このページでは、Google Distributed Cloud(GDC)エアギャップ アプライアンスのシステム アーティファクトの監査ログを取得する方法について説明します。
システム アーティファクトは、組織のインフラストラクチャ クラスタの Artifact Registry に存在します。システム アーティファクトに対して行われたすべての変更とオペレーションが監査されます。インフラストラクチャ オペレーター(IO)は、Grafana ユーザー インターフェース(UI)で監査ログを表示します。
始める前に
監査ログを表示するために必要な権限を取得するには、組織インフラストラクチャ クラスタへのアクセスに対して次のロールを付与するようセキュリティ管理者に依頼してください。
- Grafana 閲覧者(
grafana-viewer)ロール。 - 組織の Grafana 閲覧者(
organization-grafana-viewer)ロール。
組織のインフラストラクチャ クラスタ内のアーティファクトの監査ログを取得する
組織インフラストラクチャ クラスタ内のシステム アーティファクトの監査ログを取得する手順は次のとおりです。
組織のインフラストラクチャ クラスタのモニタリング インスタンス UI に移動します。
[Explore > audit-logs-loki] をクリックし、監査ログを取得するクエリを作成します。
![組織のインフラストラクチャ クラスタのモニタリング インスタンス UI の [Explore] ページで、audit-logs-loki オプションが選択されています。](https://cloud.google.com/static/distributed-cloud/hosted/docs/latest/appliance/infrastructure/images/root-admin-cluster-audit-logs.png?hl=ja)
Loki クエリでアーティファクトを見つける
Loki クエリを作成して、アーティファクトを見つけることができます。
以降のセクションでは、監査ログのクエリの例を示します。
すべてのシステム アーティファクトの監査ログをクエリする
次のクエリを実行して、すべてのシステム アーティファクトの監査ログを返します。
{cluster="ORG_INFRA_CLUSTER",service_name="artifactmanagement"}
CLUSTER_NAME は、<ORG_NAME>-infra パターンに一致するクラスタ名に置き換えます。
次に例を示します。
{cluster="<ORG_NAME>-infra", service_name="artifactmanagement"}`
特定の Artifact Registry の監査ログをクエリする
次のクエリを実行して、特定の Artifact Registry の監査ログを返します。
{cluster="ORG_INFRA_CLUSTER",service_name="artifactmanagement"} | json resource="resource" | resource=~"^REGISTRY_PREFIX.*"
次のように置き換えます。
- ORG_INFRA_CLUSTER: 組織インフラストラクチャ クラスタ名(
ORG-INFRAなど)。 - REGISTRY_PREFIX: ターゲット Artifact Registry 名の接頭辞。
次に例を示します。
{cluster="ORG-INFRA",service_name="artifactmanagement"} | json resource="resource" | resource=~"^gpc-system-services.*"
![Grafana UI の [Explore] ページで、1 つのアーティファクト レジストリの監査ログを返すクエリが実行され、結果の監査ログが表示されます。](https://cloud.google.com/static/distributed-cloud/hosted/docs/latest/appliance/infrastructure/images/audit-logs-one-artifact-repo.png?hl=ja)
図 2. Grafana UI に表示される特定の Artifact Registry の監査ログの例。
図 2 では、クラスタの gpc-system-services Artifact Registry から監査ログを返すクエリの結果が、同じページにリストとして表示されています。
複数の Artifact Registry レジストリの監査ログをクエリする
次のクエリを実行して、複数の Artifact Registry レジストリの監査ログを返します。
{cluster="ORG_INFRA_CLUSTER",service_name="artifactmanagement"}
| json resource="resource" |
resource=~"^REGISTRY1_PREFIX.*" or
resource=~"^REGISTRY2_PREFIX.*"
次のように置き換えます。
ORG_INFRA_CLUSTER: ターゲット クラスタの名前(orgname-infraなど)。REGISTRY1_PREFIX: 最初のターゲット Artifact Registry 名の接頭辞。REGISTRY2_PREFIX: 2 番目のターゲット Artifact Registry 名の接頭辞。
次に例を示します。
{cluster="org-infra",service_name="artifactmanagement"} | json
resource="resource" | resource=~"^gpc-system.*" or resource=~"^library/.*"