跳转到内容

事件与审计

事件和审计用于还原故障时间线。事件记录 Kubernetes 调度、拉镜像、挂载、驱逐等动作;审计记录用户、控制器或自动化系统对 API Server 的操作。


Terminal window
kubectl get events -A --sort-by=.lastTimestamp
kubectl get events -n <namespace> --field-selector involvedObject.name=<pod-name>
kubectl describe pod <pod-name> -n <namespace>

事件适合定位:

  • Pod Pending 原因。
  • 镜像拉取失败。
  • PVC 绑定和挂载失败。
  • 节点驱逐和资源不足。
  • 调度失败和污点不匹配。

Reason含义
FailedScheduling调度失败
FailedMount卷挂载失败
BackOff容器重启退避
Unhealthy探针失败
EvictedPod 被驱逐
FailedCreatePodSandBoxPod 沙箱创建失败

场景关注对象
误删资源delete namespace/deployment/pvc
权限变更rolebinding/clusterrolebinding
配置变更configmap/secret/deployment patch
入口变更ingress/service annotation
扩缩容scale deployment/nodepool

审计日志需要和 GitOps、CI/CD、控制台操作记录一起看,避免只看到 Kubernetes 资源变化却找不到操作者。


时间:
影响范围:
首次告警:
相关事件:
相关操作:
日志证据:
恢复动作:
后续改进:

复盘时把事件、审计、日志、监控曲线放在同一时间轴上,能更快区分“触发原因”和“连锁反应”。