물리적 서버 (SERV)

워크로드 위치

조직 전용 워크로드
감사 로그 소스

  • 물리적 서버
  • 서버 맞춤 리소스
감사 대상 작업

머신 이벤트

감사 정보가 포함된 로그 항목의 필드
감사 메타데이터 감사 필드 이름
사용자 또는 서비스 ID gdch_service_name

예를 들면 다음과 같습니다.

"_gdch_service_name": "bm_nodes"

대상

(API를 호출하는 필드 및 값)

 description

"description": "The overall security state of the system is at \"Risk\"

작업

(실행된 작업을 포함하는 필드)

 description

"description": "The overall security state of the system is at \"Risk\"

이벤트 타임스탬프 time

예를 들면 다음과 같습니다.

"time": "2022-12-02T16:06:29Z"

작업 소스 resource

예를 들면 다음과 같습니다.

"resource": "zb-ab-bm07"

결과 해당 없음 해당 없음
기타 필드 해당 없음 해당 없음

예시 로그


{
  "description": "The overall security state of the system is at \"Risk\".",
  "_gdch_service_name": "bm_nodes",
  "resource": "zb-ab-bm07",
  "auditID": "IEL#32321",
  "user": {},
  "time": "2022-12-02T16:06:29Z",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-5k8l2"
}

데이터 변경사항 (CRUD 작업)

감사 정보가 포함된 로그 항목의 필드
감사 메타데이터 감사 필드 이름
사용자 또는 서비스 ID username

예를 들면 다음과 같습니다.

"user":{
 "username":"system:serviceaccount:
 gpc-system:root-admin-controller-sa"
  }

대상

(API를 호출하는 필드 및 값)

 requestURI

"requestURI":"/apis/system.private.gdc.goog/v1alpha1/ namespaces/gpc-system/servers/zb-aa-bm07/status"

작업

(실행된 작업을 포함하는 필드)

 verb

"verb":"patch"

이벤트 타임스탬프 requestReceivedTimestamp

예를 들면 다음과 같습니다.

"requestReceivedTimestamp":"2022-12-02T23:52:22.509246Z"

작업 소스 sourceIPs

예를 들면 다음과 같습니다.

"sourceIPs":["10.251.127.4"]
결과 responseStatus

예를 들면 다음과 같습니다.

"responseStatus":{"metadata":{},"code":200}
기타 필드
  • annotations
  • objectRef

예를 들면 다음과 같습니다.

 "objectRef":{
"resource":"servers",
"apiGroup":
"system.private.gdc.goog",
"name":"zb-aa-bm07",
"apiVersion":"v1alpha1",
"namespace":"gpc-system",
"subresource":"status"
    }

예시 로그

{
"user":{
"groups":["system:serviceaccounts","system:serviceaccounts:gpc-system"
"system:authenticated"]
"extra":{"authentication.kubernetes.io/pod-uid":["8a33590d-bbf2-4a23-b5de-851a451fac32"],
"authentication.kubernetes.io/pod-name":["root-admin-controller-5c5d44f45-2r5d4"]
},
"username":"system:serviceaccount:gpc-system:root-admin-controller-sa",
"uid":"ecaee5a1-f7e0-47e7-ae46-1cbd42fb2e99"
},
"requestURI":"/apis/system.private.gdc.goog/v1alpha1/namespaces/gpc-system/servers/zb-aa-bm07/status",
"sourceIPs":["10.251.127.4"],
"verb":"patch",
"userAgent":"root-admin-cm/v0.0.0 (linux/amd64) kubernetes/$Format",
"requestReceivedTimestamp":"2022-12-02T23:52:22.509246Z",
"stageTimestamp":"2022-12-02T23:52:22.527613Z",
"_gdch_cluster":"root-admin",
"responseStatus":{"metadata":{},"code":200},
"annotations":{
"authorization.k8s.io/reason":"RBAC: allowed by ClusterRoleBinding \
"root-admin-rootadmin-controllers-rolebinding\" of ClusterRole \
"root-admin-rootadmin-controllers-role\" to ServiceAccount \
"root-admin-controller-sa/gpc-system\"","authorization.k8s.io/decision":"allow"
},
"objectRef":{
"resource":"servers",
"apiGroup":
"system.private.gdc.goog",
"name":"zb-aa-bm07",
"apiVersion":"v1alpha1",
"namespace":"gpc-system",
"subresource":"status"
},
"gdch_fluentbit_pod":"anthos-audit-logs-forwarder-kp68x",
"kind":"Event",
"apiVersion":"audit.k8s.io/v1",
"stage":"ResponseComplete",
"level":"Metadata",
"auditID":"2b2b0ec8-627b-4f69-aa19-b6ba2c3e20cb",
"_gdch_service_name":"apiserver"
}