当前位置：首页 > news >正文

[CKS] Audit Log Policy

news 2025/11/6 4:26:18

最近准备花一周的时间准备CKS考试，在准备考试中发现有一个题目关于audit policy的题目。

专栏其他文章:

[CKS] Create/Read/Mount a Secret in K8S-CSDN博客
[CKS] Audit Log Policy-CSDN博客
-[CKS] 利用falco进行容器日志捕捉和安全监控-CSDN博客
[CKS] K8S NetworkPolicy Set Up-CSDN博客
[CKS] K8S AppArmor Set Up-CSDN博客
[CKS] 利用Trivy对image进行扫描-CSDN博客
[CKS] kube-batch修复不安全项-CSDN博客
[CKS] K8S ServiceAccount Set Up-CSDN博客
[CKS] K8S Admission Set Up-CSDN博客
[CKS] K8S Dockerfile和yaml文件安全检测-CSDN博客
CKS真题
CKA真题

What’s the audit policy

使用K8s Audit Policy，管理员可以定义哪些操作需要被审计，包括创建、删除、更新和查看集群中的资源。审计记录包括操作的时间戳、执行操作的用户、操作的命令和参数等信息。

审计记录可以被发送到不同的目标，例如日志文件、集中式日志管理系统或外部审计系统，以供后续分析和调查使用。

通过使用K8s Audit Policy，管理员可以获得对集群中操作的更大可见性和可追踪性，以增强安全性和合规性。

Question 1

The cluster has an audit policy configured. The audit policy file is located at /etc/kubernetes/audit-policy.yaml. Add the following rules to the audit policy:

Log the request and response body for changes to configmaps.
Log the request body for changes to services and pods in the web namespace.
Log metadata for changes to secrets.
Create a catch-all rule to log metadata for all remaining requests.

这里要求我们在audit-policy.yaml文件中创建如下的audit log规则

记录对configmaps进行更改的请求和响应体。
记录对web命名空间中服务和pod进行更改的请求体。
记录对secrets进行更改的元数据。
创建一个捕获所有其他请求的规则，并记录其元数据。

Practice

更改audit-policy.yaml文件内容如下
在这里插入图片描述

Question 2

Configure audit logging for the cluster.

Direct audit log output to a file located at /var/log/kubernetes/audit.log.
Maintain old log files for a maximum of 10 days.
Keep a maximum of 1 old log files.

这里要求配置审计日志记录如下：

将审计日志输出到位于/var/log/kubernetes/audit.log的文件中。
保留旧日志文件的最长时间为10天。
保留最多1个旧日志文件。

Practice

修改kube-apiserver的配置文件如下：

sudo vi /etc/kubernetes/manifests/kube-apiserver.yaml

在这里插入图片描述

如何进行验证

sudo tail -f /var/log/kubernetes/audit.log

[CKS] Audit Log Policy

最近准备花一周的时间准备CKS考试，在准备考试中发现有一个题目关于audit policy的题目。专栏其他文章: [CKS] Create/Read/Mount a Secret in K8S-CSDN博客[CKS] Audit Log Policy-CSDN博客 -[CKS] 利用falco进行容器日志捕捉和安全监控-CSDN博客[CKS] K8S Netw…...

编程日记 2024/11/16 3:25:50

【Linux】-学习笔记03

第十一章-管理Linux软件包和进程 1.源码下载安装软件 1.1概念源码文件：程序编写者使用C或C等语言编写的原始代码文本文件源码文件使用.tar.gz或.tar.bz2打包成压缩文件 1.2特点源码包可移植性好，与待安装软件的工作环境依赖性不大由于有编译过程…...

编程日记 2024/11/16 3:21:43

Leetcode热题100-32 最长有效括号

Leetcode热题100-32 最长有效括号 1. 题目描述2. 解题思路动态规划栈解法 3. 代码实现动态规划栈解法 1. 题目描述 32 最长有效括号 2. 解题思路动态规划定义状态： 设 dp[i] 表示以位置 i 结尾的最长有效括号子串的长度。状态转移方程： 遍历字符…...

编程日记 2024/11/16 3:17:38

【大数据学习 | HBASE】hbase的读数据流程与hbase读取数据

1. hbase的读数据流程在解析读取流程之前我们还需要知道两个功能性的组件和HFIle的格式信息 HFILE 存储在hdfs中的hbase文件，这个文件中会存在hbase中的数据以kv类型显示，同时还会存在hbase的元数据信息，包括整个hfile文件的索引大小&…...

编程日记 2024/11/16 3:08:30

A027-基于Spring Boot的农事管理系统

🙊作者简介：在校研究生，拥有计算机专业的研究生开发团队，分享技术代码帮助学生学习，独立完成自己的网站项目。代码可以查看文章末尾⬇️联系方式获取，记得注明来意哦~🌹 赠送计算机毕业设计600…...

编程日记 2024/11/16 3:07:29

Redisson的可重入锁

初始状态： 表示系统或资源在没有线程持有锁的情况下的状态，任何线程都可以尝试获取锁。线程 1 获得锁： 线程 1 首次获取了锁并进入受保护的代码区域。线程 1 再次请求锁： 在持有锁的情况下，线程 1 再次请求锁&a…...

编程日记 2024/11/16 3:05:28

SQL Server Service Broker完整示例

目录准备创建Message，Contract，Queue和Service 创建调用存储过程启用SQL Agent并创建Job执行存储过程调用demo 常见故障排除准备判断你的数据库YourDatabaseName是否启用了Service Broker SELECT is_broker_enabled FROM sys.databases WH…...

编程日记 2024/11/16 3:03:26

近日，漏洞肆虐，需要升级新版本，才能解决漏洞。故有此文： 0 查看当前版本 [root@host-testsvc openssh-9.0p1]# ssh -V OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 20171、在data下新建一个独立目录openssh目录，用来存放软件 [root@host-testsvc data]# mkdir openssh…...

编程日记 2024/11/16 3:00:23

RSTP的配置

RSTP相对于STP在端口角色、端口状态、配置BPDU格式、配置BPDU的处理方式、快速收敛机制、拓扑变更机制和4种保护特性方面的详细改进说明： 端口角色： STP中定义了三种端口角色：根端口（Root Port）、指定端口&#xff0…...

编程日记 2024/11/16 2:53:13

力扣257：二叉树的所有路径

给你一个二叉树的根节点 root ，按任意顺序 ，返回所有从根节点到叶子节点的路径。叶子节点是指没有子节点的节点。示例 1： 输入：root [1,2,3,null,5] 输出：["1->2->5","1->3"]示例…...

编程日记 2024/11/16 2:51:10

Tcl 和 Python 在二次开发研究

引言 Tcl（Tool Command Language）和 Python 都是广泛应用于各种领域的编程语言，特别是在二次开发和自动化开发方面，两者有着独特的特性。Tcl 是一种动态的脚本语言，早期主要用于集成和控制其他程序，因此它经常出现在嵌入式应用和图形用户界面（GUI）开发中。而 Python 是…...

编程日记 2024/11/16 2:49:07

【NLP优化】Ubuntu 20.04 下源码安装 CasADi + Ipopt / acados

20241114 记录一下 Ubuntu 20.04 下安装 MPC 中两种常用开源 NLP 优化器 CasADi + Ipopt / acados 可以新建一个文件夹，保存所有源码安装下载的代码 mkdir ~/mpc_dep1. 安装依赖 # **IPOPT** sudo apt-get install gcc g++ gfortran git patch wget pkg-config libmetis-de…...

编程日记 2024/11/16 2:48:05

[241110] 微软发布多智能体系统Magentic-One | 社区讨论:Ubuntu 26.04 LTS 发布前移除 Qt 5

目录微软发布多智能体系统 Magentic-One社区讨论：Ubuntu 26.04 LTS 发布前移除 Qt 5 微软发布多智能体系统 Magentic-One 微软研究院近日发布了一个名为 Magentic-One 的多智能体系统，旨在解决复杂的现实世界任务。这个系统展现了令人兴奋的潜力&#…...

编程日记 2024/11/16 2:46:01

AI风向标｜算力与通信的完美融合，SRM6690解锁端侧AI的智能密码

当前，5G技术已经成为推动数字经济和实体经济深度融合的关键驱动力，进入5G发展的下半场，5G与AI的融合正推动诸多行业的数字化转型和创新发展，终端侧AI和端云混合式AI将广泛应用于各类消费终端和各行各业。在推动5G和AI与各行业场…...

编程日记 2024/11/16 2:43:58

MySQL查询执行（六）：join查询

到底可不可以使用join 假设存在如下表结构： -- 创建表t2 CREATE TABLE t2 (id int(11) NOT NULL,a int(11) DEFAULT NULL,b int(11) DEFAULT NULL,PRIMARY KEY (id),KEY a (a) ) ENGINEInnoDB;-- 向t2写入1000条数据 drop procedure idata; delimiter ;; create pr…...

编程日记 2024/11/16 2:42:58

python习题练习

python习题编写一个简单的工资管理程序系统可以管理以下四类人:工人(worker)、销售员(salesman)、经理(manager)、销售经理(salemanger)所有的员工都具有员工号，工资等属性，有设置姓名，获取姓名，获取员工号，计算工资等…...

编程日记 2024/11/16 2:41:56

MySQL高级（二）：一条更新语句是如何执行的

执行步骤 1. 解析 SQL 语句 MySQL 首先会解析你输入的 UPDATE 语句。解析器会检查语法是否正确，并将 SQL 语句转化为内部的数据结构（通常是语法树）。示例 SQL 语句： UPDATE employees SET salary 5000 WHERE department Sa…...

编程日记 2024/11/16 2:38:53

在 Ubuntu 18.04 中搭建和测试 DNS 服务器

在 Ubuntu 18.04 中搭建和测试 DNS 服务器可以通过安装和配置 BIND（Berkeley Internet Name Domain）来实现。以下是详细的步骤： 1. 安装 BIND 打开终端并运行以下命令来安装 BIND： sudo apt update sudo apt install bind9 bin…...

编程日记 2024/11/16 2:34:49

算法学习第一弹——C++基础

早上好啊，大佬们。来看看咱们这回学点啥，在前不久刚出完C语言写的PTA中L1的题目，想必大家都不过瘾，感觉那些题都不过如此，所以，为了我们能更好的去处理更难的题目，小白兔决定奋发图强&#xff0…...

编程日记 2024/11/16 2:32:46

javaWeb小白项目--学生宿舍管理系统

目录一、检查并关闭占用端口的进程二、修改 Tomcat 的端口配置三、重新启动 Tomcat 一、javaw.exe的作用二、结束javaw.exe任务的影响三、如何判断是否可以结束结尾： 这个错误提示表明在本地启动 Tomcat v9.0 服务器时遇到了问题，原因是所需…...

编程日记 2024/11/16 2:31:45

利用最小二乘法找圆心和半径

#include <iostream> #include <vector> #include <cmath> #include <Eigen/Dense> // 需安装Eigen库用于矩阵运算 // 定义点结构 struct Point { double x, y; Point(double x_, double y_) : x(x_), y(y_) {} }; // 最小二乘法求圆心和半径 …...

编程新知 2025/11/5 10:22:23