Menggunakan logging audit Kubernetes

Dokumen ini menjelaskan cara menggunakan Cloud Audit Logs untuk Google Distributed Cloud (khusus software) di bare metal. Google Distributed Cloud menggunakan Kubernetes Audit Logging, yang menyimpan catatan kronologis panggilan yang dilakukan ke server Kubernetes API cluster. Log audit berguna untuk menyelidiki permintaan API yang mencurigakan dan untuk mengumpulkan statistik. Untuk mengetahui informasi tentang logging audit untuk GKE On-Prem API, lihat Logging audit Cloud API.

Tentang Cloud Audit Logs

Log audit ditulis ke Cloud Audit Logs di project Google Cloud Anda. Menulis ke Cloud Audit Logs memiliki beberapa manfaat dibandingkan menulis ke disk atau merekam log dalam sistem logging lokal:

  • Log audit untuk semua cluster GKE dapat dipusatkan.
  • Entri log yang ditulis ke Cloud Audit Logs tidak dapat diubah.
  • Entri Cloud Audit Logs dipertahankan selama 400 hari.
  • Fitur Cloud Audit Logs disertakan dalam harga Google Distributed Cloud khusus software.
  • Anda dapat mengonfigurasi Google Distributed Cloud untuk menulis log ke disk atau ke Cloud Audit Logs.

Logging audit berbasis disk

Jika Cloud Audit Logs dinonaktifkan secara eksplisit, log audit akan ditulis ke disk persisten sehingga memulai ulang dan mengupgrade cluster tidak akan menyebabkan log hilang. Google Distributed Cloud hanya menyimpan hingga 1 GiB entri log audit.

Akses log audit berbasis disk dengan login ke Node bidang kontrol. Log berada di direktori /var/log/apiserver/.

Cloud Audit Logs

Entri log audit Aktivitas Admin dari semua server Kubernetes API dikirim ke Google Cloud, menggunakan project dan lokasi yang Anda tentukan saat Anda membuat cluster pengguna. Untuk melakukan buffering dan menulis entri log ke Cloud Audit Logs, Google Distributed Cloud men-deploy set daemon audit-proxy yang berjalan di node bidang kontrol.

Batasan

Di bare metal, Cloud Audit Logs memiliki batasan berikut:

  • Logging akses data tidak didukung.
  • Memodifikasi kebijakan audit Kubernetes tidak didukung.
  • Cloud Audit Logs tidak tahan terhadap pemadaman jaringan yang berkepanjangan. Jika entri log tidak dapat diekspor ke Google Cloud, entri tersebut akan di-cache dalam buffer disk 10 GiB. Jika buffer tersebut penuh, entri terlama akan dihapus.
    • Satu project dapat mendukung hingga sekitar 1.000 akun layanan untuk digunakan dengan Cloud Audit Logs. Beberapa cluster dapat menggunakan akun layanan yang sama.

Membuat akun layanan untuk Cloud Audit Logs

Sebelum dapat menggunakan Cloud Logging dan Cloud Monitoring dengan Google Distributed Cloud software-only, Anda harus mengonfigurasi hal berikut terlebih dahulu:

  1. Buat Ruang Kerja Cloud Monitoring dalam Google Cloud project, jika Anda belum memilikinya.

    Di konsol Google Cloud , klik tombol berikut dan ikuti alur kerja.

    Buka Monitoring

  2. Klik tombol berikut untuk mengaktifkan API yang diperlukan:

    Aktifkan Anthos Audit API

    Aktifkan Stackdriver API

    Mengaktifkan Monitoring API

    Aktifkan Logging API

  3. Tetapkan peran IAM berikut ke akun layanan yang digunakan oleh agen Stackdriver:

    • logging.logWriter
    • monitoring.metricWriter
    • stackdriver.resourceMetadata.writer
    • monitoring.dashboardEditor

Mengakses Cloud Audit Logs

Konsol

  1. Di konsol Google Cloud , buka halaman Logs Explorer di menu Logging.

    Buka Logs Explorer

    Jika halaman Legacy Logs Viewer terbuka, pilih Upgrade ke Logs Explorer baru dari menu drop-down Upgrade.

  2. Klik Kueri untuk mengakses kolom pengiriman kueri.

  3. Isi kolom dengan kueri berikut:

    resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
protoPayload.serviceName="anthosgke.googleapis.com"

    Ganti PROJECT_ID dengan project ID Anda.

  4. Klik Run query untuk menampilkan semua log audit dari cluster yang dikonfigurasi untuk login ke project ini.

gcloud

Mencantumkan dua entri log pertama di log Aktivitas Admin project Anda yang berlaku untuk jenis resource k8s_cluster:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

Ganti PROJECT_ID dengan project ID Anda.

Output menampilkan dua entri log. Perhatikan bahwa untuk setiap entri log, kolom logName memiliki nilai projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity dan protoPayload.serviceName sama dengan anthosgke.googleapis.com.

Kebijakan audit

Kebijakan audit Kubernetes menentukan aturan untuk peristiwa mana yang dicatat sebagai entri log dan menentukan data apa yang harus disertakan dalam entri log. Mengubah kebijakan ini untuk mengubah perilaku Cloud Audit Logs tidak didukung.