Stage
+ 生成此事件时请求的处理阶段。
string
+ requestURI 是客户端发送到服务器端的请求 URI。
string
+ verb 是与请求对应的 Kubernetes 动词。对于非资源请求,此字段为 HTTP 方法的小写形式。
authentication/v1.UserInfo
+ 关于认证用户的信息。
authentication/v1.UserInfo
+ 关于所伪装(impersonated)的用户的信息。
[]string
-
发起请求和中间代理的源 IP 地址。 源 IP 从以下(按顺序)列出:
@@ -165,9 +167,9 @@ Note: All but the last IP can be arbitrarily set by the client.string
-
userAgent 中记录客户端所报告的用户代理(User Agent)字符串。 注意 userAgent 信息是由客户端提供的,一定不要信任。
@@ -178,9 +180,9 @@ Note: All but the last IP can be arbitrarily set by the client.ObjectReference
-
此请求所指向的对象引用。对于 List 类型的请求或者非资源请求,此字段可忽略。
meta/v1.Status
-
响应的状态,当 responseObject 不是 Status 类型时被赋值。
对于成功的请求,此字段仅包含 code 和 statusSuccess。
对于非 Status 类型的错误响应,此字段会被自动赋值为出错信息。
@@ -205,11 +207,13 @@ Note: All but the last IP can be arbitrarily set by the client.
k8s.io/apimachinery/pkg/runtime.Unknown
+
来自请求的 API 对象,以 JSON 格式呈现。requestObject 在请求中按原样记录
(可能会采用 JSON 重新编码),之后会进入版本转换、默认值填充、准入控制以及
配置信息合并等阶段。此对象为外部版本化的对象类型,甚至其自身可能并不是一个
@@ -224,10 +228,12 @@ Omitted for non-resource requests. Only logged at Request Level and higher.-->
k8s.io/apimachinery/pkg/runtime.Unknown
+
响应中包含的 API 对象,以 JSON 格式呈现。requestObject 是在被转换为外部类型
并序列化为 JSON 格式之后才被记录的。
对于非资源请求,此字段会被忽略。
@@ -251,8 +257,8 @@ at Response Level.-->
meta/v1.MicroTime
+ 请求到达当前审计阶段时的时间。
map[string]string
+ should be short. Annotations are included in the Metadata level. + --> annotations 是一个无结构的键-值映射,其中保存的是一个审计事件。 该事件可以由请求处理链路上的插件来设置,包括身份认证插件、鉴权插件以及 准入控制插件等。 @@ -286,10 +294,10 @@ at Response Level.--> ## `EventList` {#audit-k8s-io-v1-EventList} +
-
EventList 是审计事件(Event)的列表。
@@ -327,11 +335,11 @@ EventList 是审计事件(Event)的列表。 - [PolicyList](#audit-k8s-io-v1-PolicyList) +-
Policy 定义的是审计日志的配置以及不同类型请求的日志记录规则。
@@ -346,10 +354,11 @@ Policy 定义的是审计日志的配置以及不同类型请求的日志记录meta/v1.ObjectMeta
+
包含 metadata 字段是为了便于与 API 基础设施之间实现互操作。
metadata 字段的详细信息。
[]PolicyRule
-
+PolicyRules are strictly ordered.
+ -->
字段 rules 设置请求要被记录的审计级别(level)。
每个请求可能会与多条规则相匹配;发生这种状况时遵从第一条匹配规则。
默认的审计级别是 None,不过可以在列表的末尾使用一条全抓(catch-all)规则
@@ -376,9 +386,11 @@ PolicyRules are strictly ordered.-->
[]Stage
+
字段 omitStages 是一个阶段(Stage)列表,其中包含无须生成事件的阶段。
注意这一选项也可以通过每条规则来设置。
审计组件最终会忽略出现在 omitStages 中阶段,也会忽略规则中的阶段。
@@ -393,6 +405,7 @@ PolicyRules are strictly ordered.-->
bool
-
omitManagedFields 标明将请求和响应主体写入 API 审计日志时,是否省略其托管字段。 此字段值用作全局默认值 - 'true' 值将省略托管字段,否则托管字段将包含在 API 审计日志中。 请注意,也可以按规则指定此值,在这种情况下,规则中指定的值将覆盖全局默认值。 @@ -482,25 +494,27 @@ GroupResources 代表的是某 API 组中的资源类别。
字段 resources 是此规则所适用的资源的列表。
- 例如:
- 'pods' 匹配 Pods;
- 'pods/log' 匹配 Pods 的 log 子资源;
- '∗' 匹配所有资源及其子资源;
- 'pods/∗' 匹配 Pods 的所有子资源;
- '∗/scale' 匹配所有的 scale 子资源。
-
例如:
+pods 匹配 Pod;pods/log 匹配 Pod 的 log 子资源;* 匹配所有资源及其子资源;pods/* 匹配 Pod 的所有子资源;*/scale 匹配所有的 scale 子资源。
+
字段 resourceNames 是策略将匹配的资源实例名称列表。
使用此字段时,resources 必须指定。
空的 resourceNames 列表意味着资源的所有实例都会匹配到此策略。
@@ -658,11 +674,11 @@ ObjectReference 包含的是用来检查或修改所引用对象时将需要的
- [Policy](#audit-k8s-io-v1-Policy)
+
-
PolicyRule 包含一个映射,基于元数据将请求映射到某审计级别。 请求必须与每个字段所定义的规则都匹配(即 rules 的交集)才被视为匹配。
@@ -686,9 +702,9 @@ PolicyRule 包含一个映射,基于元数据将请求映射到某审计级别[]string
-
根据身份认证所确定的用户名的列表,给出此规则所适用的用户。 空列表意味着适用于所有用户。
@@ -699,10 +715,10 @@ PolicyRule 包含一个映射,基于元数据将请求映射到某审计级别[]string
-
此规则所适用的用户组的列表。如果用户是所列用户组中任一用户组的成员,则视为匹配。 空列表意味着适用于所有用户组。
@@ -713,9 +729,11 @@ PolicyRule 包含一个映射,基于元数据将请求映射到某审计级别[]string
+ 此规则所适用的动词(verb)列表。 空列表意味着适用于所有动词。
@@ -738,10 +756,10 @@ PolicyRule 包含一个映射,基于元数据将请求映射到某审计级别[]string
-
此规则所适用的名字空间列表。
空字符串("")意味着适用于非名字空间作用域的资源。
空列表意味着适用于所有名字空间。
@@ -753,18 +771,24 @@ PolicyRule 包含一个映射,基于元数据将请求映射到某审计级别
[]string
字段 nonResourceURLs 给出一组需要被审计的 URL 路径。
- 允许使用 ∗,但只能作为路径中最后一个完整分段。
- 例如:
- "/metrics" - 记录对 API 服务器度量值(metrics)的所有请求;
- "/healthz∗" - 记录所有健康检查请求。
+ 允许使用 *s,但只能作为路径中最后一个完整分段。
+ 例如:
[]Stage
+ 字段 omitStages 是一个阶段(Stage)列表,针对所列的阶段服务器不会生成审计事件。 注意这一选项也可以在策略(Policy)级别指定。服务器审计组件会忽略 omitStages 中给出的阶段,也会忽略策略中给出的阶段。 @@ -832,10 +858,10 @@ PolicyRule 包含一个映射,基于元数据将请求映射到某审计级别 - [Policy](#audit-k8s-io-v1-Policy) - [PolicyRule](#audit-k8s-io-v1-PolicyRule) +
-
Stage 定义在请求处理过程中可以生成审计事件的阶段。