Questo documento descrive come visualizzare le voci di log prodotte da Autorizzazione binaria per il software Google Distributed Cloud. Queste voci possono essere utilizzate per risolvere i problemi di configurazione e utilizzo del sistema.
Per abilitare Cloud Audit Logs, devi configurare la sezione cloudAuditLogging
del file di configurazione del cluster utente per inoltrare correttamente gli eventi di log. Se le tue
I cluster GKE su GDC non sono configurati per inoltrare le voci di log,
possono visualizzare i log di controllo locali
utilizzando le ricerche per parole chiave. Le voci nei log locali vengono formattate come descritto in
questo documento.
Questo documento descrive come utilizzare Cloud Audit Logs per eseguire query sulle voci di log. Tu Puoi anche eseguire query sulle voci di log tramite l'API Cloud Audit Logs.
Visualizza le voci di Cloud Audit Logs
Nella console Google Cloud, vai alla pagina Audit log di Cloud.
Seleziona il progetto Google Cloud che hai configurato in
cloudAuditLogging
del file di configurazione del cluster utente.Inserisci un filtro. Puoi trovare filtri di esempio per Autorizzazione binaria per Voci di log di Distributed Cloud nelle sezioni seguenti.
Seleziona il log delle attività:
Seleziona la casella combinata Nome log.
Inserisci
externalaudit.googleapis.com
nel campo di testo.Seleziona il log denominato
externalaudit.googleapis.com
.Fai clic su Aggiungi.
Assicurati di selezionare il periodo di tempo in cui si sono verificati gli eventi.
Fai clic su Esegui query.
Visualizza le voci di log del deployment rifiutate
Per trovare le voci di Cloud Audit Logs per i deployment rifiutati, utilizza quanto segue query:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"
Visualizza voci di log dry run
Per trovare le voci di Cloud Audit Logs relative alla creazione o all'aggiornamento dei pod con prova attiva, utilizza la query seguente:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"
Visualizza le voci di log del deployment di emergenza
Per trovare le voci di Cloud Audit Logs correlate alla creazione o all'aggiornamento dei pod con deployment di emergenza abilitato, utilizza la seguente query:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")