Anthos clusters on bare metal è ora Google Distributed Cloud (solo software) per bare metal. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizza l'audit logging di Kubernetes

Questo documento descrive come utilizzare Cloud Audit Logs per Google Distributed Cloud. Google Distributed Cloud utilizza Kubernetes Audit Logging, che conserva un registro cronologico delle chiamate effettuate all'API Kubernetes di un cluster o server web. Gli audit log sono utili per indagare sulle richieste API sospette e per raccogliendo statistiche. Per informazioni sull'audit logging per API GKE On-Prem, vedi Controllo API Cloud il logging.

Informazioni su Cloud Audit Logs

Gli audit log vengono scritti in Cloud Audit Logs nella progetto Google Cloud. La scrittura in Cloud Audit Logs offre diversi vantaggi rispetto alla scrittura in Cloud Audit Logs su disco o l'acquisizione di log in un sistema di logging on-premise:

Gli audit log per tutti i cluster GKE possono essere centralizzati.
Le voci di log scritte in Cloud Audit Logs sono immutabili.
Le voci di Cloud Audit Logs vengono conservate per 400 giorni.
La funzionalità Cloud Audit Logs è inclusa nel prezzo di Google Distributed Cloud.
Puoi configurare Google Distributed Cloud in modo che scriva i log su disco Cloud Audit Logs.

Audit logging basato su disco

Se Cloud Audit Logs è disabilitato esplicitamente, gli audit log in Google Distributed Cloud vengono scritti su un disco permanente in modo che i riavvii del cluster e gli upgrade far scomparire i log. Google Distributed Cloud conserva fino a 1 GiB di le voci dell'audit log.

Accedi agli audit log basati su disco accedendo ai nodi del piano di controllo. I log si trovano nella directory /var/log/apiserver/.

Cloud Audit Logs

Le voci degli audit log per le attività di amministrazione da tutti i server dell'API Kubernetes vengono inviate a Google Cloud, utilizzando il progetto e la località che specifichi per creare un cluster utente. Per eseguire il buffering e scrivere le voci di log in Cloud Audit Logs, Google Distributed Cloud esegue il deployment di un set di daemon audit-proxy in esecuzione sul controllo nodi del piano.

Limitazioni

Cloud Audit Logs per Google Distributed Cloud presenta le seguenti limitazioni:

Il logging degli accessi ai dati non è supportato.
La modifica del criterio di controllo di Kubernetes non è supportata.
Cloud Audit Logs non è resiliente alle interruzioni di rete estese. Se le voci di log non possono essere esportate in Google Cloud, vengono memorizzate nella cache in Buffer del disco da 10 GiB. Se il buffer si riempie, le voci meno recenti vengono è caduto.

Creazione di un account di servizio per Cloud Audit Logs

Prima di poter utilizzare Cloud Logging e Cloud Monitoring con Google Distributed Cloud, devi prima configurare quanto segue:

Crea un'area di lavoro Cloud Monitoring all'interno del progetto Google Cloud, se non ne hai già uno.

Nella console Google Cloud, fai clic sul pulsante seguente e segui le nel tuo flusso di lavoro.

Vai a Monitoring
Fai clic sui seguenti pulsanti per abilitare le API richieste:

Abilita l'API Anthos Audit

Abilita l'API Stackdriver

Abilita l'API Monitoring

Abilita l'API Logging
Assegna i seguenti ruoli IAM all'account di servizio utilizzato dagli agenti Stackdriver:
- logging.logWriter
- monitoring.metricWriter
- stackdriver.resourceMetadata.writer
- monitoring.dashboardEditor

Accesso a Cloud Audit Logs

Console

Nella console Google Cloud, vai alla pagina Esplora log nel Logging.

Vai a Esplora log

Se si apre la pagina Visualizzatore log legacy, scegli Esegui l'upgrade al nuovo Esplora log dal menu a discesa Upgrade.
Fai clic su Query per accedere al campo per l'invio delle query.

Compila il campo con la seguente query:

resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
protoPayload.serviceName="anthosgke.googleapis.com"

Sostituisci PROJECT_ID con l'ID progetto.

Fai clic su Esegui query per visualizzare tutti gli audit log di Google Distributed Cloud configurati per accedere a questo progetto.

gcloud

Elenca le prime due voci di log nel Log delle attività di amministrazione del progetto che si applica al tipo di risorsa k8s_cluster:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

Sostituisci PROJECT_ID con l'ID progetto.

L'output mostra due voci di log. Nota che per ogni voce di log, Il campo logName ha il valore projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity e protoPayload.serviceName è uguale a anthosgke.googleapis.com.

Criteri di audit

Il criterio di controllo di Kubernetes definisce le regole in base alle quali gli eventi vengono registrati come log e specifica i dati da includere nelle voci di log. Modifica per modificare il comportamento di Cloud Audit Logs non è supportato.