# Kubernetesにauditログを求めるのは間違っているだろうか ###### tags: `CNCD2019` ## 資料 https://speakerdeck.com/makocchi/cndt2019-kubernetes-audit-log-c4d4c5f6-6058-40f9-a5fc-abbb36073a19 ## Audot log(監査ログ) - defaultでは無効(Public Cloudでは有効になっていることが多い) - GKEであればstackdriver loggingでみれるよ - 監査ログがわかれば - 誰が、いつ、どんな操作をしたかわかる ## 設定 ### 有効化の前に - ポリシー(Audit Policy) - どのログをどのレベルで出すか - namespace: kube-systemのconfigmap - バックエンド - ファイルで吐くか、webhookで外部のendpoinntへ出力するか ### ファイル出力 - ローテーションはある - ただ消えないので、削除ポリシーの定義大事 - ログ形式は1行のjson ### nomal log 通常のログでもアクセスログぐらいは出てるので追おうと思えば追える。 けど専用じゃないしノイズ多いし見辛い ## まとめ **ログは分析しないと価値なし** - パフォーマンスにも若干影響はある - ちゃんと見ようね ## memo falcoいいよ - 何かあった時に通知して欲しい系のやつ 本筋関係ないけどGrafana Loki良いな https://medium.com/orangesys/grafana-logging-using-loki-276d04e0981c