操作场景

容器服务 TKE 为用户提供了开箱即用的审计仪表盘。在集群开启集群审计功能后，TKE 将自动为该集群配置审计总览、节点操作总览、K8S 对象操作概览、聚合检索仪表盘。还支持用户自定义配置过滤项，同时内置 CLS 的全局检索，方便用户观测和检索各类集群操作，以便于及时发现和定位问题。

功能介绍

审计检索中配置了五个大盘，分别是“审计总览”、“节点操作总览”、“K8S对象操作概览”、“聚合检索”、“全局检索”。请按照以下步骤进入“审计检索”页面，开始使用对应功能：

1. 登录 容器服务控制台。
2. 开启集群审计功能，详情请参见 集群审计。
3. 选择导航栏左侧【集群运维】>【审计检索】，进入“审计检索”页面。

审计总览

当您想观测整个集群 APIserver 操作时，可在“审计总览”页面设置过滤条件，查看核心审计日志的汇总统计信息，并展示一个周期内的数据对比。例如，核心审计日志的统计数、分布情况、重要操作趋势等。
在过滤项中，您可根据自己需求进行个性化配置（最多可设置10个过滤项），如下图所示：

您可修改过滤项自定义字段，如下图所示：

您还可在该页面中查看更多统计信息，如下所示：

• 核心审计日志的统计数仪表盘：
  
• 分布情况仪表盘：
  
• 重要操作趋势仪表盘：
  

节点操作总览

当您需要排查节点相关问题时，可在“节点操作总览”页面设置过滤条件，查看各类节点操作相关的仪表，包括 create、delete、patch、update、封锁、驱逐等。如下图所示：

K8S 对象操作概览

当您需要排查 K8S 对象（例如某个工作负载）的相关问题时，可在 “K8S 对象操作概览”页面设置过滤条件，查看各类 K8S 对象的操作概览、对应的操作用户、相应的审计日志列表，以查找更多的细节。如下图所示：

聚合检索

当您想观测某个维度下审计日志的分布趋势，可在“聚合检索”页面设置过滤条件，查看各类重要操作的时序图。纬度包括操作用户、命名空间、操作类型、状态码、资源类型以及相应的审计日志列表。如下图所示：

全局检索

全局检索仪表盘中内嵌了 CLS 的检索分析页面，方便用户在容器服务控制台也能快速检索全部审计日志。如下图所示：