Elastic publico un post en donde se explora un posible enfoque para recopilar y formatear registros de OpenShift Container Platform y registros de auditoría con Red Hat OpenShift Logging Operador. ¡Recomendamos utilizar Elastic® Agent para obtener la mejor experiencia posible! También mostraremos cómo formatear los registros en Elastic Common Schema ( ECS ) para obtener la mejor experiencia al ver, buscar y visualizar sus registros. Todos los ejemplos de este blog se basan en OpenShift 4.14.
¿Por qué utilizar el operador de registro OpenShift?
Muchos clientes empresariales utilizan OpenShift como solución de orquestación. Las ventajas de este enfoque son:
Está desarrollado y soportado por Red Hat.
Puede actualizar automáticamente el clúster OpenShift junto con el sistema operativo para asegurarse de que sean y sigan siendo compatibles.
Puede acelerar el desarrollo de los ciclos de vida con funciones como la fuente a la imagen.
Utiliza seguridad mejorada.
La experiencia de consultoría, este último aspecto plantea desafíos y fricciones con los administradores de OpenShift cuando intentamos instalar un Elastic Agent para recopilar los registros de los pods. De hecho, Elastic Agent requiere que los archivos del host estén montados en el pod y también debe ejecutarse en modo privilegiado. (Lea más sobre los permisos requeridos por Elastic Agent en la documentación oficial de Elasticsearch® ). Si bien la solución que exploramos en esta publicación requiere privilegios internos similares, está administrada por OpenShift Logging Operador, desarrollado y respaldado por Red Hat.
¿Qué registros vamos a recopilar?
En OpenShift Container Platform, distinguimos tres categorías amplias de registros : registros de auditoría, de aplicaciones y de infraestructura:
Los registros de auditoría describen la lista de actividades que afectaron al sistema por parte de usuarios, administradores y otros componentes.
Los registros de aplicaciones se componen de registros de contenedores de los pods que se ejecutan en espacios de nombres no reservados.
Los registros de infraestructura se componen de registros de contenedores de los pods que se ejecutan en espacios de nombres reservados como openshift*, kube* y default junto con mensajes registrados en el diario de los nodos.
Para el ecceso completo al informe, pueden acceder al siguiente enlace, haciendo clic en el mismo. Desde Elastic se considerara solo los registros de auditoría y de aplicaciones por razones de simplicidad.