Questo documento descrive come utilizzare gli audit log di Cloud per Google Distributed Cloud. Google Distributed Cloud utilizza Kubernetes Audit logging, che mantiene un record cronologico delle chiamate effettuate al server dell'API Kubernetes di un cluster. I log di controllo sono utili per esaminare le richieste API sospette e per raccogliere statistiche. Per informazioni sul logging degli audit per l'API GKE On-Prem, consulta Logging degli audit delle API Cloud.
Informazioni su Cloud Audit Logs
Gli audit log vengono scritti in Cloud Audit Logs nel progetto Google Cloud. La scrittura in Cloud Audit Logs offre diversi vantaggi rispetto alla scrittura in Cloud Audit Logs su disco o l'acquisizione di log in un sistema di logging on-premise:
- Gli audit log per tutti i cluster GKE possono essere centralizzati.
- Le voci di log scritte in Cloud Audit Logs sono immutabili.
- Le voci degli audit log di Cloud vengono conservate per 400 giorni.
- La funzionalità Cloud Audit Logs è inclusa nel prezzo di Google Distributed Cloud.
- Puoi configurare Google Distributed Cloud per scrivere i log su disco Cloud Audit Logs.
Audit logging basato su disco
Se gli audit log di Cloud sono disattivati esplicitamente, gli audit log in Google Distributed Cloud vengono scritti su un disco persistente in modo che i riavvii e gli upgrade del cluster non causino la scomparsa dei log. Google Distributed Cloud conserva fino a 1 GiB di voci di log di controllo.
Accedi agli audit log basati su disco accedendo ai nodi del piano di controllo. I log
si trovano nella directory /var/log/apiserver/
.
Cloud Audit Logs
Le voci degli audit log per le attività di amministrazione da tutti i server dell'API Kubernetes vengono inviate a
Google Cloud, utilizzando il progetto e la località che specifichi
per creare un cluster utente. Per eseguire il buffering e scrivere le voci di log in Cloud Audit Logs,
Google Distributed Cloud esegue il deployment di un set di daemon audit-proxy
in esecuzione sul controllo
nodi del piano.
Limitazioni
Cloud Audit Logs per Google Distributed Cloud presenta le seguenti limitazioni:
- Il logging degli accessi ai dati non è supportato.
- La modifica del criterio di controllo di Kubernetes non è supportata.
- Cloud Audit Logs non è resiliente alle interruzioni della rete prolungate. Se le voci di log non possono essere esportate in Google Cloud, vengono memorizzate nella cache in un buffer di disco di 10 GB. Se il buffer si riempie, le voci meno recenti vengono è caduto.
Creazione di un account di servizio per Cloud Audit Logs
Prima di poter utilizzare Cloud Logging e Cloud Monitoring con Google Distributed Cloud, devi prima configurare quanto segue:
Crea un'area di lavoro Cloud Monitoring all'interno del progetto Google Cloud, se non ne hai già uno.
Nella console Google Cloud, fai clic sul pulsante seguente e segui le un flusso di lavoro di machine learning.
Fai clic sui seguenti pulsanti per abilitare le API richieste:
Assegna i seguenti ruoli IAM all'account di servizio utilizzato dagli agenti Stackdriver:
logging.logWriter
monitoring.metricWriter
stackdriver.resourceMetadata.writer
monitoring.dashboardEditor
Accesso a Cloud Audit Logs
Console
Nella console Google Cloud, vai alla pagina Esplora log nel menu Logging.
Se si apre la pagina Visualizzatore log legacy, scegli Esegui l'upgrade al nuovo Esplora log dal menu a discesa Esegui l'upgrade.
Fai clic su Query per accedere al campo per l'invio delle query.
Compila il campo con la seguente query:
resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" protoPayload.serviceName="anthosgke.googleapis.com"
Sostituisci
PROJECT_ID
con l'ID progetto.Fai clic su Esegui query per visualizzare tutti i log di controllo dei cluster Google Distributed Cloud configurati per accedere a questo progetto.
gcloud
Elenca le prime due voci di log nel Log delle attività di amministrazione del progetto che
si applica al tipo di risorsa k8s_cluster
:
gcloud logging read \
'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
AND resource.type="k8s_cluster" \
AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
--limit 2 \
--freshness 300d
Sostituisci PROJECT_ID
con l'ID progetto.
L'output mostra due voci di log. Tieni presente che per ogni voce del log, il campo logName
ha il valore projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity
e protoPayload.serviceName
è uguale a anthosgke.googleapis.com
.
Criteri di audit
Il criterio di controllo di Kubernetes definisce le regole per cui gli eventi vengono registrati come voci di log e specifica quali dati devono includere le voci di log. La modifica di questo criterio per modificare il comportamento degli audit log di Cloud non è supportata.