查看 Google Distributed Cloud 的审核日志

本文档介绍如何查看 Binary Authorization for Google Distributed Cloud 软件生成的日志条目。这些条目可用于排查系统设置和使用问题。

如需启用 Cloud Audit Logs，您必须将用户集群配置文件的 cloudAuditLogging 部分配置为能够正确转发日志事件。如果未将 GDC 上的 GKE 集群配置为转发日志条目，则可以使用关键字搜索来查看本地审核日志。本地日志中的条目格式如本文档中所述。

本文档介绍如何使用 Cloud Audit Logs 来查询日志条目。您还可以通过 Cloud Audit Logs API 来查询日志条目。

查看 Cloud Audit Logs 条目

在 Google Cloud 控制台中，转到 Cloud Audit Logs 页面。

转到“Cloud Audit Logs”
选择您在用户集群配置文件的 cloudAuditLogging 部分中配置的 Google Cloud 项目。
输入过滤条件。您可以在以下部分中找到适用于 Binary Authorization for Distributed Cloud 日志条目的示例过滤条件。
选择活动日志：
1. 选择日志名称组合框。
2. 在文本字段中输入 externalaudit.googleapis.com。
3. 选择名为 externalaudit.googleapis.com 的日志。
4. 点击添加。
5. 确保选择事件发生的时间段。
点击运行查询。

查看被拒绝的 Deployment 日志条目

如需查找拒绝的 Deployment 的 Cloud Audit Logs 条目，请使用以下查询：

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"

查看试运行日志条目

如需查找与启用试运行模式时进行的 Pod 创建或更新操作相关的 Cloud Audit Logs 条目，请使用以下查询：

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"

查看 Breakglass 日志条目

如需查找与启用 Breakglass 的 Pod 创建或更新相关的 Cloud Audit Logs 条目，请使用以下查询：

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
  protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
  protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")