1gb   545mb
green open audit-000005             2Do7uG1KRE6aGLYSl0r81w 3 1 1488610 0   2.9gb   1.4gb
green open audit-000006             1I0DPXP8QT-CQaIMeQ9-KQ 3 1 1697402 0   3.3gb   1.6gb
green open audit-000007             j7Q5rCK0STSytdOL7C8QRw 3 1 1053229 0   2.7gb   1.3gb
green open infra-000001             W8NrNkLKQ9uqEmwPiMgpNA 3 1  590603 0 802.9mb 401.4mb
green open infra-000002             d1F_bnHfRF6v2Wm2a_OXOA 3 1  494668 0   669mb 334.5mb
green open infra-000003             s90vJnUaRR6jkFKuvwasiA 3 1  664444 0 899.1mb 449.5mb
green open infra-000004             zAzmBkGxRh24y8fTrmA24A 3 1 1506232 0   1.9gb 990.9mb
green open infra-000005             7e21_e5vSfe1o_U24VFVNQ 3 1  477232 0 659.1mb   330mb
green open infra-000006             hFm20433RaCPjQ9HNla3Nw 3 1  460997 0 637.3mb 319.2mb
green open infra-000007             TvyWEOrsQkOS_9a69-ZYMA 3 1  274857 0 382.3mb 191.4mb
green open .kibana_1                AQ0HMy-zRz6I8Aw6vUmCMw 1 1       0 0    522b    261b
green open .kibana_92668751_admin_1 NgPEnDMJQcS61TZaea8Kag 1 1       4 0 164.8kb  82.4kb
green open .security                TIdjtAQMTOqyDYmnVojoAw 1 1       6 2  51.1kb  31.1kb

 

반응형