Questa documentazione si riferisce alla versione più recente di GKE su Azure, rilasciata a novembre 2021. Consulta le Note di rilascio per ulteriori informazioni.

Cloud Audit Logs

Panoramica

GKE su Azure supporta l'audit logging sia a livello di API Cloud che di cluster Kubernetes. Questo documento fornisce informazioni sull'audit logging dei cluster Kubernetes. Per informazioni sull'audit logging dell'API Cloud, consulta Informazioni sull'audit logging dell'API Cloud.

GKE su Azure utilizza l'audit logging di Kubernetes, che conserva un record cronologico delle chiamate effettuate al server API Kubernetes di un cluster. Gli audit log sono utili per analizzare le richieste API sospette e per raccogliere statistiche.

Nei cluster 1.23 e versioni successive, GKE su Azure scrive Cloud Audit Logs in un progetto Google Cloud per impostazione predefinita. La scrittura in Cloud Audit Logs offre i seguenti vantaggi:

Gli audit log per tutti i cluster GKE possono essere centralizzati.
Le voci di log scritte in Cloud Audit Logs sono immutabili.
Le voci di Cloud Audit Logs vengono conservate per 400 giorni.
Cloud Audit Logs è incluso nel prezzo di Anthos.

Limitazioni

La versione attuale di Cloud Audit Logs per GKE su Azure presenta diverse limitazioni:

Il logging degli accessi ai dati (get, list, watch) non è supportato.
La modifica del criterio di controllo di Kubernetes non è supportata.
Cloud Audit Logs non è resiliente in caso di interruzioni di rete estese. Se le voci di log non possono essere esportate in Google Cloud, vengono memorizzate nella cache in un buffer del disco da 10 GB. Se il buffer si riempie, le voci successive vengono eliminate.

Criteri di audit

Il comportamento di Cloud Audit Logs è determinato da un criterio di audit logging di Kubernetes configurato in modo statico. La modifica di questo criterio non è al momento supportata, ma sarà disponibile in una release futura.

Accedi a Cloud Audit Logs

Puoi accedere a Cloud Audit Logs nella console Google Cloud o con Google Cloud CLI.

Console

Nella console Google Cloud, vai alla pagina Esplora log nel menu Logging.

Vai alla pagina Log
Fai clic sul pulsante di attivazione/disattivazione Mostra query .

Compila la casella di testo con il filtro seguente:

resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"

La schermata sarà simile alla seguente:

Esplora log con l'opzione Mostra query attivata e completata

Fai clic su Esegui query per visualizzare tutti gli audit log di GKE sui cluster Azure configurati per accedere a questo progetto.

gcloud

Elenca le prime due voci di log nel log delle attività di amministrazione del progetto che si applicano al tipo di risorsa k8s_cluster:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
    AND resource.type="k8s_cluster" ' \
    --limit 2 \
    --freshness 300d

dove PROJECT_ID è l'ID progetto.

L'output mostra due voci di log. Nota che, per ogni voce di log, il campo logName ha il valore projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity e protoPayload.serviceName è uguale a gkemulticloud.googleapis.com.