En este documento, se describe cómo ver entradas de registro que genera Autorización Binaria para el software de Google Distributed Cloud. Estas entradas se pueden usar para solucionar problemas de configuración y uso del sistema.
Para habilitar los registros de auditoría de Cloud, debes configurar la sección cloudAuditLogging
del archivo de configuración del clúster de usuario a fin de reenviar de forma correcta los eventos de registro. Si tus clústeres de GKE en GDC no están configurados para reenviar entradas de registro, puedes ver registros de auditoría locales mediante búsquedas de palabras clave. Las entradas en los registros locales tienen el formato que se describe en este documento.
En este documento, se describe cómo usar Cloud Audit Logging para consultar entradas de registro. También puedes consultar entradas de registro a través de la API de registros de auditoría de Cloud.
Visualiza las entradas de los Registros de auditoría de Cloud
En la consola de Google Cloud, ve a la página Registros de auditoría de Cloud.
Selecciona el proyecto de Google Cloud que configuraste en la sección
cloudAuditLogging
del archivo de configuración del clúster de usuario.Ingresa un filtro. Puedes encontrar filtros de ejemplo para la Autorización Binaria de las entradas de registro de la nube distribuida en las siguientes secciones.
Selecciona el registro de actividad:
Selecciona el cuadro combinado Nombre del registro.
Ingresa
externalaudit.googleapis.com
en el campo de texto.Selecciona el registro llamado
externalaudit.googleapis.com
.Haz clic en Agregar.
Asegúrate de seleccionar el período en el que habrían ocurrido los eventos.
Haga clic en Ejecutar consulta.
Visualiza las entradas de registro de las implementaciones rechazadas
Para encontrar entradas de Registros de auditoría de Cloud de implementaciones rechazadas, usa la siguiente consulta:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"
Visualiza las entradas de registro de las pruebas de validación
Para encontrar entradas de Registros de auditoría de Cloud relacionadas con la creación o actualización de Pods con la prueba de validación habilitada, usa la siguiente consulta:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"
Visualiza las entradas de registro de las anulaciones de emergencia
Para encontrar entradas de registros de auditoría de Cloud relacionadas con la creación o actualización de pods con las anulaciones de emergencia habilitados, usa la siguiente consulta:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")