Visualizzare gli audit log di Google Distributed Cloud

Questo documento descrive come visualizzare le voci di log prodotte da Autorizzazione binaria per il software Google Distributed Cloud. Queste voci possono essere utilizzate per risolvere i problemi di configurazione e utilizzo del sistema.

Per attivare Cloud Audit Logs, devi configurare la sezione cloudAuditLogging del file di configurazione del cluster utente per inoltrare correttamente gli eventi di log. Se i tuoi cluster GKE su GDC non sono configurati per inoltrare le voci di log, puoi visualizzare i log audit locali utilizzando le ricerche per parole chiave. Le voci nei log locali sono formattate come descritto in questo documento.

Questo documento descrive come utilizzare Cloud Audit Logs per eseguire query sulle voci di log. Puoi anche eseguire query sulle voci di log tramite l'API Cloud Audit Logs.

Visualizzare le voci di Cloud Audit Logs

  1. Nella console Google Cloud , vai alla pagina Cloud Audit Logs.

    Vai ad Audit log di Cloud

  2. Seleziona il Google Cloud progetto che hai configurato nella sezione cloudAuditLogging del file di configurazione del cluster utente.

  3. Inserisci un filtro. Puoi trovare filtri di esempio per l'autorizzazione binaria per le voci di log di Distributed Cloud nelle sezioni seguenti.

  4. Seleziona il log delle attività:

    1. Seleziona la casella combinata Nome log.

    2. Inserisci externalaudit.googleapis.com nel campo di testo.

    3. Seleziona il log denominato externalaudit.googleapis.com.

    4. Fai clic su Aggiungi.

    5. Assicurati di selezionare il periodo di tempo in cui si sarebbero verificati gli eventi.

  5. Fai clic su Esegui query.

Visualizza le voci di log di deployment rifiutate

Per trovare le voci di Cloud Audit Logs per i deployment rifiutati, utilizza la seguente query:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"

Visualizza le voci di log dry run

Per trovare le voci di Cloud Audit Logs relative alla creazione o all'aggiornamento di pod con l'opzione di prova generale abilitata, utilizza la seguente query:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"

Visualizzare le voci di log di breakglass

Per trovare le voci di Cloud Audit Logs relative alla creazione o all'aggiornamento di pod con l'accesso di emergenza abilitato, utilizza la seguente query:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
  protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
  protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")