Audit-Logs für Google Distributed Cloud ansehen

In diesem Dokument wird beschrieben, wie Sie Logeinträge aufrufen, die von der Binärautorisierung für die Google Distributed Cloud-Software erstellt wurden. Diese Einträge können zur Fehlerbehebung bei der Einrichtung und Verwendung des Systems verwendet werden.

Zum Aktivieren von Cloud-Audit-Logs müssen Sie den Abschnitt cloudAuditLogging Ihrer Konfigurationsdatei für den Nutzercluster konfigurieren, um Logereignisse ordnungsgemäß weiterzuleiten. Wenn Ihre GKE-Cluste in GDC nicht für die Weiterleitung von Logeinträgen konfiguriert sind, können Sie lokale Audit-Logs mithilfe von Schlüsselwortsuchen aufrufen. Einträge in lokalen Logs sind wie in diesem Dokument beschrieben formatiert.

In diesem Dokument wird beschrieben, wie Sie mit Cloud-Audit-Logs nach Logeinträgen abfragen. Sie können Logeinträge auch über die Cloud Audit Logs API abfragen.

Cloud-Audit-Logs-Einträge aufrufen

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud-Audit-Logs.

    Zu Cloud-Audit-Logs

  2. Wählen Sie das Google Cloud-Projekt aus, das Sie im Abschnitt cloudAuditLogging der Konfigurationsdatei des Nutzerclusters konfiguriert haben.

  3. Geben Sie einen Filter ein. In den folgenden Abschnitten finden Sie Beispielfilter für die Binärautorisierung für Distributed Cloud-Logeinträge.

  4. Wählen Sie das Aktivitätslog aus:

    1. Klicken Sie auf das Kombinationsfeld Logname.

    2. Geben Sie externalaudit.googleapis.com (Löschen) in das Textfeld ein.

    3. Wählen Sie das Log mit dem Namen externalaudit.googleapis.com aus.

    4. Klicken Sie auf Hinzufügen.

    5. Sie müssen den Zeitraum auswählen, in dem die Ereignisse aufgetreten sind.

  5. Klicken Sie auf Abfrage ausführen.

Abgelehnte Deployment-Logeinträge ansehen

Verwenden Sie die folgende Abfrage, um Cloud-Audit-Logeinträge für abgelehnte Bereitstellungen zu finden:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"

Logeinträge für den Probelauf ansehen

Verwenden Sie die folgende Abfrage, um nach Cloud-Audit-Logs zu suchen, die sich auf die Erstellung oder Aktualisierung von Pods mit aktiviertem Probelauf beziehen:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"

Break-Glass-Logeinträge ansehen

Verwenden Sie die folgende Abfrage, um nach Cloud-Audit-Logs zu suchen, die sich auf die Erstellung oder Aktualisierung von Pods mit aktiviertem Break-Glass beziehen:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
  protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
  protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")