Visualizza audit log per gli eventi Cloud Run

Questa guida mostra come visualizzare Autorizzazione binaria per Cloud Run in Cloud Audit Logs.

Eventi di deployment bloccati in Cloud Logging

Esplora log

Per visualizzare gli eventi di deployment bloccati in Esplora log di Cloud Logging, segui questi passaggi:

Vai alla pagina Esplora log di Cloud Audit Logs:

Vai a Esplora log.
Nel selettore di progetti nella parte superiore della pagina, seleziona l'ID del progetto Google Cloud in cui esegui Cloud Run.

Inserisci la seguente query nella casella query di ricerca:

resource.type="cloud_run_revision"
logName:"cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"

Seleziona l'intervallo di tempo nel selettore degli intervalli di tempo.

Per eseguire una ricerca all'interno delle voci di log, fai clic su Espandi campi nidificati.

gcloud

Per visualizzare gli eventi di violazione dei criteri dell'ultima settimana in Cloud Logging utilizzando Google Cloud CLI, procedi nel seguente modo:

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="cloud_run_revision" AND
   logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
   protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'

Eventi di deployment di emergenza in Cloud Logging

Il deployment di emergenza consente di eseguire l'override dell'applicazione del criterio di Autorizzazione binaria ed eseguire il deployment di un'immagine container che viola il criterio.

Esegui query su Cloud Logging per le revisioni con il deployment di emergenza specificato

Esplora log

Per visualizzare gli eventi di deployment di emergenza in Esplora log di Cloud Logging, segui questi passaggi:

Vai alla pagina Esplora log di Cloud Audit Logs:

Vai a Esplora log.
Nel selettore di progetti nella parte superiore della pagina, seleziona l'ID del progetto in cui esegui Cloud Run.
Inserisci quanto segue nella casella query di ricerca:
```
resource.type="cloud_run_revision"
logName:"cloudaudit.googleapis.com%2Fsystem_event"
"breakglass"
```
Per perfezionare ulteriormente la ricerca, aggiungi le seguenti righe:
```
resource.labels.service_name = SERVICE_NAME
resource.labels.location = LOCATION
```
Visualizza i deployment di deployment di emergenza in Cloud Logging
Seleziona l'intervallo di tempo nel selettore degli intervalli di tempo.

Per eseguire una ricerca all'interno delle voci di log, fai clic su Espandi campi nidificati.

gcloud

Per visualizzare gli eventi di deployment di emergenza dell'ultima settimana in Cloud Logging utilizzando gcloud CLI, procedi nel seguente modo:

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="cloud_run_revision" AND
   logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
   "breakglass"'

Esegui query sugli eventi di errore di mancata apertura di Cloud Logging

Esplora log

Per visualizzare gli eventi di errore di apertura in Esplora log di Cloud Logging, segui questi passaggi:

Vai alla pagina Esplora log di Cloud Audit Logs:

Vai a Esplora log.
Nel selettore di progetti nella parte superiore della pagina, seleziona l'ID del progetto in cui esegui Cloud Run.

Inserisci quanto segue nella casella query di ricerca:

 resource.type="cloud_run_revision"
 logName:"cloudaudit.googleapis.com%2Fsystem_event"
 "encountered an error"

Seleziona l'intervallo di tempo nel selettore degli intervalli di tempo.

Per eseguire una ricerca all'interno delle voci di log, fai clic su Espandi campi nidificati.

gcloud

Per visualizzare gli eventi di fail open dell'ultima settimana in Cloud Logging utilizzando gcloud CLI, segui questi passaggi:

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="cloud_run_revision" AND
    logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
    "encountered an error"'

Esegui query su Cloud Logging per eventi di prova

Esplora log

Per visualizzare gli eventi di prova in Esplora log di Cloud Logging, segui questi passaggi:

Vai alla pagina Esplora log di Cloud Audit Logs:

Vai a Esplora log.
Nel selettore di progetti nella parte superiore della pagina, seleziona l'ID del progetto in cui esegui Cloud Run.

Inserisci quanto segue nella casella query di ricerca:

resource.type="cloud_run_revision"
logName:"cloudaudit.googleapis.com%2Fsystem_event"
"dry run"

Seleziona l'intervallo di tempo nel selettore degli intervalli di tempo.

Per eseguire una ricerca all'interno delle voci di log, fai clic su Espandi campi nidificati.

gcloud

Per visualizzare gli eventi di deployment di prova dell'ultima settimana in Cloud Logging utilizzando gcloud CLI, procedi nel seguente modo:

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="cloud_run_revision" AND
   logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
   "dry run"'

Passaggi successivi

Configura il criterio di Autorizzazione binaria utilizzando la console Google Cloud o lo strumento a riga di comando.
Utilizza le attestazioni per eseguire il deployment solo delle immagini container firmate.