Cette documentation concerne la version la plus récente de GKE sur Azure, publiée en novembre 2021. Consultez les notes de version pour plus d'informations.

Cloud Audit Logs

Présentation

Les clusters Anthos sur Azure sont compatibles avec la journalisation d'audit au niveau des API Cloud et du cluster Kubernetes. Ce document fournit des informations sur la journalisation d'audit des clusters Kubernetes. Pour en savoir plus sur les journaux d'audit des API Cloud, consultez la page Informations sur les journaux d'audit des API Cloud.

Les clusters Anthos sur Azure utilisent la Journalisation d'audit Kubernetes, qui conserve un enregistrement chronologique des appels passés vers le serveur de l'API Kubernetes d'un cluster. Les journaux d'audit sont utiles pour analyser les requêtes API suspectes et collecter des statistiques.

Dans les versions de cluster 1.23 et ultérieures, les clusters Anthos sur Azure écrivent les journaux d'audit Cloud dans un projet Google Cloud par défaut. L'écriture de journaux d'audit Cloud présente les avantages suivants :

Les journaux d'audit de tous les clusters Anthos GKE peuvent être centralisés.
Les entrées de journal écrites dans Cloud Audit Logging sont immuables.
Les entrées Cloud Audit Logging sont conservées pendant 400 jours.
Cloud Audit Logging est inclus dans le prix d'Anthos.

Limites

La version actuelle des journaux d'audit Cloud pour les clusters Anthos sur Azure présente plusieurs limites :

La journalisation des accès aux données (get, list, watch) n'est pas prise en charge.
La modification de la stratégie d'audit Kubernetes n'est pas acceptée.
Cloud Audit Logging n'est pas résilient aux pannes réseau étendues. Si les entrées de journal ne peuvent pas être exportées vers Google Cloud, elles sont mises en cache dans un tampon de disque de 10 Go. Si ce tampon est plein, les entrées suivantes sont ignorées.

Règle d'audit

Le comportement de Cloud Audit Logging est déterminé par une règle de journalisation d'audit Kubernetes configurée de manière statique. La modification de cette règle n'est pas possible pour le moment, mais elle sera disponible dans une version ultérieure.

Accéder à Cloud Audit Logs

Vous pouvez accéder aux journaux d'audit Cloud dans la console Google Cloud ou avec Google Cloud CLI.

Console

Dans la console, accédez à la page Explorateur de Journaux du menu Journalisation.

Accéder à la page Journaux
Cliquez sur le bouton Afficher la requête.

Renseignez la zone de texte avec le filtre suivant :

resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
protoPayload.serviceName="gkemulticloud.googleapis.com"

L'écran ressemble à ceci :

Explorateur de journaux avec l'option "Afficher la requête" activée et renseignée

Cliquez sur Exécuter la requête pour afficher tous les journaux d'audit des clusters Anthos sur Azure configurés pour se connecter à ce projet.

gcloud

Répertoriez les deux premières entrées du journal d'activité d'administration de votre projet qui s'appliquent au type de ressource k8s_cluster :

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="gkemulticloud.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

où PROJECT_ID correspond à l'ID de votre projet.

La sortie affiche deux entrées de journal. Notez que pour chaque entrée de journal, le champ logName a la valeur projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity et que protoPayload.serviceName est égal à gkemulticloud.googleapis.com.