Consulta la documentación de una versión anterior de GKE On-Prem. Consulta la documentación más reciente.

Audit Logging

En esta página, se describe cómo acceder a los registros de auditoría del servidor de la API de Kubernetes.

Resumen

Cada clúster de GKE On-Prem tiene el Registro de auditoría de Kubernetes, que mantiene un registro cronológico de las llamadas realizadas al servidor de la API de Kubernetes. Los registros de auditoría son útiles para investigar solicitudes sospechosas a la API o recopilar estadísticas.

Registro de auditoría basado en discos

De forma predeterminada, los registros de auditoría de cada servidor de API se vuelcan en un disco persistente, de modo que los reinicios o las actualizaciones de la VM no desaparecen. GKE On-Prem retiene hasta 10 GB de registros de auditoría.

Cloud Audit Logging

Si se habilita Cloud Audit Logging, los registros de auditoría de actividad del administrador de todos los servidores de la API se envían a Google Cloud mediante el proyecto y la ubicación establecidos durante la instalación.

Accede a los registros de auditoría de Kubernetes

Registro de auditoría basado en discos

Solo puedes acceder a los registros de auditoría a través del clúster de administrador:

  1. Visualiza los servidores de la API de Kubernetes que se ejecutan en tus clústeres:

    kubectl get pods --all-namespaces -l component=kube-apiserver
    
  2. Descarga los registros de auditoría del servidor de la API:

    kubectl cp -n [NAMESPACE] [APISERVER_POD_NAME]:/var/log/kube-audit/kube-apiserver-audit.log /tmp/kubeaudit.log
    

    Este comando recupera el archivo de registro más reciente, que puede contener hasta 1 GB de datos del clúster de administrador y hasta 850 GB de los clústeres de usuario.

    Los registros de auditoría anteriores se guardan en archivos diferentes. Para ver esos archivos, haz lo siguiente:

    kubectl exec -n [NAMESPACE] [APISERVER_POD_NAME] -- ls /var/log/kube-audit -la
    

    El nombre de archivo de cada registro de auditoría tiene una marca de tiempo que indica cuándo se rotó el archivo. Un archivo contiene registros de auditoría hasta esa hora y fecha.

Cloud Audit Logging

Console

  1. En Cloud Console, ve a la página Registros en el menú de Registro.

    Ir a la página Registros

  2. En el cuadro de Filtrar por etiqueta o búsqueda de texto, arriba de los menús desplegables mencionados anteriormente, haz clic en la flecha hacia abajo para abrir el menú desplegable. En el menú, selecciona Convertir a filtro avanzado.

  3. Completa el cuadro de texto con el siguiente filtro:

    resource.type="k8s_cluster"
    logName="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
    protoPayload.serviceName="anthosaudit.googleapis.com"
    
  4. Haz clic en Enviar filtro para mostrar todos los registros de auditoría de clústeres de GKE On-Prem en los que está configurado para acceder a este proyecto.

gcloud

Enumera las dos primeras entradas en el registro de actividad de administrador de tu proyecto que se aplican al tipo de recurso k8s_cluster:

gcloud logging read \
    'logName="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosaudit.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

Aquí [PROJECT_ID] es el ID del proyecto.

Los resultados muestran dos entradas de registro. Observa que, para cada entrada de registro, el campo logName tiene el valor projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity y protoPayload.serviceName es igual que anthosaudit.googleapis.com.

Política de auditorías

El comportamiento del registro de auditoría se determina mediante una política de registro de auditoría de Kubernetes configurada de forma estática. Por el momento, no se admite el cambio de esta política.