Dokumen ini menjelaskan cara melihat entri log yang dihasilkan oleh Otorisasi Biner untuk cluster GKE. Entri ini dapat digunakan untuk memecahkan masalah pengaturan dan penggunaan sistem.
Dokumen ini menjelaskan cara menggunakan Cloud Audit Logs untuk membuat kueri entri log. Anda juga dapat mengkueri entri log melalui Cloud Audit Logs API.
Melihat entri Cloud Audit Logs
Di konsol Google Cloud, buka halaman Cloud Audit Logs.
Pilih project Google Cloud yang Anda konfigurasi di bagian
cloudAuditLoggingfile konfigurasi cluster pengguna Anda.Masukkan filter. Anda dapat menemukan contoh filter Otorisasi Biner untuk entri log cluster GKE di bagian berikut.
Pilih log aktivitas:
Pilih kotak kombinasi Nama log.
Masukkan
externalaudit.googleapis.comdi kotak teks.Pilih log yang bernama
externalaudit.googleapis.com.Klik Tambahkan.
Pastikan Anda memilih jangka waktu peristiwa akan terjadi.
Klik Run Query.
Lihat entri log Deployment yang ditolak
Untuk menemukan entri Cloud Audit Logs untuk Deployment yang ditolak, gunakan kueri berikut:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"
Melihat entri log uji coba
Untuk menemukan entri Cloud Audit Logs yang terkait dengan pembuatan atau update Pod dengan uji coba diaktifkan, gunakan kueri berikut:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"
Lihat entri log akses darurat
Untuk menemukan entri Cloud Audit Logs yang terkait dengan pembuatan atau update Pod dengan akses darurat yang diaktifkan, gunakan kueri berikut:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")