Usa el registro de auditoría

En este documento, se describe cómo usar los Registros de auditoría de Cloud para clústeres de Anthos en equipos físicos. Los clústeres de Anthos en equipos físicos usan el registro de auditoría de Kubernetes, que mantiene un registro cronológico de las llamadas realizadas al servidor de la API de Kubernetes de un clúster. Los registros de auditoría son útiles para investigar solicitudes a la API sospechosas y recopilar estadísticas.

Acerca de los Registros de auditoría de Cloud

Los registros de auditoría se escriben en Registros de auditoría de Cloud en tu proyecto de Google Cloud. Escribir en los registros de auditoría de Cloud tiene varios beneficios en comparación con escribir en el disco o incluso capturar registros en un sistema de registro local:

  • Los registros de auditoría para todos los clústeres de Anthos se pueden centralizar.
  • Las entradas de registro escritas en los registros de auditoría de Cloud son inmutables.
  • Las entradas de los registros de auditoría de Cloud se retienen durante 400 días.
  • Los registros de auditoría de Cloud se incluyen en el precio de Anthos.
  • Puedes configurar clústeres de Anthos en equipos físicos para escribir registros en el disco o en los registros de auditoría de Cloud.

Registro de auditoría basado en discos

Si los Registros de auditoría de Cloud se inhabilitan de forma explícita, los registros de auditoría en los clústeres de Anthos en equipos físicos se escriben en un disco persistente para que los reinicios y las actualizaciones del clúster no causen la desaparición de los registros. Los clústeres de Anthos en equipos físicos retienen hasta 1 GiB de entradas de registro de auditoría.

Accede a los registros de auditoría basados en discos mediante el acceso a los nodos del plano de control. Los registros se encuentran en el directorio /var/log/apiserver/.

Registros de auditoría de Cloud

Las entradas de registro de auditoría de la actividad del administrador de todos los servidores de la API de Kubernetes se envían a Google Cloud con el proyecto y la ubicación que especifiques cuando crees un clúster de usuario. Para almacenar en búfer y escribir entradas de registro en los registros de auditoría de Cloud, los clústeres de Anthos en el equipo físico implementan un daemon audit-proxy que se ejecuta en los nodos del plano de control.

Limitaciones

Los registros de auditoría de Cloud para los clústeres de Anthos en equipos físicos tienen las siguientes limitaciones:

  • No se admite el registro de acceso a los datos.
  • No se admite la modificación de la política de auditoría de Kubernetes.
  • Los registros de auditoría de Cloud no es resiliente a las interrupciones de red ampliada. Si las entradas de registro no se pueden exportar a Google Cloud, se almacenarán en caché en un búfer de disco de 10 GiB. Si ese búfer se llena, se descartan las entradas más antiguas.

Crea una cuenta de servicio para los registros de auditoría de Cloud

Antes de poder usar Cloud Logging y Cloud Monitoring con clústeres de Anthos en equipos físicos, primero debes configurar lo siguiente:

  1. Crea un lugar de trabajo de Cloud Monitoring dentro del proyecto de Google Cloud, si todavía no tienes uno.

    En la consola de Google Cloud, haz clic en el siguiente botón y sigue el flujo de trabajo.

    Ir a Monitoring

  2. Haz clic en los siguientes botones para habilitar las API requeridas:

    Habilita la API de auditoría de Anthos

    Habilitar la API de Stackdriver

    Habilita la API de Monitoring

    Habilita la API de Logging

  3. Asigna las siguientes funciones de IAM a la cuenta de servicio que usan los agentes de Stackdriver:

    • logging.logWriter
    • monitoring.metricWriter
    • stackdriver.resourceMetadata.writer
    • monitoring.dashboardEditor

Accede a Registros de auditoría de Cloud

Consola

  1. En la consola de Google Cloud, ve a la página Explorador de registros en el menú de Logging.

    Ir al Explorador de registros.

    Si se abrirá la página Visor de registros heredados, selecciona Actualizar al nuevo Explorador de registros en el menú desplegable Actualizar.

  2. Haz clic en Consulta para acceder al cuadro de texto a fin de enviar consultas.

  3. Completa el cuadro de texto con la siguiente consulta:

    resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
protoPayload.serviceName="anthosgke.googleapis.com"

    Reemplaza PROJECT_ID con el ID del proyecto.

  4. Haz clic en Ejecutar consulta a fin de mostrar todos los registros de auditoría de los clústeres de Anthos en clústeres de equipos físicos que se configuraron para acceder a este proyecto.

gcloud

Enumera las dos primeras entradas en el registro de actividad de administrador de tu proyecto que se aplican al tipo de recurso k8s_cluster:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

Reemplaza PROJECT_ID con el ID del proyecto.

Los resultados muestran dos entradas de registro. Ten en cuenta que para cada entrada de registro, el campo logName tiene el valor projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity, y protoPayload.serviceName es igual a anthosgke.googleapis.com.

Política de auditoría

La política de auditoría de Kubernetes define reglas para los eventos que se registren como entradas de registro y especifica qué datos deben incluir las entradas del registro. Por el momento, no se admite el cambio de esta política para modificar el comportamiento de los registros de auditoría de Cloud.