| Local da carga de trabalho |
Cargas de trabalho somente da organização |
| Origem do registro de auditoria |
|
| Operações auditadas |
|
Eventos de máquina
| Campos na entrada de registro que contêm informações de auditoria | ||
|---|---|---|
| Metadados de auditoria | Nome do campo de auditoria | Valor |
| Identidade de usuário ou serviço | gdch_service_name |
Por exemplo, "_gdch_service_name": "bm_nodes" |
|
Objetivo (Campos e valores que chamam a API) |
description |
|
|
Ação (Campos que contêm a operação realizada) |
description |
|
| Carimbo de data/hora do evento |
time
|
Por exemplo,
|
| Origem da ação | resource |
Por exemplo,
|
| Resultado | Não relevante | Não relevante |
| Outros campos | Não relevante | Não relevante |
Exemplo de registro
{
"description": "The overall security state of the system is at \"Risk\".",
"_gdch_service_name": "bm_nodes",
"resource": "zb-ab-bm07",
"auditID": "IEL#32321",
"user": {},
"time": "2022-12-02T16:06:29Z",
"_gdch_cluster": "root-admin",
"_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-5k8l2"
}
Mudanças nos dados (operações CRUD)
| Campos na entrada de registro que contêm informações de auditoria | ||
|---|---|---|
| Metadados de auditoria | Nome do campo de auditoria | Valor |
| Identidade de usuário ou serviço | username |
Por exemplo, "user":{ "username":"system:serviceaccount: gpc-system:root-admin-controller-sa" } |
|
Objetivo (Campos e valores que chamam a API) |
requestURI |
|
|
Ação (Campos que contêm a operação realizada) |
verb |
|
| Carimbo de data/hora do evento |
requestReceivedTimestamp
|
Por exemplo,
|
| Origem da ação | sourceIPs |
Por exemplo,
|
| Resultado | responseStatus |
Por exemplo,
|
| Outros campos |
|
Por exemplo, "objectRef":{ "resource":"servers", "apiGroup": "system.private.gdc.goog", "name":"zb-aa-bm07", "apiVersion":"v1alpha1", "namespace":"gpc-system", "subresource":"status" } |
Exemplo de registro
{
"user":{
"groups":["system:serviceaccounts","system:serviceaccounts:gpc-system"
"system:authenticated"]
"extra":{"authentication.kubernetes.io/pod-uid":["8a33590d-bbf2-4a23-b5de-851a451fac32"],
"authentication.kubernetes.io/pod-name":["root-admin-controller-5c5d44f45-2r5d4"]
},
"username":"system:serviceaccount:gpc-system:root-admin-controller-sa",
"uid":"ecaee5a1-f7e0-47e7-ae46-1cbd42fb2e99"
},
"requestURI":"/apis/system.private.gdc.goog/v1alpha1/namespaces/gpc-system/servers/zb-aa-bm07/status",
"sourceIPs":["10.251.127.4"],
"verb":"patch",
"userAgent":"root-admin-cm/v0.0.0 (linux/amd64) kubernetes/$Format",
"requestReceivedTimestamp":"2022-12-02T23:52:22.509246Z",
"stageTimestamp":"2022-12-02T23:52:22.527613Z",
"_gdch_cluster":"root-admin",
"responseStatus":{"metadata":{},"code":200},
"annotations":{
"authorization.k8s.io/reason":"RBAC: allowed by ClusterRoleBinding \
"root-admin-rootadmin-controllers-rolebinding\" of ClusterRole \
"root-admin-rootadmin-controllers-role\" to ServiceAccount \
"root-admin-controller-sa/gpc-system\"","authorization.k8s.io/decision":"allow"
},
"objectRef":{
"resource":"servers",
"apiGroup":
"system.private.gdc.goog",
"name":"zb-aa-bm07",
"apiVersion":"v1alpha1",
"namespace":"gpc-system",
"subresource":"status"
},
"gdch_fluentbit_pod":"anthos-audit-logs-forwarder-kp68x",
"kind":"Event",
"apiVersion":"audit.k8s.io/v1",
"stage":"ResponseComplete",
"level":"Metadata",
"auditID":"2b2b0ec8-627b-4f69-aa19-b6ba2c3e20cb",
"_gdch_service_name":"apiserver"
}