Neste documento, descrevemos como acessar entradas de registro produzidas pela autorização binária para o software Google Distributed Cloud. Essas entradas podem ser usadas para resolver problemas de configuração e uso do sistema.
Para ativar os registros de auditoria do Cloud, é preciso configurar a seção cloudAuditLogging
do arquivo de configuração do cluster de usuário para encaminhar eventos de registro corretamente. Se os
clusters dos GDC não estiverem configurados para encaminhar entradas de registro,
será possível ver os registros de auditoria locais usando
pesquisas por palavras-chave. As entradas nos registros locais são formatadas conforme descrito neste documento.
Neste documento, descrevemos como usar os registros de auditoria do Cloud para consultar entradas de registro. Também é possível consultar entradas de registro pela API Cloud Audit Logs.
Ver as entradas do registro de auditoria do Cloud
No Console do Google Cloud, acesse a página Registros de auditoria do Cloud.
Selecione o projeto do Google Cloud configurado na seção
cloudAuditLogging
do arquivo de configuração do cluster de usuário.Insira um filtro. Você pode encontrar exemplos de filtros de autorização binária para entradas de registro do Distributed Cloud nas seções a seguir.
Selecione o registro de atividades:
Selecione a caixa de combinação Nome do registro.
Digite
externalaudit.googleapis.com
no campo de texto.Selecione o registro denominado
externalaudit.googleapis.com
.Clique em Adicionar.
Lembre-se de selecionar o período em que os eventos ocorreram.
Clique em Run.
Ver entradas de registro de implantação rejeitadas
Para encontrar as entradas de registros de auditoria do Cloud de implantações rejeitadas, use esta consulta:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"
Ver entradas de registro de teste
Para encontrar entradas de registros de auditoria do Cloud relacionadas à criação ou atualização de pods com teste ativado, use esta consulta:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"
Ver entradas de registro de implantação forçada
Para encontrar entradas de registros de auditoria do Cloud relacionadas à criação ou atualização de pods com a implantação forçada ativada, use esta consulta:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")