このドキュメントでは、GKE クラスタ用 Binary Authorization によって生成されたログエントリを表示する方法について説明します。これらのエントリは、システムの設定と使用時のトラブルシューティングに使用できます。
このドキュメントでは、Cloud Audit Logs を使用してログエントリをクエリする方法について説明します。Cloud Audit Logs API を使用してログエントリをクエリすることもできます。
Cloud Audit Logs のエントリを表示する
Google Cloud コンソールで、[Cloud Audit Logs] ページに移動します。
ユーザー クラスタ構成ファイルの
cloudAuditLoggingセクションで構成した Google Cloud プロジェクトを選択します。フィルタを入力します。次のセクションで、GKE クラスタ用 Binary Authorization のログエントリのフィルタの例を紹介します。
アクティビティ ログを選択します。
[ログ名] コンボボックスを選択します。
ボックスに「
externalaudit.googleapis.com」と入力します。externalaudit.googleapis.comという名前のログを選択します。[追加] をクリックします。
イベントが発生した可能性のある期間を選択します。
[クエリを実行] をクリックします。
拒否されたデプロイのログエントリを表示する
Cloud Audit Logs で、拒否されたデプロイのエントリを確認するには、次のクエリを使用します。
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"
ドライランのログエントリを表示する
Cloud Audit Logs で、ドライランを有効にした Pod の作成または更新に関連するエントリを検索するには、次のクエリを使用します。
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"
ブレークグラスのログエントリを表示する
Cloud Audit Logs で、ブレークグラスを有効にした Pod の作成または更新に関連するエントリを検索するには、次のクエリを使用します。
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")