Afficher les journaux d'audit pour Google Distributed Cloud

Ce document explique comment afficher les entrées de journal générées par l'autorisation binaire pour le logiciel Google Distributed Cloud. Ces entrées peuvent servir à résoudre des problèmes de configuration et d'utilisation du système.

Pour activer Cloud Audit Logs, vous devez configurer la section cloudAuditLogging du fichier de configuration de votre cluster d'utilisateur afin de transférer correctement les événements de journaux. Si vos clusters GKE sur GDC ne sont pas configurés pour transférer les entrées de journal, vous pouvez afficher les journaux d'audit locaux en utilisant la recherche de mots clés. Les entrées des journaux locaux sont mises en forme comme décrit dans ce document.

Ce document explique comment utiliser Cloud Audit Logs pour interroger des entrées de journal. Vous pouvez également interroger des entrées de journal via l'API Cloud Audit Logs.

Afficher les entrées Cloud Audit Logs

  1. Dans la console Google Cloud, accédez à la page Cloud Audit Logs.

    Accéder à la page Cloud Audit Logs

  2. Sélectionnez le projet Google Cloud que vous avez configuré dans la section cloudAuditLogging du fichier de configuration de votre cluster d'utilisateur.

  3. Saisissez un filtre. Vous trouverez des exemples de filtres pour les entrées de journal d'autorisation binaire pour Distributed Cloud dans les sections suivantes.

  4. Sélectionnez le journal d'activité :

    1. Cochez la boîte combinée Nom du journal.

    2. Saisissez externalaudit.googleapis.com dans le champ de texte.

    3. Sélectionnez le journal nommé externalaudit.googleapis.com.

    4. Cliquez sur Ajouter.

    5. Assurez-vous de sélectionner la période pendant laquelle les événements se sont produits.

  5. Cliquez sur Exécuter la requête (Run Query).

Afficher les entrées refusées du journal de déploiement

Pour rechercher les entrées Cloud Audit Logs pour les déploiements refusés, utilisez la requête suivante :

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"

Afficher les entrées de journal de simulation

Pour rechercher les entrées Cloud Audit Logs liées à la création ou à la mise à jour des pods avec la simulation activée, utilisez la requête suivante :

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"

Afficher les entrées de journal de type "bris de glace"

Pour rechercher les entrées Cloud Audit Logs liées à la création ou à la mise à jour des pods avec le mode "bris de glace", utilisez la requête suivante :

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
  protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
  protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")