在k8s上，关于启动/停止pod/容器的审计日志存储在哪里？

在Kubernetes上，关于启动/停止Pod/容器的审计日志默认存储在API服务器的事件存储中。可以通过查询API服务器的事件API来获取这些审计日志。

以下是一个使用kubectl命令行工具查询审计日志的示例：

# 查询所有Pod事件
kubectl get events --all-namespaces

# 查询特定Pod事件
kubectl get events --namespace <namespace> --field-selector involvedObject.name=<pod-name>

如果你想通过代码获取审计日志，可以使用Kubernetes的客户端库，如client-go。以下是一个使用client-go获取审计日志的示例：

package main

import (
	"context"
	"flag"
	"fmt"
	"log"

	"k8s.io/client-go/kubernetes"
	"k8s.io/client-go/tools/clientcmd"
)

func main() {
	kubeconfig := flag.String("kubeconfig", "", "path to kubeconfig file")
	flag.Parse()

	// 使用kubeconfig创建一个Kubernetes客户端
	config, err := clientcmd.BuildConfigFromFlags("", *kubeconfig)
	if err != nil {
		log.Fatalf("Failed to build config: %v", err)
	}

	clientset, err := kubernetes.NewForConfig(config)
	if err != nil {
		log.Fatalf("Failed to create client: %v", err)
	}

	// 查询所有Pod事件
	events, err := clientset.CoreV1().Events("").List(context.TODO(), metav1.ListOptions{})
	if err != nil {
		log.Fatalf("Failed to list events: %v", err)
	}

	// 打印事件信息
	for _, event := range events.Items {
		fmt.Printf("Event: %s - %s - %s\n", event.Namespace, event.InvolvedObject.Name, event.Message)
	}
}

确保你已经安装了client-go库，可以使用以下命令进行安装：

go get k8s.io/client-go@v0.20.0

使用上述示例代码，你可以获取Kubernetes上关于启动/停止Pod/容器的审计日志。根据需要，你可以进行进一步的过滤和处理。