Ce document explique comment utiliser Cloud Audit Logs pour Google Distributed Cloud. Le Cloud distribué de Google utilise les journaux d'audit Kubernetes, qui conservent un enregistrement chronologique des appels passés au serveur d'API Kubernetes d'un cluster. Les journaux d'audit sont utiles pour analyser les requêtes API suspectes et collecter des statistiques. Pour plus d'informations sur les journaux d'audit de l'API GKE On-Prem, consultez la page Journaux d'audit de l'API Cloud.
À propos de Cloud Audit Logs
Les journaux d'audit sont écrits dans Cloud Audit Logs de votre projet Google Cloud. Écrire dans Cloud Audit Logs présente plusieurs avantages par rapport à l'écriture sur disque, voire à la capture de journaux dans un système de journalisation sur site :
- Les journaux d'audit de tous les clusters GKE peuvent être centralisés.
- Les entrées de journal écrites dans Cloud Audit Logging sont immuables.
- Les entrées Cloud Audit Logging sont conservées pendant 400 jours.
- Cloud Audit Logs est inclus dans le prix de Google Distributed Cloud.
- Vous pouvez configurer Google Distributed Cloud pour écrire des journaux sur disque ou dans Cloud Audit Logging.
Journaux d'audit sur disque
Si Cloud Audit Logs est désactivé explicitement, les journaux d'audit Google Distributed Cloud sont écrits sur un disque persistant, de sorte que les redémarrages et les mises à niveau du cluster n'entraînent pas leur suppression. Google Distributed Cloud conserve jusqu'à 1 Gio d'entrées de journal d'audit.
Accédez aux journaux d'audit sur disque en vous connectant aux nœuds du plan de contrôle. Les journaux se trouvent dans le répertoire /var/log/apiserver/
.
Cloud Audit Logs
Les entrées de journal d'audit pour les activités d'administration de tous les serveurs d'API Kubernetes sont envoyées à Google Cloud, en utilisant le projet et l'emplacement que vous spécifiez lorsque vous créez un cluster d'utilisateur. Pour mettre en mémoire tampon et écrire des entrées de journal dans Cloud Audit Logs, Google Distributed Cloud déploie un ensemble de daemons audit-proxy
qui s'exécute sur les nœuds du plan de contrôle.
Limites
Cloud Audit Logs pour Google Distributed Cloud présente les limites suivantes:
- La journalisation des accès aux données n'est pas acceptée.
- La modification de la stratégie d'audit Kubernetes n'est pas acceptée.
- Cloud Audit Logging n'est pas résilient aux pannes réseau étendues. Si les entrées de journal ne peuvent pas être exportées vers Google Cloud, elles sont mises en cache dans un tampon de disque de 10 Gio. Si ce tampon remplit, les entrées les plus anciennes sont supprimées.
Créer un compte de service pour Cloud Audit Logging
Pour pouvoir utiliser Cloud Logging et Cloud Monitoring avec Google Distributed Cloud, vous devez configurer les éléments suivants:
Créez un espace de travail Cloud Monitoring dans le projet Google Cloud, si vous n'en possédez pas déjà un.
Dans la console Google Cloud, cliquez sur le bouton suivant et suivez le workflow.
Cliquez sur les boutons suivants pour activer les API requises :
Attribuez les rôles IAM suivants au compte de service utilisé par les agents Stackdriver :
logging.logWriter
monitoring.metricWriter
stackdriver.resourceMetadata.writer
monitoring.dashboardEditor
Accéder à Cloud Audit Logs
Console
Dans la console Google Cloud, accédez à la page Explorateur de journaux du menu Journalisation.
Accéder à l'explorateur de journaux
Si la page Ancienne visionneuse de journaux s'ouvre, sélectionnez Mettre à niveau vers le nouvel explorateur de journaux dans le menu déroulant Mettre à jour.
Cliquez sur Requête pour accéder au champ permettant d'envoyer des requêtes.
Renseignez le champ avec la requête suivante:
resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" protoPayload.serviceName="anthosgke.googleapis.com"
Remplacez
PROJECT_ID
par l'ID du projet.Cliquez sur Exécuter la requête pour afficher tous les journaux d'audit des clusters Google Distributed Cloud qui ont été configurés pour se connecter à ce projet.
gcloud
Répertoriez les deux premières entrées du journal d'activité d'administration de votre projet qui s'appliquent au type de ressource k8s_cluster
:
gcloud logging read \
'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
AND resource.type="k8s_cluster" \
AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
--limit 2 \
--freshness 300d
Remplacez PROJECT_ID
par l'ID du projet.
La sortie affiche deux entrées de journal. Notez que pour chaque entrée de journal, le champ logName
a la valeur projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity
et que protoPayload.serviceName
est égal à anthosgke.googleapis.com
.
Règle d'audit
La stratégie d'audit Kubernetes définit les règles pour lesquelles des événements sont enregistrés en tant qu'entrées de journal et spécifie les données que les entrées de journal doivent inclure. Il n'est pas possible de modifier cette stratégie pour modifier le comportement de Cloud Audit Logs.