Afficher les journaux d'audit pour les événements Cloud Run

Ce guide vous explique comment afficher l'autorisation binaire pour Cloud Run dans Cloud Audit Logs.

Événements de déploiement bloqué dans Cloud Logging

Explorateur de journaux

Pour afficher les événements de déploiement dans l'explorateur de journaux Cloud Audit Logs, procédez comme suit :

Accédez à la page Explorateur de journaux de Cloud Audit Logs :

Accéder à l'explorateur de journaux.
Dans le sélecteur de projet en haut de la page, sélectionnez l'ID du projet Google Cloud dans lequel vous exécutez Cloud Run.

Saisissez la requête suivante dans la zone de requête de recherche :

resource.type="cloud_run_revision"
logName:"cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"

Sélectionnez la période dans le sélecteur de période.

Pour effectuer une recherche dans les entrées de journal, cliquez sur Développer les champs imbriqués.

gcloud

Pour afficher à l'aide de Google Cloud CLI les événements de non-respect des règles survenus au cours de la semaine précédente, procédez comme suit :

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="cloud_run_revision" AND
   logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
   protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'

Événements de type "bris de glace" dans Cloud Logging

Le mode bris de glace vous permet d'ignorer l'application de la stratégie d'autorisation binaire et de déployer une image de conteneur qui enfreint la stratégie.

Interroger Cloud Logging pour les révisions avec le mode "bris de glace" spécifié

Explorateur de journaux

Pour afficher les événements de type "bris de glace" dans l'explorateur de journaux Cloud Logging, procédez comme suit :

Accédez à la page Explorateur de journaux de Cloud Audit Logs :

Accéder à l'explorateur de journaux.
Dans le Sélecteur de projet en haut de la page, sélectionnez l'ID du projet dans lequel vous exécutez Cloud Run.
Saisissez ce qui suit dans la zone de requête de recherche :
```
resource.type="cloud_run_revision"
logName:"cloudaudit.googleapis.com%2Fsystem_event"
"breakglass"
```
Pour affiner votre recherche, ajoutez les lignes suivantes :
```
resource.labels.service_name = SERVICE_NAME
resource.labels.location = LOCATION
```
Afficher les déploiements de type "bris de glace" dans Cloud Logging
Sélectionnez la période dans le sélecteur de période.

Pour effectuer une recherche dans les entrées de journal, cliquez sur Développer les champs imbriqués.

gcloud

Pour afficher les événements de type bris de glace de la semaine précédente dans Cloud Logging à l'aide de gcloud CLI, procédez comme suit :

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="cloud_run_revision" AND
   logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
   "breakglass"'

Interroger Cloud Logging pour les événements de type "fail open"

Explorateur de journaux

Pour afficher les événements de type "fail open" dans l'explorateur de journaux Cloud Logging, procédez comme suit :

Accédez à la page Explorateur de journaux de Cloud Audit Logs :

Accéder à l'explorateur de journaux.
Dans le Sélecteur de projet en haut de la page, sélectionnez l'ID du projet dans lequel vous exécutez Cloud Run.

Saisissez ce qui suit dans la zone de requête de recherche :

 resource.type="cloud_run_revision"
 logName:"cloudaudit.googleapis.com%2Fsystem_event"
 "encountered an error"

Sélectionnez la période dans le sélecteur de période.

Pour effectuer une recherche dans les entrées de journal, cliquez sur Développer les champs imbriqués.

gcloud

Pour afficher les événements de type "fail open" survenus au cours de la semaine précédente dans Cloud Logging à l'aide de gcloud CLI, procédez comme suit :

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="cloud_run_revision" AND
    logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
    "encountered an error"'

Interroger Cloud Logging pour les événements de simulation

Explorateur de journaux

Pour afficher les événements de simulation dans l'explorateur de journaux Cloud Logging, procédez comme suit :

Accédez à la page Explorateur de journaux de Cloud Audit Logs :

Accéder à l'explorateur de journaux.
Dans le Sélecteur de projet en haut de la page, sélectionnez l'ID du projet dans lequel vous exécutez Cloud Run.

Saisissez ce qui suit dans la zone de requête de recherche :

resource.type="cloud_run_revision"
logName:"cloudaudit.googleapis.com%2Fsystem_event"
"dry run"

Sélectionnez la période dans le sélecteur de période.

Pour effectuer une recherche dans les entrées de journal, cliquez sur Développer les champs imbriqués.

gcloud

Pour afficher les événements de déploiement dry run de la semaine précédente dans Cloud Logging à l'aide de gcloud CLI, procédez comme suit :

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="cloud_run_revision" AND
   logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
   "dry run"'

Étape suivante

Configurez la règle d'autorisation binaire en utilisant la console Google Cloud ou l'outil de ligne de commande.
Utilisez des attestations pour ne déployer que des images de conteneurs signées.