Neste documento, descrevemos como visualizar as entradas de registro produzidas pela autorização binária para clusters do Anthos. Essas entradas podem ser usadas para resolver problemas de configuração e uso do sistema.
Neste documento, descrevemos como usar os registros de auditoria do Cloud para consultar entradas de registro. Também é possível consultar entradas de registro pela API Cloud Audit Logs.
Ver as entradas do registro de auditoria do Cloud
No Console do Google Cloud, acesse a página Registros de auditoria do Cloud.
Selecione o projeto do Google Cloud configurado na seção
cloudAuditLogging
do arquivo de configuração do cluster de usuário.Insira um filtro. Você pode encontrar exemplos de filtros de autorização binária para entradas de registro de clusters do Anthos nas seções a seguir.
Selecione o registro de atividades:
Selecione a caixa de combinação Nome do registro.
Digite
externalaudit.googleapis.com
na caixa de texto.Selecione o registro denominado
externalaudit.googleapis.com
.Clique em Add.
Lembre-se de selecionar o período em que os eventos ocorreram.
Clique em Run.
Ver entradas de registro de implantação rejeitadas
Para encontrar as entradas de registros de auditoria do Cloud de implantações rejeitadas, use esta consulta:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"
Ver entradas de registro de teste
Para encontrar entradas de registros de auditoria do Cloud relacionadas à criação ou atualização de pods com teste ativado, use esta consulta:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"
Ver entradas de registro de implantação forçada
Para encontrar entradas de registros de auditoria do Cloud relacionadas à criação ou atualização de pods com a implantação forçada ativada, use esta consulta:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")