Audit-Logging

Auf dieser Seite wird erläutert, wie Sie Audit-Logging in Ihren GKE-Clustern (Google Kubernetes Engine) verwenden.

Übersicht

Alle auf Kubernetes basierenden Cluster bieten Kubernetes-Audit-Logging mit einer chronologischen Aufzeichnung von Aufrufen, die an den Kubernetes-API-Server gesendet wurden. Die Einträge im Kubernetes-Audit-Log sind nützlich, um verdächtige API-Anfragen zu untersuchen, Statistiken zu erfassen oder Monitoring-Benachrichtigungen für unerwünschte API-Aufrufe zu erstellen.

GKE-Cluster ermöglichen die Einbindung von Kubernetes-Audit-Logging in Cloud-Audit-Logs und Stackdriver Logging. Dadurch können Sie Audit-Log-Einträge von Kubernetes im Google Cloud-Projekt ansehen.

Neben den von Kubernetes geschriebenen Einträgen enthalten die Audit-Logs des Projekts auch Einträge, die aus Kubernetes Engine stammen.

Audit Logging GA ist in GKE 1.11.4 und höher verfügbar.

Vorbereitung

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

Achten Sie darauf, dass die Google Kubernetes Engine API aktiviert ist.

Aktivieren Sie Google Kubernetes Engine API

Prüfen Sie, ob das Cloud SDK installiert ist.

Mit den folgenden Methoden können Sie die gcloud-Einstellungen festlegen:

Verwenden Sie gcloud init, wenn Sie die Standardeinstellungen ansehen möchten.
Verwenden Sie gcloud config, um Ihre Projekt-ID, Zone und Region individuell festzulegen.

gcloud init verwenden

Wenn Sie die Fehlermeldung One of [--zone, --region] must be supplied: Please specify location erhalten, führen Sie den folgenden Abschnitt aus.

Führen Sie gcloud init aus und folgen Sie der Anleitung:
```
gcloud init
```
Wenn Sie SSH auf einem Remote-Server verwenden, können Sie mit dem Flag --console-only verhindern, dass mit dem Befehl ein Browserfenster geöffnet wird:
```
gcloud init --console-only
```
Folgen Sie der Anleitung, um gcloud zur Verwendung Ihres Google Cloud-Kontos zu autorisieren.
Erstellen Sie eine neue Konfiguration oder wählen Sie eine vorhandene aus.
Wählen Sie ein Google Cloud-Projekt aus.
Wählen Sie eine Compute Engine-Standardzone aus.

Hinweis: Sie können diese Standardeinstellungen in gcloud-Befehlen mit den Flags --project, --zone und --region überschreiben.

gcloud config verwenden

Geben Sie Ihre standardmäßige Projekt-ID an:
```
gcloud config set project project-id
```
Wenn Sie mit zonalen Clustern arbeiten, legen Sie die Standardzone für Compute Engine fest:
```
gcloud config set compute/zone compute-zone
```
Wenn Sie mit regionalen Clustern arbeiten, legen Sie die Standardregion für Compute Engine fest:
```
gcloud config set compute/region compute-region
```
Aktualisieren Sie gcloud auf die neueste Version:
```
gcloud components update
```

Hinweis: Sie können diese Standardeinstellungen in gcloud-Befehlen mit den Flags --project, --zone und --region überschreiben.

Im Projekt muss ein Kubernetes Engine-Cluster enthalten sein. Sie können für die Übungen in diesem Thema einen vorhandenen Cluster verwenden oder einen neuen erstellen. Bei Verwendung eines vorhandenen Clusters müssen Sie darauf achten, dass er kürzlich aktiv war. Wenn Sie in letzter Zeit kein Deployment erstellt haben, können Sie dies jetzt beispielsweise mit folgendem Befehl tun:

kubectl run log-exercise --image nginx

Lesen Sie die Informationen zu Kubernetes Audit Logging.

Audit-Logs im Projekt

Im Cloud-Projekt sind folgende Audit-Logs enthalten:

Administratoraktivitätslog
Datenzugriffs-Log

Das Administratoraktivitäts-Logging ist standardmäßig ohne Zusatzkosten aktiviert.

Das Datenzugriffs-Logging ist standardmäßig deaktiviert und kann bei Aktivierung zusätzlich in Rechnung gestellt werden. Weitere Informationen zum Aktivieren des Datenzugriffs-Loggings und den damit verbundenen Kosten finden Sie unter Datenzugriffs-Logs konfigurieren.

Zugriffstransparenz-Logging wird in Kubernetes Engine nicht unterstützt.

Verschiedene Google Cloud Platform-Dienste schreiben Einträge in die Logs des Projekts. Auch der Kubernetes-Dienst schreibt Einträge in die Audit-Logs des Projekts. Für Kubernetes Engine-Cluster sind die von folgenden Diensten geschriebenen Log-Einträge am relevantesten:

Dienst	Anzeigename
k8s.io	Kubernetes
container.googleapis.com	Kubernetes Engine

Administratoraktivitäts-Log des Projekts ansehen

Console

Rufen Sie in der Cloud Console im Menü Logging die Seite Logs auf.

Zur Seite "Logs"
Suchen Sie oben auf der Seite nach dem Drop-down-Menü zum Auswählen eines Ressourcentyps. Wählen Sie im Drop-down-Menü den Eintrag Kubernetes-Cluster aus.
Geben Sie optional den Speicherort an oder wählen Sie Alle Speicherorte aus. Wenn Sie einen Speicherort angeben, können Sie an diesem einen bestimmten Cluster auswählen.
Im nächsten Menü rechts davon stehen die Logs zur Wahl. Wählen Sie im Drop-down-Menü Aktivität aus und klicken Sie auf OK.
Standardmäßig werden alle Log-Ebenen angezeigt. Wenn Sie eine Log-Ebene wie Warnung angeben möchten, können Sie diese im Drop-down-Menü für Log-Ebenen auswählen.
Unter Umständen werden nur Logeinträge aus der letzten Stunde angezeigt. Wenn keine Logeinträge aus der letzten Stunde zu sehen sind, klicken Sie auf Ältere Logs laden.
Klicken Sie oberhalb der gerade erwähnten Drop-down-Menüs im Feld Nach Label oder Textsuche filtern auf den Abwärtspfeil, um das Drop-down-Menü zu öffnen. Wählen Sie im Menü den Eintrag In erweiterten Filter umwandeln aus.

Im Textfeld wird ein Filter wie der folgende angezeigt:

resource.type="k8s_cluster"
logName="projects/my-project/logs/cloudaudit.googleapis.com%2Factivity"

Klicken Sie zum Öffnen eines Logeintrags auf den Pfeil am Anfang der Zeile. Das Feld logName des Eintrags hat den Wert projects/project-id/logs/cloudaudit.googleapis.com%2Factivity.

gcloud

Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf:

gcloud logging read \
    'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"' \
    --limit 2 \
    --freshness 300d

Dabei ist project-id Ihre Projekt-ID.

Es werden zwei Logeinträge ausgegeben. Das Feld logName enthält für jeden Logeintrag den Wert projects/project-id/logs/cloudaudit.googleapis.com%2Factivity.

insertId: 18yao5jem14og
labels:
  cluster_version: 1.8.8-gke.0
logName: projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
...

Standardfiltermodus und erweiterte Filteroberflächen

In der Cloud Console stehen für die Seite Logs zwei Filteroberflächen zur Verfügung: Einfach und Erweitert. Informationen zu den beiden Filteroberflächen finden Sie unter Filteroberflächen der Loganzeige.

Dienste ansehen, die in das Administratoraktivitätslog schreiben

Console

Rufen Sie in der Cloud Console im Menü Logging die Seite Logs auf.

Zur Seite "Logs"
Wenn sich die Seite Logs nicht bereits im erweiterten Modus befindet, schalten Sie auf diesen um. Klicken Sie dazu rechts im Filterfeld auf den Abwärtspfeil und wählen Sie In erweiterten Filter umwandeln aus.
Löschen Sie eventuell vorhandenen Text aus dem Filterfeld und geben Sie folgenden Filter ein:
```
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.serviceName="k8s.io"
```
Dabei ist project-id Ihre Projekt-ID.

Klicken Sie auf Filter senden.

Es werden alle Einträge im Administratoraktivitätslog aufgelistet, die vom Service k8s.io geschrieben wurden, also von der Kubernetes-Steuerungsebene.
Suchen Sie nach Logeinträgen, die von anderen Services als k8s.io geschrieben wurden. Ändern Sie im Filterfeld den Eintrag serviceName="k8s.io" in serviceName!="k8s.io". Klicken Sie auf Filter senden.

Es werden Einträge im Administratoraktivitätslog aufgelistet, die nicht vom Dienst k8s.io geschrieben wurden.
Öffnen Sie einen der Logeinträge und erweitern Sie das Feld protoPayload. Überprüfen Sie anhand des Werts von serviceName, von welchem Dienst der Logeintrag geschrieben wurde.
Suchen Sie nach Logeinträgen, die vom Service container.googleapis.com geschrieben wurden, also von der Kubernetes Engine-Steuerungsebene. Ändern Sie im Filterfeld den Eintrag serviceName!="k8s.io" in serviceName="container.googleapis.com". Klicken Sie auf Filter senden.

gcloud

Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf, die vom Dienst k8s.io geschrieben wurden, also von der Kubernetes-Steuerungsebene.
```
gcloud logging read \
   'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
       AND protoPayload.serviceName="k8s.io"' \
   --limit 2 \
   --freshness 300d
```
Dabei ist project-id Ihre Projekt-ID.

In der Ausgabe sehen Sie, dass protoPayload:serviceName den Wert k8s.io enthält:
```
protoPayload:
 ...
 serviceName: k8s.io
```

Suchen Sie nach Logeinträgen, die von anderen Services als k8s.io geschrieben wurden:

gcloud logging read \
   'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
       AND protoPayload.serviceName!="k8s.io"' \
   --limit 2 \
   --freshness 300d

In der Ausgabe werden Einträge im Administratoraktivitätslog aufgelistet, die nicht vom Dienst k8s.io geschrieben wurden.

logName: projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
...
protoPayload:
 ...
 serviceName: compute.googleapis.com
...

Überprüfen Sie in einem der Logeinträge den Wert von protoPayload.serviceName, um zu erfahren, von welchem Dienst der Logeintrag geschrieben wurde.

Suchen Sie nach Logeinträgen, die vom Dienst container.googleapis.com geschrieben wurden, also von der Kubernetes Engine-Steuerungsebene:

gcloud logging read \
   'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
       AND protoPayload.serviceName="container.googleapis.com"' \
   --limit 2 \
   --freshness 300d

Dabei ist project-id Ihre Projekt-ID.

Administratoraktivitätslog nach Ressourcentyp filtern

Jeder Log-Eintrag in Ihrem Administratoraktivitätslog bezieht sich auf einen bestimmten Ressourcentyp. Folgende Ressourcentypen sind für Kubernetes-Cluster am relevantesten:

Ressourcentyp	Anzeigename
k8s_cluster	Kubernetes-Cluster
gke_cluster	GKE-Clustervorgänge

Vom Kubernetes API-Server geschriebene Logeinträge beziehen sich auf den Ressourcentyp k8s_cluster. Diese Logeinträge beschreiben Vorgänge auf Kubernetes-Clusterressourcen wie Pods, Deployments und Secrets.

Vom Kubernetes Engine-API-Server geschriebene Logeinträge gelten für die Ressource gke_cluster. Diese Logeinträge beschreiben Vorgänge wie das Erstellen und Löschen von Clustern.

Console

Rufen Sie in der Cloud Console im Menü Logging die Seite Logs auf.

Zur Seite "Logs"
Wenn sich die Seite Logs nicht bereits im Standardmodus befindet, schalten Sie auf diesen um. Klicken Sie dazu rechts im Filterfeld auf den Abwärtspfeil und wählen Sie Filter löschen und zum Standardmodus zurückkehren aus.
Wählen Sie im Drop-down-Menü zur Auswahl eines Ressourcentyps den Eintrag Kubernetes-Cluster aus. Dies ist der Anzeigename für den Ressourcentyp k8s_cluster.
Wählen Sie im Drop-down-Menü zum Auswählen eines Logs den Eintrag Aktivität aus und klicken Sie auf OK.

Es werden alle Einträge im Administratoraktivitätslog aufgelistet, die sich auf den Ressourcentyp k8s_cluster beziehen.
Öffnen Sie einen der Logeinträge und erweitern Sie das Feld resource. Überprüfen Sie, ob das Feld type den Wert k8s_cluster enthält.
Wählen Sie im Drop-down-Menü die Option GKE-Clustervorgänge aus. Dies ist der angezeigte Name für den Ressourcentyp gke_cluster. Wählen Sie im Drop-down-Menü zum Auswählen eines Logs den Eintrag Aktivität aus und klicken Sie auf OK.

Es werden alle Einträge im Administratoraktivitätslog aufgelistet, die sich auf den Ressourcentyp gke_cluster beziehen.

gcloud

Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf, die sich auf den Ressourcentyp k8s_cluster beziehen:
```
gcloud logging read \
   'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
       AND resource.type="k8s_cluster"' \
   --limit 2 \
   --freshness 300d
```
Dabei ist project-id Ihre Projekt-ID.

In der Ausgabe sehen Sie, dass das Feld resource:type den Wert k8s_cluster enthält:
```
resource:
 ...
 type: k8s_cluster
```
Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf, die sich auf den Ressourcentyp gke_cluster beziehen:
```
gcloud logging read \
   'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
       AND resource.type="gke_cluster"' \
   --limit 2 \
   --freshness 300d
```
In der Ausgabe sehen Sie, dass das Feld resource:type den Wert gke_cluster enthält:
```
resource:
 ...
 type: gke_cluster
```

Beispielfilter für das Administratoraktivitätslog

Im Folgenden finden Sie einige Beispiele für Filter, die Sie in der Cloud Console anwenden können. Ersetzen Sie jeweils project-id durch Ihre Projekt-ID.

Suchen Sie nach Änderungen an der rollenbasierten Zugriffssteuerung. Schließen Sie dabei automatische Systemänderungen aus der Suche aus.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.methodName:"io.k8s.authorization.rbac.v1"
NOT protoPayload.authenticationInfo.principalEmail:"system"

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.methodName:"io.k8s.authorization.rbac.v1.roles"
NOT protoPayload.authenticationInfo.principalEmail:"system"

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.methodName:"io.k8s.authorization.rbac.v1.rolebindings"
NOT protoPayload.authenticationInfo.principalEmail:"system"

Sie können ähnliche Abfragen verwenden, um Änderungen an clusterroles und clusterrolebindings zu finden.

Suchen Sie nach Anfragen für Zertifikatsignaturen.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.resourceName:"certificates.k8s.io/v1beta1/certificatesigningrequests"

Suchen Sie nach nicht authentifizierte Webanfragen.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.authenticationInfo.principalEmail:"system:anonymous"

Suchen Sie nach Aufrufen der kubelet-Bootstrap-Identität.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.authenticationInfo.principalEmail:"kubelet"

Suchen Sie nach authentifizierten Knotenanfragen.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.authenticationInfo.principalEmail:"system:node"

Suchen Sie nach Aufrufen außerhalb eines IP-Bereichs.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.requestMetadata.callerIp!="127.0.0.1"
protoPayload.requestMetadata.callerIp!="::1"
NOT protoPayload.requestMetadata.callerIp:"ip-prefix"

Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp k8s_cluster beziehen und das Erstellen eines Deployments beschreiben.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.methodName:"deployments.create"

Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp k8s_cluster beziehen und im Feld principalEmail den Wert system:anonymous enthalten. Diese Einträge stellen wahrscheinlich fehlgeschlagene Authentifizierungsversuche dar.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.authenticationInfo.principalEmail="system:anonymous"

Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp gke_cluster beziehen und das Erstellen eines Clusters beschreiben:

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="gke_cluster"
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"

Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp gke_cluster beziehen und im Feld severity den Wert ERROR enthalten:

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="gke_cluster"
severity="ERROR"

Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp k8s_cluster beziehen und eine Schreibanfrage für ein Secret beschreiben:

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.methodName:"io.k8s.core.v1.secrets"
NOT protoPayload.methodName:"get"
NOT protoPayload.methodName:"list"
NOT protoPayload.methodName:"watch"

Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp k8s_cluster beziehen und eine Pod-Anfrage von einem bestimmten Nutzer beschreiben:

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.methodName:"io.k8s.core.v1.pods"
protoPayload.authenticationInfo.principalEmail="dev@example.com"

Weitere Informationen zum Erstellen von Filtern finden Sie unter Erweiterte Logfilter.

Struktur eines Logeintrags

Jeder Logeintrag ist ein Objekt vom Typ LogEntry. Weitere Informationen finden Sie unter Audit-Logs verstehen.

Datenzugriffslogs aktivieren

Rufen Sie die Cloud IAM-Richtlinie (Cloud Identity and Access Management) für Ihr Projekt ab:
```
gcloud projects get-iam-policy project-id > my-policy.yaml
```
Dabei ist project-id Ihre Projekt-ID.

Öffnen Sie my-policy.yaml, um die Cloud IAM-Richtlinie aufzurufen. Die Richtlinie enthält wahrscheinlich ein bindings-Objekt ähnlich dem folgenden:

bindings:
- members:
  - serviceAccount:xxx.gserviceaccount.com
  - serviceAccount:yyy.gserviceaccount.com
  role: roles/container.clusterAdmin
- members:
  ...

Erstellen Sie in my-policy.yaml ein Objekt von Typ auditConfigs oder ergänzen Sie das vorhandene auditConfigs-Objekt, sodass ADMIN_READ, DATA_WRITE UND DATA_READ unter auditLogConfigs aufgeführt werden.
```
auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices
```
Lassen Sie den Wert von etag unverändert.
Speichern Sie die aktualisierte Datei unter dem Namen my-policy-2.yaml.

Achtung: Ändern Sie keine Abschnitte der Richtlinie, die nicht im Zusammenhang mit dem Audit-Logging stehen. Sie bearbeiten ein Richtlinienobjekt, das wichtige Informationen darüber enthält, wer auf das Projekt oder die Organisation zugreifen kann. Eine versehentliche Änderung dieser Informationen kann das Projekt oder die Organisation unbrauchbar machen.
Legen Sie die Cloud IAM-Richtlinie für Ihr Projekt fest:
```
gcloud projects set-iam-policy project-id my-policy-2.yaml
```
Dabei ist project-id Ihre Projekt-ID.

Datenzugriffslog des Projekts aufrufen

Console

Rufen Sie in der Cloud Console im Menü Logging die Seite Logs auf.

Zur Seite "Logs"
Wenn sich die Seite Logs nicht bereits im Standardmodus befindet, schalten Sie auf diesen um. Klicken Sie dazu rechts im Filterfeld auf den Abwärtspfeil und wählen Sie Filter löschen und zum Standardmodus zurückkehren aus.
Suchen Sie oben auf der Seite nach dem Drop-down-Menü zum Auswählen eines Ressourcentyps. Wählen Sie im Drop-down-Menü den Eintrag Kubernetes-Cluster aus.
Wählen Sie im Menü zum Auswählen eines Logs data_access aus und klicken Sie auf OK.
Klicken Sie rechts neben dem Feld Nach Label oder Textsuche filtern auf den Abwärtspfeil, um das Drop-down-Menü zu öffnen. Wählen Sie im Menü den Eintrag In erweiterten Filter umwandeln aus.

Im Textfeld wird ein Filter wie der folgende angezeigt:

resource.type="k8s_cluster"
logName="projects/my-project/logs/cloudaudit.googleapis.com%2Fdata_access"

Öffnen Sie einen der Logeinträge und beachten Sie, dass das Feld logName des Eintrags den Wert projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access enthält.

gcloud

Listen Sie die ersten beiden Logeinträge im Datenzugriffslog des Projekts auf:

gcloud logging read \
    'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access"' \
    --limit 2 \
    --freshness 30d

Dabei ist project-id Ihre Projekt-ID.

Es werden zwei Logeinträge ausgegeben. Das Feld logName enthält für jeden Logeintrag den Wert projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access.

insertId:  "x0vy9eej0j54"
labels: {…}
logName:  "projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access"
...

Logeinträge exportieren und speichern

Logeinträge werden in Stackdriver Logging über eine begrenzte Aufbewahrungsdauer beibehalten. Anschließend werden die Einträge gelöscht.

Wenn Sie Ihre Logeinträge länger aufbewahren möchten, können Sie sie in einen Google-Dienst wie Cloud Storage, BigQuery oder Cloud Pub/Sub exportieren.

Messwerte und Benachrichtigungen einrichten

In Stackdriver Monitoring haben Sie die Möglichkeit, Messwerte auf Basis der Logeinträge einzurichten. Außerdem können Sie mithilfe von logbasierten Messwerten Diagramme und Benachrichtigungen einrichten.

Audit-Richtlinie

Die Audit-Richtlinie von Kubernetes legt fest, welche Log-Einträge vom Kubernetes-API-Server exportiert werden. Die Audit-Richtlinie von Kubernetes Engine legt fest, welche Einträge in das Administratoraktivitätslog und welche Einträge in das Datenzugriffslog geschrieben werden.

Weitere Informationen zu Audit-Richtlinien in Kubernetes Engine finden Sie unter Audit-Richtlinie von Kubernetes Engine.