Afficher les journaux d'audit pour les clusters GKE

Ce document explique comment afficher les entrées de journal générées par l'autorisation binaire pour les clusters GKE. Ces entrées peuvent servir à résoudre des problèmes de configuration et d'utilisation du système.

Ce document explique comment utiliser Cloud Audit Logs pour interroger des entrées de journal. Vous pouvez également interroger des entrées de journal via l'API Cloud Audit Logs.

Afficher les entrées Cloud Audit Logs

  1. Dans la console Google Cloud, accédez à la page Cloud Audit Logs.

    Accéder à la page Cloud Audit Logs

  2. Sélectionnez le projet Google Cloud que vous avez configuré dans la section cloudAuditLogging du fichier de configuration de votre cluster d'utilisateur.

  3. Saisissez un filtre. Vous trouverez des exemples de filtres pour les entrées de journal d'autorisation binaire des clusters GKE dans les sections suivantes.

  4. Sélectionnez le journal d'activité :

    1. Cochez la boîte combinée Nom du journal.

    2. Saisissez externalaudit.googleapis.com dans la zone de texte.

    3. Sélectionnez le journal nommé externalaudit.googleapis.com.

    4. Cliquez sur Ajouter.

    5. Assurez-vous de sélectionner la période pendant laquelle les événements se sont produits.

  5. Cliquez sur Exécuter la requête (Run Query).

Afficher les entrées refusées du journal de déploiement

Pour rechercher les entrées Cloud Audit Logs pour les déploiements refusés, utilisez la requête suivante :

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"

Afficher les entrées de journal de simulation

Pour rechercher les entrées Cloud Audit Logs liées à la création ou à la mise à jour des pods avec la simulation activée, utilisez la requête suivante :

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"

Afficher les entrées de journal de type "bris de glace"

Pour rechercher les entrées Cloud Audit Logs liées à la création ou à la mise à jour des pods avec le mode "bris de glace", utilisez la requête suivante :

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
  protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
  protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")