Diese Dokumentation bezieht sich auf die aktuelle Version von GKE on AWS, die im November 2021 veröffentlicht wurde. Weitere Informationen finden Sie in den Versionshinweisen.

Cloud-Audit-Logs

Überblick

GKE on AWS unterstützt Audit-Logging sowohl auf Cloud API- als auch auf Kubernetes-Clusterebene. Dieses Dokument enthält Informationen zum Audit-Logging von Kubernetes-Clustern. Informationen zum Cloud API-Audit-Logging finden Sie unter Informationen zum Cloud API-Audit-Logging.

GKE on AWS nutzt Kubernetes Audit Logging, das eine chronologische Aufzeichnung der Aufrufe an den Kubernetes API-Server eines Clusters speichert. Audit-Logs sind nützlich, um verdächtige API-Anfragen zu untersuchen und Statistiken zu erfassen.

Ab Clusterversion 1.23 schreibt GKE on AWS standardmäßig Cloud-Audit-Logs in ein Google Cloud-Projekt. Das Schreiben in Cloud-Audit-Logs hat folgende Vorteile:

Audit-Logs für alle GKE-Cluster können zentralisiert werden.
In Cloud-Audit-Logs geschriebene Logeinträge sind unveränderlich.
Cloud-Audit-Logeinträge werden 400 Tage lang aufbewahrt.
Cloud-Audit-Logs sind im Preis von Anthos enthalten.

Beschränkungen

Die aktuelle Version von Cloud-Audit-Logs für GKE on AWS hat mehrere Einschränkungen:

Das Datenzugriffs-Logging (get, list, watch-Anfragen) wird nicht unterstützt.
Das Ändern der Audit-Richtlinie von Kubernetes wird nicht unterstützt.
Cloud-Audit-Logs sind gegenüber erweiterten Netzwerkausfällen nicht resilient. Wenn die Logeinträge nicht in Google Cloud exportiert werden können, werden sie in einem 10-GB-Zwischenspeicher im Cache gespeichert. Wenn dieser Zwischenspeicher voll ist, werden die nachfolgenden Einträge gelöscht.

Hinweise

Um Cloud-Audit-Logs zu aktivieren, müssen Sie ausgehenden Zugriff auf servicecontrol.googleapis.com von den Subnetzen Ihrer Steuerungsebene aus hinzufügen.

Audit-Richtlinie

Das Verhalten von Cloud-Audit-Logs wird durch eine statisch konfigurierte Audit-Logging-Richtlinie von Kubernetes bestimmt. Das Ändern dieser Richtlinie wird derzeit nicht unterstützt, wird aber in einer zukünftigen Version möglich sein.

Auf Cloud-Audit-Logs zugreifen

Sie können auf Cloud-Audit-Logs in der Google Cloud Console oder mit der Google Cloud-CLI zugreifen.

Console

Rufen Sie in der Google Cloud Console im Menü Logging die Seite Log-Explorer auf.

Zur Seite "Logs"
Klicken Sie auf den Umschalter Abfrage anzeigen.

Füllen Sie das Textfeld mit dem folgenden Filter aus:

resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"

Der Bildschirm sieht so aus:

Log-Explorer mit aktivierter Option „Abfrage anzeigen“ und ausgefüllter Abfrage

Klicken Sie auf Abfrage ausführen, um alle Audit-Logs aus GKE on AWS-Clustern aufzurufen, die für die Anmeldung bei diesem Projekt konfiguriert wurden.

gcloud

Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf, die sich auf den Ressourcentyp k8s_cluster beziehen:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
    AND resource.type="k8s_cluster" ' \
    --limit 2 \
    --freshness 300d

Dabei ist PROJECT_ID Ihre Projekt-ID.

Es werden zwei Logeinträge ausgegeben. Beachten Sie, dass das Feld logName für jeden Logeintrag den Wert projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity hat und protoPayload.serviceName gleich gkemulticloud.googleapis.com ist.