Versione 1.11. Questa versione non è più supportata. Per ulteriori informazioni, consulta le norme relative all'assistenza per le versioni. Per informazioni su come eseguire l'upgrade alla versione 1.12, consulta la pagina relativa all'upgrade di Anthos su Bare Metal nella documentazione della versione 1.12.

Versioni supportate disponibili: 1.14 | 1.13 | 1.12

Usa audit log

Questo documento descrive come utilizzare Cloud Audit Logs per Cluster Anthos on bare metal. Cluster Anthos on bare metal utilizza Kubernetes Audit Logging, che mantiene un record cronologico delle chiamate effettuate al server dell'API Kubernetes del cluster. Gli audit log sono utili per l'analisi delle richieste API sospette e per la raccolta di statistiche.

Informazioni sugli audit log di Cloud

Gli audit log vengono scritti in Cloud Audit Logs nel tuo progetto Google Cloud. La scrittura in Cloud Audit Logs offre diversi vantaggi rispetto alla scrittura su disco o all'acquisizione di log in un sistema di logging on-premise:

Gli audit log per tutti i cluster Anthos possono essere centralizzati.
Le voci di log scritte in Cloud Audit Logs sono immutabili.
Le voci di Cloud Audit Logs vengono conservate per 400 giorni.
La funzionalità Cloud Audit Logs è inclusa nel prezzo di Anthos.
Puoi configurare Cluster Anthos on bare metal per scrivere log su disco o su Cloud Audit Logs.

Audit log basato su disco

Se gli audit log di Cloud sono disabilitati esplicitamente, gli audit log nei cluster Anthos su Bare Metal vengono scritti su un disco permanente in modo che i riavvii e gli upgrade dei cluster non scompaiano. Cluster Anthos on bare metal conserva fino a 1 GiB di voci di log di controllo.

Accedi agli audit log basati su disco effettuando l'accesso ai nodi del piano di controllo. I log si trovano nella directory /var/log/apiserver/.

Cloud Audit Logs

Le voci del log di controllo dell'attività di amministrazione di tutti i server API Kubernetes vengono inviate a Google Cloud, utilizzando il progetto e la località specificati quando crei un cluster utente. Per eseguire il buffering e scrivere le voci di log in Cloud Audit Logs, Cluster Anthos on bare metal esegue il deployment di un set di daemon audit-proxy che viene eseguito sui nodi del piano di controllo.

Limitazioni

Cloud Audit Logs per Cluster Anthos on bare metal ha le seguenti limitazioni:

Il logging degli accessi ai dati non è supportato.
La modifica del criterio di controllo di Kubernetes non è supportata.
Cloud Audit Logs non è resiliente alle interruzioni di rete estese. Se le voci di log non possono essere esportate in Google Cloud, vengono memorizzate nella cache in un buffer di disco da 10 GiB, Se il buffer si riempie, le voci meno recenti vengono eliminate.

Creazione di un account di servizio per Cloud Audit Logs

Prima di poter utilizzare Cloud Logging e Cloud Monitoring con Cluster Anthos on bare metal, devi prima configurare quanto segue:

Creare un'area di lavoro Cloud Monitoring all'interno del progetto Google Cloud, se non ne hai già una.

Nella console Google Cloud, fai clic sul pulsante seguente e segui il flusso di lavoro.

Vai a Monitoring
Fai clic sui seguenti pulsanti per abilitare le API richieste:

Abilita l'API Anthos Audit

Abilita l'API Stackdriver

Abilita l'API Monitoring

Abilita l'API Logging
Assegna i seguenti ruoli IAM all'account di servizio utilizzato dagli agenti Stackdriver:
- logging.logWriter
- monitoring.metricWriter
- stackdriver.resourceMetadata.writer
- monitoring.dashboardEditor

Accesso agli audit log di Cloud

Console

Nella console Google Cloud, vai alla pagina Esplora log nel menu Logging.

Vai a Esplora log

Se viene visualizzata la pagina Visualizzatore log legacy, scegli Esegui l'upgrade al nuovo Esplora log dal menu a discesa Esegui l'upgrade.
Fai clic su Query per accedere alla casella di testo per l'invio delle query.

Compila la casella di testo con la seguente query:

resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
protoPayload.serviceName="anthosgke.googleapis.com"

Sostituisci PROJECT_ID con l'ID progetto.

Fai clic su Esegui query per visualizzare tutti gli audit log dei cluster Anthos su cluster Bare Metal configurati per accedere a questo progetto.

gcloud

Elenca le prime due voci di log nel log dell'attività di amministrazione del progetto applicabili al tipo di risorsa k8s_cluster:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

Sostituisci PROJECT_ID con l'ID progetto.

L'output mostra due voci di log. Tieni presente che per ogni voce di log il valore del campo logName è projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity e protoPayload.serviceName è uguale a anthosgke.googleapis.com.

Criteri di audit

Il criterio di controllo di Kubernetes definisce le regole per quali eventi vengono registrati come voci di log e specifica i dati che le voci di log devono includere. La modifica di questo criterio per modificare il comportamento di Cloud Audit Logs non è attualmente supportata.