このドキュメントでは、ベアメタル上の Google Distributed Cloud(ソフトウェアのみ)で Cloud Audit Logs を使用する方法について説明します。Google Distributed Cloud では Kubernetes Audit Logging を使用して、クラスタの Kubernetes API サーバーに対して行われた呼び出しを時系列で記録します。監査ログは、不審な API リクエストの調査や統計情報の収集に役立ちます。GKE On-Prem API の監査ロギングについては、Cloud API 監査ロギングをご覧ください。
Cloud Audit Logs について
監査ログは、Google Cloud プロジェクトの Cloud Audit Logs に書き込まれます。Cloud Audit Logs への書き込みには、ディスクへの書き込みや、オンプレミス ロギング システムでのログ取得よりもいくつかの利点があります。
- すべての GKE クラスタの監査ログを一元化できます。
- Cloud Audit Logs に書き込まれるログエントリは不変です。
- Cloud Audit Logs エントリは 400 日間保持されます。
- Cloud Audit Logs の機能については、料金は Google Distributed Cloud ソフトウェアのみの料金に含まれています。
- ログをディスクまたは Cloud Audit Logs に書き込むように Google Distributed Cloud を構成できます。
ディスクベースの監査ロギング
Cloud Audit Logs が明示的に無効になっている場合、監査ログは永続ディスクに書き込まれるため、クラスタの再起動やアップグレードによってログが消えることはありません。Google Distributed Cloud ソフトウェアのみでは、最大 1 GiB の監査ログエントリが保持されます。
コントロール プレーンのノードにログインして、ディスクベースの監査ログにアクセスします。ログは /var/log/apiserver/ ディレクトリにあります。
Cloud Audit Logs
ユーザー クラスタの作成時に指定したプロジェクトとロケーションを使用して、すべての Kubernetes API サーバーからGoogle Cloudに管理アクティビティ監査ログエントリが送信されます。ログエントリをバッファリングして Cloud Audit Logs に書き込むために、Google Distributed Cloud は、コントロール プレーン ノードで実行される audit-proxy デーモンセットをデプロイします。
制限事項
ベアメタルの Cloud Audit Logs には、次の制限があります。
- データアクセスのロギングはサポートされていません。
- Kubernetes 監査ポリシーの変更はサポートされていません。
- Cloud Audit Logs は、長時間のネットワークの停止に対処できません。ログエントリを Google Cloudにエクスポートできない場合は、10 GiB のディスク バッファのキャッシュに保存されます。対象のバッファに空き容量がなくなると、最も古いエントリが破棄されます。
- 1 つのプロジェクトで Cloud Audit Logs での使用がサポートされるサービス アカウントは、最大で約 1,000 個までです。複数のクラスタで同じサービス アカウントを使用できます。
Cloud Audit Logs のサービス アカウントの作成
Google Distributed Cloud ソフトウェアのみで Cloud Logging と Cloud Monitoring を使用する前に、まず以下の構成を行う必要があります。
Google Cloud プロジェクト内に Cloud Monitoring Workspace を作成します(まだ作成していない場合)。
Google Cloud コンソールで次のボタンをクリックし、ワークフローを実行します。
次のボタンをクリックして必要な API を有効にします。
Stackdriver エージェントが使用するサービス アカウントに次の IAM ロールを割り当てます。
logging.logWritermonitoring.metricWriterstackdriver.resourceMetadata.writermonitoring.dashboardEditor
Cloud Audit Logs へのアクセス
コンソール
Google Cloud コンソールで、[ロギング] メニューの [ログ エクスプローラ] ページに移動します。
[以前のログビューア] ページが表示された場合は、[アップグレード] プルダウン メニューから [新しいログ エクスプローラにアップグレード] を選択します。
[クエリ] をクリックして、クエリを送信するフィールドにアクセスします。
次のクエリを入力します。
resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" protoPayload.serviceName="anthosgke.googleapis.com"PROJECT_IDは、実際のプロジェクト ID に置き換えます。[クエリを実行] をクリックして、このプロジェクトにログインするように構成されたクラスタのすべての監査ログを表示します。
gcloud
プロジェクトの管理アクティビティ ログで k8s_cluster リソースタイプに該当するログエントリの最初の 2 つを一覧表示します。
gcloud logging read \
'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
AND resource.type="k8s_cluster" \
AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
--limit 2 \
--freshness 300d
PROJECT_ID は、実際のプロジェクト ID に置き換えます。
出力には 2 つのログエントリが表示されます。各ログエントリについて、logName フィールドは projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity 値を持ち、protoPayload.serviceName は anthosgke.googleapis.com と等しくなる点に注意してください。
監査ポリシー
Kubernetes 監査ポリシーでは、イベントをログエントリとして記録するルールを定義し、ログエントリに含めるデータを指定します。このポリシーを変更して Cloud Audit Logs の動作を変更することはできません。