日志记录 5.8 - 日志记录 | 可观察性 | Red Hat OpenShift Service on AWS

编辑

日志记录 5.8.4
- 错误修复
- CVE
日志记录 5.8.3
- 错误修复
- CVE
日志记录 5.8.2
- 错误修复
- CVE
日志记录 5.8.1
日志记录 5.8.0

日志记录作为可安装组件提供，具有与 AWS 上的核心 Red Hat OpenShift 服务不同的发布周期。 Red Hat OpenShift Container Platform 生命周期策略概述了发行版兼容性。

稳定通道仅提供对最新日志记录版本的更新。要继续接收先前版本的更新，您必须将订阅通道更改为stable-x.y，其中x.y表示您已安装的日志记录的主版本和次版本。例如，stable-5.7。

日志记录 5.8.4

此版本包含 OpenShift 日志记录错误修复版本 5.8.4。

编辑

错误修复

在此更新之前，开发者控制台的日志未考虑当前命名空间，导致没有集群范围日志访问权限的用户查询被拒绝。通过此更新，所有受支持的 OCP 版本都确保正确包含命名空间。（LOG-4905）
在此更新之前，集群日志记录操作员仅在默认日志输出为 LokiStack 时才部署支持 LokiStack 部署的ClusterRoles。通过此更新，角色被分成两组：读取和写入。写入角色根据默认日志存储的设置部署，就像以前所有角色一样。读取角色根据日志记录控制台插件是否活动来部署。（LOG-4987）
在此更新之前，定义相同输入接收器名称的多个ClusterLogForwarders由于一个服务上的ownerReferences更改而导致其服务无休止地协调。通过此更新，每个接收器输入都将拥有自己的服务，其名称约定为<CLF.Name>-<input.Name>。（LOG-5009）
在此更新之前，ClusterLogForwarder在没有密钥的情况下将日志转发到 cloudwatch 时不会报告错误。通过此更新，在没有密钥的情况下将日志转发到 cloudwatch 时，会出现以下错误消息：secret must be provided for cloudwatch output。（LOG-5021）
在此更新之前，log_forwarder_input_info包含application、infrastructure和audit输入度量点。通过此更新，还添加了http作为度量点。（LOG-5043）

日志记录 5.8.3

此版本包含日志记录错误修复 5.8.3 和日志记录安全修复 5.8.3

编辑

错误修复

在此更新之前，当配置为读取自定义 S3 证书颁发机构时，Loki 运算符不会在 ConfigMap 的名称或内容更改时自动更新配置。通过此更新，Loki 运算符正在监视 ConfigMap 的更改并自动更新生成的配置。（LOG-4969）
在此更新之前，配置没有有效 URL 的 Loki 输出会导致收集器 pod 崩溃。通过此更新，输出需要进行 URL 验证，从而解决了此问题。（LOG-4822）
在此更新之前，集群日志记录运算符会为未指定使用服务帐户持有者令牌的密钥的输出生成收集器配置字段。通过此更新，输出不需要身份验证，从而解决了此问题。（LOG-4962）
在此更新之前，输出配置允许将不安全 (HTTP) URL 与 TLS 身份验证结合使用。通过此更新，配置为 TLS 身份验证的输出需要安全的 (HTTPS) URL。（LOG-4963）
在此更新之前，输出配置允许将不安全 (HTTP) URL 与 TLS 身份验证结合使用。通过此更新，配置为 TLS 身份验证的输出需要安全的 (HTTPS) URL。（LOG-4893）

CVE

日志记录 5.8.2

此版本包含 OpenShift 日志记录错误修复版本 5.8.2。

编辑

错误修复

在此更新之前，LokiStack ruler pod 不会在用于 pod 间通信的 HTTP URL 中格式化 IPv6 pod IP，导致通过与 Prometheus 兼容的 API 查询规则和警报失败。通过此更新，LokiStack ruler pod 将 IPv6 pod IP 封装在方括号中，从而解决了此问题。（LOG-4890）
在此更新之前，开发者控制台日志未考虑当前命名空间，导致没有集群范围日志访问权限的用户查询被拒绝。通过此更新，已更正命名空间包含，从而解决了此问题。（LOG-4947）
在此更新之前，AWS Web 控制台上的 Red Hat OpenShift Service 日志查看插件不允许自定义节点放置和容忍度。此更新为 AWS Web 控制台上的 Red Hat OpenShift Service 日志查看插件添加了自定义节点放置和容忍度的定义功能。（LOG-4912）

CVE

日志 5.8.1

此版本包含 OpenShift 日志错误修复版本 5.8.1 和 OpenShift 日志错误修复版本 5.8.1 Kibana。

增强功能

编辑

日志收集

在此更新中，在将 Vector 配置为收集器时，您可以向 Red Hat OpenShift Logging Operator 添加逻辑，以使用密钥中指定的令牌替换与服务帐户关联的令牌。（LOG-4780）
在此更新中，**BoltDB Shipper** Loki 仪表板现已重命名为**索引**仪表板。（LOG-4828）

错误修复

在此更新之前，即使未满足滚动条件，ClusterLogForwarder 在启用 JSON 日志解析后也会创建空索引。在此更新中，当write-index为空时，ClusterLogForwarder将跳过滚动。（LOG-4452）
在此更新之前，Vector 错误地设置了default日志级别。在此更新中，通过改进日志级别检测的正则表达式或regexp增强功能来设置正确的日志级别。（LOG-4480）
在此更新之前，在创建索引模式的过程中，每个日志输出中的初始索引中缺少默认别名。结果，Kibana 用户无法使用 OpenShift Elasticsearch Operator 创建索引模式。此更新将缺少的别名添加到 OpenShift Elasticsearch Operator，从而解决了此问题。Kibana 用户现在可以创建包含{app,infra,audit}-000001索引的索引模式。（LOG-4683）
在此更新之前，由于在 IPv6 集群上绑定 Prometheus 服务器，Fluentd 收集器 pod 处于CrashLoopBackOff状态。在此更新中，收集器可在 IPv6 集群上正常工作。（LOG-4706）
在此更新之前，每当ClusterLogForwarder发生更改时，Red Hat OpenShift Logging Operator 都会进行多次协调。在此更新中，Red Hat OpenShift Logging Operator 会忽略触发协调的收集器 daemonsets 中的状态更改。（LOG-4741）
在此更新之前，Vector 日志收集器 pod 在 IBM Power 机器上卡在CrashLoopBackOff状态。在此更新中，Vector 日志收集器 pod 可在 IBM Power 架构机器上成功启动。（LOG-4768）
在此更新之前，使用 Fluentd 收集器 pod 将日志转发到内部 LokiStack 的旧版转发器会产生 SSL 证书错误。在此更新中，日志收集器服务帐户默认用于身份验证，使用关联的令牌和ca.crt。（LOG-4791）
在此更新之前，使用 Vector 收集器 pod 将日志转发到内部 LokiStack 的旧版转发器会产生 SSL 证书错误。在此更新中，日志收集器服务帐户默认用于身份验证，也使用关联的令牌和ca.crt。（LOG-4852）
在此修复之前，在为占位符评估主机或多个主机后，IPv6 地址将无法正确解析。在此更新中，IPv6 地址已正确解析。（LOG-4811）
在此更新之前，需要创建一个ClusterRoleBinding来收集 HTTP 接收器输入的审核权限。在此更新中，无需创建ClusterRoleBinding，因为端点已依赖于集群证书颁发机构。（LOG-4815）
在此更新之前，Loki Operator 不会将自定义 CA 捆绑包挂载到 ruler pod。结果，在评估警报或记录规则的过程中，对象存储访问失败。在此更新中，Loki Operator 将自定义 CA 捆绑包挂载到所有 ruler pod。ruler pod 可以从对象存储下载日志以评估警报或记录规则。（LOG-4836）
在此更新之前，删除ClusterLogForwarder中的inputs.receiver部分时，不会删除 HTTP 输入服务及其关联的密钥。在此更新中，不需要时会删除 HTTP 输入资源。（LOG-4612）
在此更新之前，ClusterLogForwarder会在状态中指示验证错误，但输出和管道状态并未准确反映具体问题。在此更新中，如果输出、输入或过滤器配置错误，管道状态会正确显示验证失败原因。（LOG-4821）
在此更新之前，更改使用时间范围或严重性等控件的LogQL查询会更改定义它的标签匹配器运算符，使其像正则表达式一样。在此更新中，更新查询时正则表达式运算符保持不变。（LOG-4841）

CVE

CVE-2007-4559
CVE-2021-3468
CVE-2021-3502
CVE-2021-3826
CVE-2021-43618
CVE-2022-3523
CVE-2022-3565
CVE-2022-3594
CVE-2022-4285
CVE-2022-38457
CVE-2022-40133
CVE-2022-40982
CVE-2022-41862
CVE-2022-42895
CVE-2023-0597
CVE-2023-1073
CVE-2023-1074
CVE-2023-1075
CVE-2023-1076
CVE-2023-1079
CVE-2023-1206
CVE-2023-1249
CVE-2023-1252
CVE-2023-1652
CVE-2023-1855
CVE-2023-1981
CVE-2023-1989
CVE-2023-2731
CVE-2023-3138
CVE-2023-3141
CVE-2023-3161
CVE-2023-3212
CVE-2023-3268
CVE-2023-3316
CVE-2023-3358
CVE-2023-3576
CVE-2023-3609
CVE-2023-3772
CVE-2023-3773
CVE-2023-4016
CVE-2023-4128
CVE-2023-4155
CVE-2023-4194
CVE-2023-4206
CVE-2023-4207
CVE-2023-4208
CVE-2023-4273
CVE-2023-4641
CVE-2023-22745
CVE-2023-26545
CVE-2023-26965
CVE-2023-26966
CVE-2023-27522
CVE-2023-29491
CVE-2023-29499
CVE-2023-30456
CVE-2023-31486
CVE-2023-32324
CVE-2023-32573
CVE-2023-32611
CVE-2023-32665
CVE-2023-33203
CVE-2023-33285
CVE-2023-33951
CVE-2023-33952
CVE-2023-34241
CVE-2023-34410
CVE-2023-35825
CVE-2023-36054
CVE-2023-37369
CVE-2023-38197
CVE-2023-38545
CVE-2023-38546
CVE-2023-39191
CVE-2023-39975
CVE-2023-44487

日志 5.8.0

此版本包含 OpenShift 日志错误修复版本 5.8.0 和 OpenShift 日志错误修复版本 5.8.0 Kibana。

编辑

弃用通知

在 Logging 5.8 中，Elasticsearch、Fluentd 和 Kibana 已弃用，并计划在 Logging 6.0 中移除，后者预计将与未来版本的 Red Hat OpenShift Service on AWS 一起发布。Red Hat 将在当前发布周期内为这些组件提供关键及以上级别的 CVE 错误修复和支持，但这些组件将不再接收功能增强。Red Hat OpenShift Logging Operator 提供的基于 Vector 的收集器和 Loki Operator 提供的 LokiStack 是首选的日志收集和存储 Operator。我们鼓励所有用户采用 Vector 和 Loki 日志栈，因为这将是未来会得到增强的日志栈。

增强功能

日志收集

在此更新中，LogFileMetricExporter 默认不再与收集器一起部署。您必须手动创建一个LogFileMetricExporter自定义资源 (CR) 来生成由运行容器生成的日志的指标。如果您没有创建LogFileMetricExporter CR，您可能会在 Red Hat OpenShift Service on AWS Web 控制台仪表板的“已生成日志”中看到未找到数据点消息。（LOG-3819)

在此更新中，您可以在任何命名空间中部署多个、隔离的且受 RBAC 保护的ClusterLogForwarder自定义资源 (CR) 实例。这允许独立组将所需的日志转发到任何目标，同时将其配置与其他收集器部署隔离开。（LOG-1343)

为了支持在openshift-logging命名空间之外的其他命名空间中的多集群日志转发，您必须更新 Red Hat OpenShift Logging Operator 以监视所有命名空间。此功能在新版 Red Hat OpenShift Logging Operator 5.8 安装中默认支持。

在此更新中，您可以使用流量控制或速率限制机制来限制可以收集或转发的数据量，方法是丢弃多余的日志记录。输入限制可防止性能不佳的容器过载日志记录，而输出限制则限制了发送到给定数据存储的日志速率。（LOG-884)
在此更新中，您可以配置日志收集器以查找 HTTP 连接并接收日志作为 HTTP 服务器，也称为 Webhook。（LOG-4562)
在此更新中，您可以配置审核策略以控制日志收集器转发的 Kubernetes 和 OpenShift API 服务器事件。（LOG-3982)

日志存储

在此更新中，LokiStack 管理员可以通过基于命名空间授予对日志的访问权限，从而对谁可以访问哪些日志拥有更细粒度的控制。（LOG-3841)
在此更新中，Loki Operator 在 LokiStack 部署中引入了PodDisruptionBudget配置，以通过保持摄取和查询路径可用性来确保在 Red Hat OpenShift Service on AWS 集群重启期间的正常运行。（LOG-3839)
在此更新中，通过应用一组默认的亲和性和反亲和性策略，可以无缝提高现有 LokiStack 安装的可靠性。（LOG-3840)
在此更新中，管理员可以在 LokiStack 中管理区域感知数据复制，以增强在区域故障时的可靠性。（LOG-3266)
在此更新中，为承载少量工作负载和较小摄取量（最多 100GB/天）的 Red Hat OpenShift Service on AWS 集群引入了新的受支持的小规模 LokiStack 大小 1x.extra-small。（LOG-4329)
在此更新中，LokiStack 管理员可以访问官方 Loki 仪表板，以检查存储性能和每个组件的运行状况。（LOG-4327)

日志控制台

在此更新中，当 Elasticsearch 是默认日志存储时，您可以启用日志控制台插件。（LOG-3856)
在此更新中，Red Hat OpenShift Service on AWS 应用程序所有者可以在 Red Hat OpenShift Service on AWS Web 控制台的 Red Hat OpenShift Service on AWS 4.14 及更高版本的开发者视角中接收基于应用程序日志的警报通知。（LOG-3548)

已知问题

目前，升级到 Red Hat OpenShift Logging Operator 5.8 版后，Splunk 日志转发可能无法正常工作。此问题是由 OpenSSL 版本从 1.1.1 迁移到 3.0.7 引起的。在较新的 OpenSSL 版本中，存在默认行为更改，如果连接到 TLS 1.2 端点不公开RFC 5746扩展，则会拒绝这些连接。

作为解决方法，请在 Splunk HEC（HTTP 事件收集器）端点前的 TLS 终止负载均衡器上启用 TLS 1.3 支持。Splunk 是第三方系统，应从 Splunk 端进行配置。
目前，处理 HTTP/2 协议中的多路复用流存在缺陷，您可以反复请求新的多路复用流并立即发送RST_STREAM帧以取消它。这为服务器设置和拆除流增加了额外的工作，由于服务器资源消耗导致拒绝服务。目前没有解决此问题的办法。（LOG-4609)
目前，当使用 FluentD 作为收集器时，收集器 pod 无法在 Red Hat OpenShift Service on AWS IPv6 启用集群上启动。pod 日志会产生fluentd pod [error]: unexpected error error_class=SocketError error="getaddrinfo: Name or service not known错误。目前没有解决此问题的办法。（LOG-4706)
目前，日志警报在启用 IPv6 的集群上不可用。目前没有解决此问题的办法。（LOG-4709)
目前，must-gather无法在启用 FIPS 的集群上收集任何日志，因为cluster-logging-rhel9-operator中没有所需的 OpenSSL 库。目前没有解决此问题的办法。（LOG-4403)
目前，在启用 FIPS 的集群上部署日志记录版本 5.8 时，当使用 FluentD 作为收集器时，收集器 pod 无法启动并卡在CrashLoopBackOff状态。目前没有解决此问题的办法。（LOG-3933)

CVE

CVE-2023-40217