Visualizzare gli audit log per Google Distributed Cloud

Questo documento descrive come visualizzare le voci di log prodotte da Autorizzazione binaria per il software Google Distributed Cloud. Queste voci possono essere utilizzate per risolvere i problemi di configurazione e utilizzo del sistema.

Per abilitare Cloud Audit Logs, devi configurare la sezione cloudAuditLogging del file di configurazione del cluster utente per inoltrare correttamente gli eventi di log. Se le tue I cluster GKE su GDC non sono configurati per inoltrare le voci di log, possono visualizzare i log di controllo locali utilizzando le ricerche per parole chiave. Le voci nei log locali sono formattate come descritto in questo documento.

Questo documento descrive come utilizzare Cloud Audit Logs per eseguire query sulle voci di log. Puoi anche eseguire query sulle voci di log tramite l'API Cloud Audit Logs.

Visualizzare le voci di Cloud Audit Logs

  1. Nella console Google Cloud, vai alla pagina Log di controllo cloud.

    Vai ad Audit log di Cloud

  2. Seleziona il progetto Google Cloud configurato nella sezione cloudAuditLogging del file di configurazione del cluster utente.

  3. Inserisci un filtro. Puoi trovare filtri di esempio per le voci di log di Autorizzazione binaria per Distributed Cloud nelle sezioni seguenti.

  4. Seleziona il log delle attività:

    1. Seleziona la casella combinata Nome log.

    2. Inserisci externalaudit.googleapis.com nel campo di testo.

    3. Seleziona il log denominato externalaudit.googleapis.com.

    4. Fai clic su Aggiungi.

    5. Assicurati di selezionare il periodo di tempo in cui si sarebbero verificati gli eventi.

  5. Fai clic su Esegui query.

Visualizza le voci del log di deployment rifiutate

Per trovare le voci degli audit log di Cloud per i deployment rifiutati, utilizza la seguente query:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"

Visualizza voci di log dry run

Per trovare le voci degli audit log di Cloud relative alla creazione o all'aggiornamento dei pod con la simulazione attivata, utilizza la seguente query:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"

Visualizza le voci di log di breakglass

Per trovare le voci di Cloud Audit Logs correlate alla creazione o all'aggiornamento dei pod con deployment di emergenza abilitato, utilizza la seguente query:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
  protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
  protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")