kubernetes - 通过 Splunk 中的用户配置文件记录 k8s kubectl 命令相关活动

问题描述

免责声明：我既不是 K8s 专家，也不是 K8s 管理员，我对 Splunk 日志如何使用 Splunk 查询访问数据的知识有限。因此，如果您无法提供帮助，请忽略它，并且不要在不了解问题的情况下关闭它，我很乐意澄清。这将帮助那些在未来遇到同样问题的人受益。+++++++++++++++++++++++++++++++++++++++

我们在本地使用 K8s，有大量的命名空间，用户几乎可以访问每个命名空间。有人不小心可以发出 kubectl delete 命令来删除任何东西，它可能是 pod/service、角色或集群。我在这个线程中的目标是，我们是否可以追踪谁在运行每个 kubectl 操作？

我发现下面的链接可以帮助审计 k8s：https ://kubernetes.io/docs/tasks/debug-application-cluster/audit/

如果在 k8s 中启用了审计，我们如何追踪谁执行了每个 kubectl 命令操作？正如我所说，我既不是 k8s 管理员，但想知道是否有明确的路径和方法可以在从 k8s 到 Splunk 的日志中追踪这一点？

我们的 K8s 管理员说已经设置了审计，但是带有用户详细信息的 kubectl 命令没有从 Rancher / Fluentd 流向 Splunk。我们需要任何特定的配置来打开它吗？哪个 K8s Admin 需要设置。任何帮助，将不胜感激 。

谢谢注意： - 这是封闭线程的开放线程。

标签： kuberneteskubectlsplunkfluentdrancher