Audit-Logs für GKE-Cluster aufrufen

In diesem Dokument wird beschrieben, wie Sie Logeinträge aufrufen, die von der Binärautorisierung für GKE-Cluster generiert wurden. Diese Einträge können zur Fehlerbehebung bei der Einrichtung und Verwendung des Systems verwendet werden.

In diesem Dokument wird beschrieben, wie Sie mit Cloud-Audit-Logs nach Logeinträgen abfragen. Sie können Logeinträge auch über die Cloud Audit Logs API abfragen.

Cloud-Audit-Logs-Einträge aufrufen

  1. Rufen Sie in der Google Cloud Console die Seite Cloud-Audit-Logs auf.

    Zu Cloud-Audit-Logs

  2. Wählen Sie das Google Cloud-Projekt aus, das Sie im Abschnitt cloudAuditLogging der Konfigurationsdatei des Nutzerclusters konfiguriert haben.

  3. Geben Sie einen Filter ein. In den folgenden Abschnitten finden Sie Beispielfilter für die Binärautorisierung für GKE-Cluster-Logeinträge.

  4. Wählen Sie das Aktivitätslog aus:

    1. Klicken Sie auf das Kombinationsfeld Logname.

    2. Geben Sie in das Textfeld externalaudit.googleapis.com ein.

    3. Wählen Sie das Log mit dem Namen externalaudit.googleapis.com aus.

    4. Klicken Sie auf Add.

    5. Sie müssen den Zeitraum auswählen, in dem die Ereignisse aufgetreten sind.

  5. Klicken Sie auf Abfrage ausführen.

Abgelehnte Deployment-Logeinträge ansehen

Verwenden Sie die folgende Abfrage, um Cloud-Audit-Logeinträge für abgelehnte Bereitstellungen zu finden:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"

Logeinträge für den Probelauf ansehen

Verwenden Sie die folgende Abfrage, um nach Cloud-Audit-Logs zu suchen, die sich auf die Erstellung oder Aktualisierung von Pods mit aktiviertem Probelauf beziehen:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"

Break-Glass-Logeinträge ansehen

Verwenden Sie die folgende Abfrage, um nach Cloud-Audit-Logs zu suchen, die sich auf die Erstellung oder Aktualisierung von Pods mit aktiviertem Break-Glass beziehen:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
  protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
  protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")