このドキュメントでは、Google Distributed Cloud ソフトウェア用の Binary Authorization によって生成されたログエントリを表示する方法について説明します。これらのエントリは、システムの設定と使用時のトラブルシューティングに使用できます。
Cloud Audit Logs を有効にするには、ユーザー クラスタ構成ファイルの cloudAuditLogging セクションを構成して、ログイベントを適切に転送する必要があります。GDC の GKE クラスタがログエントリを転送するように構成されていない場合は、キーワード検索を使用してローカル監査ログを表示できます。ローカルログのエントリは、このドキュメントで説明されている形式になります。
このドキュメントでは、Cloud Audit Logs を使用してログエントリをクエリする方法について説明します。Cloud Audit Logs API を使用してログエントリをクエリすることもできます。
Cloud Audit Logs のエントリを表示する
Google Cloud コンソールで、[Cloud Audit Logs] ページに移動します。
ユーザー クラスタ構成ファイルの
cloudAuditLoggingセクションで構成した Google Cloud プロジェクトを選択します。フィルタを入力します。次のセクションでは、Distributed Cloud の Binary Authorization のログエントリのフィルタの例を紹介します。
アクティビティ ログを選択します。
[ログ名] コンボボックスを選択します。
テキスト フィールドに「
externalaudit.googleapis.com」と入力します。externalaudit.googleapis.comという名前のログを選択します。[追加] をクリックします。
イベントが発生した可能性のある期間を選択します。
[クエリを実行] をクリックします。
拒否されたデプロイのログエントリを表示する
Cloud Audit Logs で、拒否されたデプロイのエントリを確認するには、次のクエリを使用します。
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"
ドライランのログエントリを表示する
Cloud Audit Logs で、ドライランを有効にした Pod の作成または更新に関連するエントリを検索するには、次のクエリを使用します。
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"
ブレークグラスのログエントリを表示する
Cloud Audit Logs で、ブレークグラスを有効にした Pod の作成または更新に関連するエントリを検索するには、次のクエリを使用します。
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")