Ve los registros de auditoría de los eventos de Cloud Run

En esta guía, se muestra cómo ver la autorización binaria para Cloud Run en los Registros de auditoría de Cloud.

Eventos de implementación bloqueados en Cloud Logging

Explorador de registros

Para ver los eventos de implementación bloqueados en el explorador de registros de Cloud Logging, haz lo siguiente:

  1. Ve a la página Explorador de registros de los Registros de auditoría de Cloud:

    Ir al Explorador de registros

  2. En el Selector de proyectos en la parte superior de la página, selecciona el ID del proyecto de Google Cloud en el que ejecutas Cloud Run.

  3. Ingresa la siguiente consulta en el cuadro de búsqueda:

    resource.type="cloud_run_revision"
logName:"cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"

  4. Selecciona el rango de tiempo en el selector de rango de tiempo.

Para buscar dentro de las entradas de registro, haz clic en Expandir campos anidados.

gcloud

Para ver los eventos de incumplimiento de política de la última semana en Cloud Logging mediante Google Cloud CLI, haz lo siguiente:

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="cloud_run_revision" AND
   logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
   protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'

Eventos de emergencia en Cloud Logging

La Breakglass te permiten anular la aplicación de la política de la autorización binaria e implementar una imagen de contenedor que infrinja la política.

Consulta Cloud Logging para realizar revisiones con anulación de emergencia especificada

Explorador de registros

Para ver la anulación de trabajo de emergencia en el explorador de registros de Cloud Logging, haz lo siguiente:

  1. Ve a la página Explorador de registros de los Registros de auditoría de Cloud:

    Ir al Explorador de registros

  2. En el Selector de proyectos en la parte superior de la página, selecciona el ID del proyecto en el que ejecutas Cloud Run.

  3. Ingresa lo siguiente en el cuadro de búsqueda:

    resource.type="cloud_run_revision"
logName:"cloudaudit.googleapis.com%2Fsystem_event"
"breakglass"

    Para definir mejor tu búsqueda, agrega las siguientes líneas:

    resource.labels.service_name = SERVICE_NAME
resource.labels.location = LOCATION

    Ver implementaciones de anulaciones de emergencia en Cloud Logging

  4. Selecciona el rango de tiempo en el selector de rango de tiempo.

Para buscar dentro de las entradas de registro, haz clic en Expandir campos anidados.

gcloud

Para ver los eventos de anulaciones de emergencia de la última semana en Cloud Logging con la CLI de gcloud, haz lo siguiente:

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="cloud_run_revision" AND
   logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
   "breakglass"'

Consulta los eventos del tipo fail open de Cloud Logging

Explorador de registros

Para ver los eventos del procedimiento del tipo fail open en el explorador de registros de Cloud Logging, haz lo siguiente:

  1. Ve a la página Explorador de registros de los Registros de auditoría de Cloud:

    Ir al Explorador de registros

  2. En el Selector de proyectos en la parte superior de la página, selecciona el ID del proyecto en el que ejecutas Cloud Run.

  3. Ingresa lo siguiente en el cuadro de búsqueda:

     resource.type="cloud_run_revision"
 logName:"cloudaudit.googleapis.com%2Fsystem_event"
 "encountered an error"

  4. Selecciona el rango de tiempo en el selector de rango de tiempo.

Para buscar dentro de las entradas de registro, haz clic en Expandir campos anidados.

gcloud

Para ver eventos del tipo fail open de la última semana en Cloud Logging con la CLI de gcloud, haz lo siguiente:

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="cloud_run_revision" AND
    logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
    "encountered an error"'

Consulta Cloud Logging para eventos de ejecución de prueba

Explorador de registros

Para ver los eventos de ejecución de prueba en el explorador de registros de Cloud Logging, sigue estos pasos:

  1. Ve a la página Explorador de registros de los Registros de auditoría de Cloud:

    Ir al Explorador de registros

  2. En el Selector de proyectos en la parte superior de la página, selecciona el ID del proyecto en el que ejecutas Cloud Run.

  3. Ingresa lo siguiente en el cuadro de búsqueda:

    resource.type="cloud_run_revision"
logName:"cloudaudit.googleapis.com%2Fsystem_event"
"dry run"

  4. Selecciona el rango de tiempo en el selector de rango de tiempo.

Para buscar dentro de las entradas de registro, haz clic en Expandir campos anidados.

gcloud

Para ver los eventos de implementación de ejecución de prueba de la última semana en Cloud Logging mediante la CLI de gcloud, haz lo siguiente:

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="cloud_run_revision" AND
   logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
   "dry run"'

¿Qué sigue?