Überblick
GKE on AWS unterstützt Audit-Logging sowohl auf Cloud API- als auch auf Kubernetes-Clusterebene. Dieses Dokument enthält Informationen zum Audit-Logging von Kubernetes-Clustern. Informationen zum Cloud API-Audit-Logging finden Sie unter Informationen zum Cloud API-Audit-Logging.
GKE on AWS nutzt Kubernetes Audit Logging, das eine chronologische Aufzeichnung der Aufrufe an den Kubernetes API-Server eines Clusters speichert. Audit-Logs sind nützlich, um verdächtige API-Anfragen zu untersuchen und Statistiken zu erfassen.
Ab Clusterversion 1.23 schreibt GKE on AWS standardmäßig Cloud-Audit-Logs in ein Google Cloud-Projekt. Das Schreiben in Cloud-Audit-Logs hat folgende Vorteile:
- Audit-Logs für alle GKE-Cluster können zentralisiert werden.
- In Cloud-Audit-Logs geschriebene Logeinträge sind unveränderlich.
- Cloud-Audit-Logeinträge werden 400 Tage lang aufbewahrt.
- Cloud-Audit-Logs sind im Preis von Anthos enthalten.
Beschränkungen
Die aktuelle Version von Cloud-Audit-Logs für GKE on AWS hat mehrere Einschränkungen:
Das Datenzugriffs-Logging (get, list, watch-Anfragen) wird nicht unterstützt.
Das Ändern der Audit-Richtlinie von Kubernetes wird nicht unterstützt.
Cloud-Audit-Logs sind gegenüber erweiterten Netzwerkausfällen nicht resilient. Wenn die Logeinträge nicht in Google Cloud exportiert werden können, werden sie in einem 10-GB-Zwischenspeicher im Cache gespeichert. Wenn dieser Zwischenspeicher voll ist, werden die nachfolgenden Einträge gelöscht.
Hinweise
Um Cloud-Audit-Logs zu aktivieren, müssen Sie ausgehenden Zugriff auf servicecontrol.googleapis.com
von den Subnetzen Ihrer Steuerungsebene aus hinzufügen.
Audit-Richtlinie
Das Verhalten von Cloud-Audit-Logs wird durch eine statisch konfigurierte Audit-Logging-Richtlinie von Kubernetes bestimmt. Das Ändern dieser Richtlinie wird derzeit nicht unterstützt, wird aber in einer zukünftigen Version möglich sein.
Auf Cloud-Audit-Logs zugreifen
Sie können auf Cloud-Audit-Logs in der Google Cloud Console oder mit der Google Cloud-CLI zugreifen.
Console
Rufen Sie in der Google Cloud Console im Menü Logging die Seite Log-Explorer auf.
Klicken Sie auf den Umschalter toggle_off Abfrage anzeigen.
Füllen Sie das Textfeld mit dem folgenden Filter aus:
resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
Der Bildschirm sieht so aus:
Klicken Sie auf Abfrage ausführen, um alle Audit-Logs aus GKE on AWS-Clustern aufzurufen, die für die Anmeldung bei diesem Projekt konfiguriert wurden.
gcloud
Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf, die sich auf den Ressourcentyp k8s_cluster
beziehen:
gcloud logging read \ 'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" AND resource.type="k8s_cluster" ' \ --limit 2 \ --freshness 300d
Dabei ist PROJECT_ID Ihre Projekt-ID.
Es werden zwei Logeinträge ausgegeben. Beachten Sie, dass das Feld logName
für jeden Logeintrag den Wert projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity
hat und protoPayload.serviceName
gleich gkemulticloud.googleapis.com
ist.