Auf dieser Seite wird erläutert, wie Sie Audit-Logging in Ihren GKE-Clustern (Google Kubernetes Engine) verwenden.
Alle auf Kubernetes basierenden Cluster bieten Kubernetes-Audit-Logging mit einer chronologischen Aufzeichnung von Aufrufen, die an den Kubernetes-API-Server gesendet wurden. Die Einträge im Kubernetes-Audit-Log sind nützlich, um verdächtige API-Anfragen zu untersuchen, Statistiken zu erfassen oder Monitoring-Benachrichtigungen für unerwünschte API-Aufrufe zu erstellen.
GKE-Cluster ermöglichen die Einbindung von Kubernetes-Audit-Logging in Cloud-Audit-Logs und Cloud Logging. Dadurch können Sie Audit-Logeinträge von Kubernetes im Google Cloud-Projekt ansehen.
Neben den von Kubernetes geschriebenen Einträgen enthalten die Audit-Logs des Projekts auch Einträge, die aus GKE stammen.
Audit Logging GA ist in GKE 1.11.4 und höher verfügbar.
Vorbereitung
Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:
- Achten Sie darauf, dass die Google Kubernetes Engine API aktiviert ist. Aktivieren Sie Google Kubernetes Engine API
- Prüfen Sie, ob das Cloud SDK installiert ist.
Mit den folgenden Methoden können Sie die gcloud
-Einstellungen festlegen:
- Verwenden Sie
gcloud init
, wenn Sie die Standardeinstellungen ansehen möchten. - Verwenden Sie
gcloud config
, um Ihre Projekt-ID, Zone und Region individuell festzulegen.
gcloud init verwenden
Wenn Sie die Fehlermeldung One of [--zone, --region] must be supplied: Please specify
location
erhalten, führen Sie diesen Abschnitt aus.
-
Führen Sie
gcloud init
aus und folgen Sie der Anleitung:gcloud init
Wenn Sie SSH auf einem Remote-Server verwenden, können Sie mit dem Flag
--console-only
verhindern, dass mit dem Befehl ein Browserfenster geöffnet wird:gcloud init --console-only
- Folgen Sie der Anleitung, um
gcloud
zur Verwendung Ihres Google Cloud-Kontos zu autorisieren. - Erstellen Sie eine neue Konfiguration oder wählen Sie eine vorhandene aus.
- Wählen Sie ein Google Cloud-Projekt aus.
- Wählen Sie eine Compute Engine-Standardzone aus.
gcloud config verwenden
- Legen Sie Ihre standardmäßige Projekt-ID fest:
gcloud config set project project-id
- Wenn Sie mit zonalen Clustern arbeiten, legen Sie die Compute-Standardzone fest:
gcloud config set compute/zone compute-zone
- Wenn Sie mit regionalen Clustern arbeiten, legen Sie die Standardregion für Compute Engine fest:
gcloud config set compute/region compute-region
- Aktualisieren Sie
gcloud
auf die neueste Version:gcloud components update
Im Projekt muss ein GKE-Cluster enthalten sein. Sie können für die Übungen in diesem Thema einen vorhandenen Cluster verwenden oder einen neuen erstellen. Bei Verwendung eines vorhandenen Clusters müssen Sie darauf achten, dass er kürzlich aktiv war. Wenn Sie in letzter Zeit kein Deployment erstellt haben, können Sie dies jetzt beispielsweise mit folgendem Befehl tun:
kubectl run log-exercise --image nginx
Hier finden Sie Informationen über Kubernetes-Audit-Logging.
Audit-Logs im Projekt
Im Cloud-Projekt sind folgende Audit-Logs enthalten:
- Administratoraktivitätslog
- Datenzugriffs-Log
Das Administratoraktivitäts-Logging ist standardmäßig ohne Zusatzkosten aktiviert.
Das Datenzugriffs-Logging ist standardmäßig deaktiviert und kann bei Aktivierung zusätzlich in Rechnung gestellt werden. Weitere Informationen zum Aktivieren des Datenzugriffs-Loggings und den damit verbundenen Kosten finden Sie unter Datenzugriffs-Logs konfigurieren.
GKE unterstützt kein Logging mit Access Transparency.
Verschiedene Google Cloud-Dienste schreiben Einträge in die Logs des Projekts. Auch der Kubernetes-Dienst schreibt Einträge in die Audit-Logs des Projekts. Für GKE-Cluster sind die von diesen Diensten geschriebenen Logeinträge am relevantesten:
Dienst | Anzeigename | Beschreibung |
---|---|---|
k8s.io |
Kubernetes |
Der Dienst k8s.io wird für Kubernetes-Audit-Logs verwendet. Diese Logs werden von der Kubernetes API-Server-Komponente generiert und enthalten Informationen zu Aktionen, die mit der Kubernetes API ausgeführt werden. Zum Beispiel werden Änderungen, die Sie mit dem Befehl kubectl an einer Kubernetes-Ressource vornehmen, vom Dienst k8s.io aufgezeichnet. Weitere Informationen finden Sie in der Kubernetes-Dokumentation unter Auditing.
|
container.googleapis.com |
Kubernetes Engine |
Der Dienst container.googleapis.com wird für Audit-Logs der GKE-Steuerungsebene verwendet. Diese Logs werden von den internen GKE-Komponenten generiert und enthalten Informationen zu Aktionen, die mit der GKE API ausgeführt werden. Alle Änderungen, die Sie mit einem gcloud -Befehl an einer GKE-Clusterkonfiguration vornehmen, werden beispielsweise vom Dienst container.googleapis.com aufgezeichnet.
|
Administratoraktivitätslog des Projekts ansehen
Console
Rufen Sie in der Cloud Console im Menü Logging die Seite Logs auf.
Suchen Sie oben auf der Seite nach dem Drop-down-Menü zum Auswählen eines Ressourcentyps. Wählen Sie im Drop-down-Menü den Eintrag Kubernetes-Cluster aus.
Geben Sie optional den Speicherort an oder wählen Sie Alle Speicherorte aus. Wenn Sie einen Speicherort angeben, können Sie an diesem einen bestimmten Cluster auswählen.
Im nächsten Menü rechts davon stehen die Logs zur Wahl. Wählen Sie im Drop-down-Menü Aktivität aus und klicken Sie auf OK.
Standardmäßig werden alle Log-Ebenen angezeigt. Wenn Sie eine Log-Ebene wie Warnung angeben möchten, können Sie diese im Drop-down-Menü für Log-Ebenen auswählen.
Unter Umständen werden nur Logeinträge aus der letzten Stunde angezeigt. Wenn keine Logeinträge aus der letzten Stunde zu sehen sind, klicken Sie auf Ältere Logs laden.
Klicken Sie im Feld Nach Label oder Textsuche filtern über den in den vorherigen Schritten beschriebenen Drop-down-Menüs auf den Abwärtspfeil, um das Drop-down-Menü zu öffnen. Wählen Sie im Menü den Eintrag In erweiterten Filter umwandeln aus.
Im Textfeld wird ein Filter wie der folgende angezeigt:
resource.type="k8s_cluster" logName="projects/my-project/logs/cloudaudit.googleapis.com%2Factivity"
Klicken Sie zum Öffnen eines Logeintrags auf den Pfeil am Anfang der Zeile. Das Feld
logName
des Eintrags hat den Wertprojects/project-id/logs/cloudaudit.googleapis.com%2Factivity
.
gcloud
Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf:
gcloud logging read \ 'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"' \ --limit 2 \ --freshness 300d
Dabei ist project-id Ihre Projekt-ID.
Es werden zwei Logeinträge ausgegeben. Das Feld logName
enthält für jeden Logeintrag den Wert projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
.
insertId: 18yao5jem14og labels: cluster_version: 1.8.8-gke.0 logName: projects/project-id/logs/cloudaudit.googleapis.com%2Factivity ...
Standardfiltermodus und erweiterte Filteroberflächen
In der Cloud Console stehen für die Seite Logs zwei Filteroberflächen zur Verfügung: Einfach und Erweitert. Informationen zu den beiden Filteroberflächen finden Sie unter Filteroberflächen der Loganzeige.
Dienste ansehen, die in das Administratoraktivitätslog schreiben
Console
Rufen Sie in der Cloud Console im Menü Logging die Seite Logs auf.
Wenn sich die Seite Logs nicht bereits im erweiterten Modus befindet, schalten Sie auf diesen um. Klicken Sie dazu rechts im Filterfeld auf den Abwärtspfeil und wählen Sie In erweiterten Filter umwandeln aus.
Löschen Sie eventuell vorhandenen Text aus dem Filterfeld und geben Sie folgenden Filter ein:
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.serviceName="k8s.io"
Dabei ist project-id Ihre Projekt-ID.
Klicken Sie auf Filter senden.
Es werden alle Einträge im Administratoraktivitätslog aufgelistet, die vom Service
k8s.io
geschrieben wurden, also von der Kubernetes-Steuerungsebene.Suchen Sie nach Logeinträgen, die von anderen Services als
k8s.io
geschrieben wurden. Ändern Sie im Filterfeld den EintragserviceName="k8s.io"
inserviceName!="k8s.io"
. Klicken Sie auf Filter senden.Es werden Einträge im Administratoraktivitätslog aufgelistet, die nicht vom Dienst
k8s.io
geschrieben wurden.Öffnen Sie einen der Logeinträge und erweitern Sie das Feld
protoPayload
. Überprüfen Sie anhand des Werts vonserviceName
, von welchem Dienst der Logeintrag geschrieben wurde.Suchen Sie nach Logeinträgen, die vom Service
container.googleapis.com
geschrieben wurden, also von der Kubernetes Engine-Steuerungsebene. Ändern Sie im Filterfeld den EintragserviceName!="k8s.io"
inserviceName="container.googleapis.com"
. Klicken Sie auf Filter senden.
gcloud
Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf, die vom Dienst
k8s.io
geschrieben wurden, also von der Kubernetes-Steuerungsebene.gcloud logging read \ 'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" AND protoPayload.serviceName="k8s.io"' \ --limit 2 \ --freshness 300d
Dabei ist project-id Ihre Projekt-ID.
In der Ausgabe sehen Sie, dass
protoPayload:serviceName
den Wertk8s.io
enthält:protoPayload: ... serviceName: k8s.io
Suchen Sie nach Logeinträgen, die von anderen Services als
k8s.io
geschrieben wurden:gcloud logging read \ 'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" AND protoPayload.serviceName!="k8s.io"' \ --limit 2 \ --freshness 300d
In der Ausgabe werden Einträge im Administratoraktivitätslog aufgelistet, die nicht vom Dienst
k8s.io
geschrieben wurden.logName: projects/project-id/logs/cloudaudit.googleapis.com%2Factivity ... protoPayload: ... serviceName: compute.googleapis.com ...
Prüfen Sie in einem der Logeinträge den Wert von
protoPayload.serviceName
, um zu erfahren, von welchem Dienst der Logeintrag geschrieben wurde.Suchen Sie nach Logeinträgen, die vom Dienst
container.googleapis.com
geschrieben wurden, also von der GKE-Steuerungsebene:gcloud logging read \ 'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" AND protoPayload.serviceName="container.googleapis.com"' \ --limit 2 \ --freshness 300d
Dabei ist project-id Ihre Projekt-ID.
Administratoraktivitätslog nach Ressourcentyp filtern
Jeder Log-Eintrag in Ihrem Administratoraktivitätslog bezieht sich auf einen bestimmten Ressourcentyp. Folgende Ressourcentypen sind für Kubernetes-Cluster am relevantesten:
Ressourcentyp | Anzeigename | Beschreibung |
---|---|---|
k8s_cluster | Kubernetes-Cluster |
Vom Kubernetes API-Server geschriebene Logeinträge beziehen sich auf den Ressourcentyp k8s_cluster . Diese Logeinträge beschreiben Vorgänge auf Kubernetes-Clusterressourcen wie Pods, Deployments und Secrets.
|
gke_cluster | GKE-Clustervorgänge |
Vom Kubernetes Engine-API-Server geschriebene Logeinträge gelten für die Ressource gke_cluster . Diese Logeinträge beschreiben Vorgänge wie das Erstellen und Löschen von Clustern.
|
Sie können diese Filter in der Cloud Console oder mit dem gcloud
-Befehlszeilentool verwenden.
Console
Rufen Sie in der Cloud Console im Menü Logging die Seite Logs auf.
Wenn sich die Seite Logs nicht bereits im Standardmodus befindet, schalten Sie auf diesen um. Klicken Sie dazu rechts im Filterfeld auf den Abwärtspfeil und wählen Sie Filter löschen und zum Standardmodus zurückkehren aus.
Wählen Sie im Drop-down-Menü zur Auswahl eines Ressourcentyps den Eintrag Kubernetes-Cluster aus. Dies ist der Anzeigename für den Ressourcentyp
k8s_cluster
.Wählen Sie im Drop-down-Menü zum Auswählen eines Logs den Eintrag Aktivität aus und klicken Sie auf OK.
Es werden alle Einträge im Administratoraktivitätslog aufgelistet, die sich auf den Ressourcentyp
k8s_cluster
beziehen.Öffnen Sie einen der Logeinträge und erweitern Sie das Feld
resource
. Überprüfen Sie, ob das Feldtype
den Wertk8s_cluster
enthält.Wählen Sie im Drop-down-Menü die Option GKE-Clustervorgänge aus. Dies ist der angezeigte Name für den Ressourcentyp
gke_cluster
. Wählen Sie im Drop-down-Menü zum Auswählen eines Logs den Eintrag Aktivität aus und klicken Sie auf OK.Es werden alle Einträge im Administratoraktivitätslog aufgelistet, die sich auf den Ressourcentyp
gke_cluster
beziehen.
gcloud
Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf, die sich auf den Ressourcentyp
k8s_cluster
beziehen:gcloud logging read \ 'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" AND resource.type="k8s_cluster"' \ --limit 2 \ --freshness 300d
Dabei ist project-id Ihre Projekt-ID.
In der Ausgabe sehen Sie, dass das Feld
resource:type
den Wertk8s_cluster
enthält:resource: ... type: k8s_cluster
Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf, die sich auf den Ressourcentyp
gke_cluster
beziehen:gcloud logging read \ 'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" AND resource.type="gke_cluster"' \ --limit 2 \ --freshness 300d
In der Ausgabe sehen Sie, dass das Feld
resource:type
den Wertgke_cluster
enthält:resource: ... type: gke_cluster
Beispielfilter für das Administratoraktivitätslog
Hier finden Sie einige Beispiele für Filter, die Sie in der Cloud Console ausprobieren können. Ersetzen Sie jeweils project-id durch Ihre Projekt-ID.
Suchen Sie nach Änderungen an der rollenbasierten Zugriffssteuerung. Schließen Sie dabei automatische Systemänderungen aus der Suche aus.
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.methodName:"io.k8s.authorization.rbac.v1" NOT protoPayload.authenticationInfo.principalEmail:"system"
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.methodName:"io.k8s.authorization.rbac.v1.roles" NOT protoPayload.authenticationInfo.principalEmail:"system"
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.methodName:"io.k8s.authorization.rbac.v1.rolebindings" NOT protoPayload.authenticationInfo.principalEmail:"system"
Sie können ähnliche Abfragen verwenden, um Änderungen an clusterroles
und clusterrolebindings
zu finden.
Suchen Sie nach Anfragen für Zertifikatsignaturen.
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.resourceName:"certificates.k8s.io/v1beta1/certificatesigningrequests"
Suchen Sie nach nicht authentifizierte Webanfragen.
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.authenticationInfo.principalEmail:"system:anonymous"
Suchen Sie nach Aufrufen der kubelet-Bootstrap-Identität.
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.authenticationInfo.principalEmail:"kubelet"
Suchen Sie nach authentifizierten Knotenanfragen.
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.authenticationInfo.principalEmail:"system:node"
Suchen Sie nach Aufrufen außerhalb eines IP-Bereichs.
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.requestMetadata.callerIp!="127.0.0.1" protoPayload.requestMetadata.callerIp!="::1" NOT protoPayload.requestMetadata.callerIp:"ip-prefix"
Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp k8s_cluster
beziehen und das Erstellen eines Deployments beschreiben.
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.methodName:"deployments.create"
Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp k8s_cluster
beziehen und im Feld principalEmail
den Wert system:anonymous
enthalten. Diese Einträge stellen wahrscheinlich fehlgeschlagene Authentifizierungsversuche dar.
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.authenticationInfo.principalEmail="system:anonymous"
Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp gke_cluster
beziehen und das Erstellen eines Clusters beschreiben:
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="gke_cluster" protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp gke_cluster
beziehen und im Feld severity
den Wert ERROR
enthalten:
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="gke_cluster" severity="ERROR"
Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp k8s_cluster
beziehen und eine Schreibanfrage für ein Secret beschreiben:
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.methodName:"io.k8s.core.v1.secrets" NOT protoPayload.methodName:"get" NOT protoPayload.methodName:"list" NOT protoPayload.methodName:"watch"
Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp k8s_cluster
beziehen und eine Pod-Anfrage von einem bestimmten Nutzer beschreiben:
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.methodName:"io.k8s.core.v1.pods" protoPayload.authenticationInfo.principalEmail="dev@example.com"
Weitere Informationen zum Erstellen von Filtern finden Sie unter Erweiterte Logfilter.
Struktur eines Log-Eintrags
Jeder Logeintrag ist ein Objekt vom Typ LogEntry. Weitere Informationen finden Sie unter Audit-Logs verstehen.
Datenzugriffslogs aktivieren
Rufen Sie die IAM-Richtlinie (Identity and Access Management) für Ihr Projekt ab:
gcloud projects get-iam-policy project-id > my-policy.yaml
Dabei ist project-id Ihre Projekt-ID.
Öffnen Sie
my-policy.yaml
, um die IAM-Richtlinie zu sehen. Die Richtlinie enthält wahrscheinlich einbindings
-Objekt ähnlich dem folgenden:bindings: - members: - serviceAccount:xxx.gserviceaccount.com - serviceAccount:yyy.gserviceaccount.com role: roles/container.clusterAdmin - members: ...
Erstellen Sie in
my-policy.yaml
ein Objekt von TypauditConfigs
oder ergänzen Sie das vorhandeneauditConfigs
-Objekt, sodassADMIN_READ
,DATA_WRITE
UNDDATA_READ
unterauditLogConfigs
aufgeführt werden.auditConfigs: - auditLogConfigs: - logType: ADMIN_READ - logType: DATA_WRITE - logType: DATA_READ service: allServices
Lassen Sie den Wert von
etag
unverändert.Speichern Sie die aktualisierte Datei unter dem Namen
my-policy-2.yaml
.Legen Sie die IAM-Richtlinie für Ihr Projekt fest:
gcloud projects set-iam-policy project-id my-policy-2.yaml
Dabei ist project-id Ihre Projekt-ID.
Datenzugriffslog des Projekts aufrufen
Console
Rufen Sie in der Cloud Console im Menü Logging die Seite Logs auf.
Wenn sich die Seite Logs nicht bereits im Standardmodus befindet, schalten Sie auf diesen um. Klicken Sie dazu rechts im Filterfeld auf den Abwärtspfeil und wählen Sie Filter löschen und zum Standardmodus zurückkehren aus.
Suchen Sie oben auf der Seite nach dem Drop-down-Menü zum Auswählen eines Ressourcentyps. Wählen Sie im Drop-down-Menü den Eintrag Kubernetes-Cluster aus.
Wählen Sie im Menü zum Auswählen eines Logs data_access aus und klicken Sie auf OK.
Klicken Sie rechts neben dem Feld Nach Label oder Textsuche filtern auf den Abwärtspfeil, um das Drop-down-Menü zu öffnen. Wählen Sie im Menü den Eintrag In erweiterten Filter umwandeln aus.
Im Textfeld wird ein Filter wie der folgende angezeigt:
resource.type="k8s_cluster" logName="projects/my-project/logs/cloudaudit.googleapis.com%2Fdata_access"
Öffnen Sie einen der Logeinträge und beachten Sie, dass das Feld
logName
des Eintrags den Wertprojects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access
enthält.
gcloud
Listen Sie die ersten beiden Logeinträge im Datenzugriffslog des Projekts auf:
gcloud logging read \ 'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access"' \ --limit 2 \ --freshness 30d
Dabei ist project-id Ihre Projekt-ID.
Es werden zwei Logeinträge ausgegeben. Das Feld logName
enthält für jeden Logeintrag den Wert projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access
.
insertId: "x0vy9eej0j54" labels: {…} logName: "projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access" ...
Logeinträge exportieren und speichern
Logeinträge sind in Cloud Logging für eine begrenzte Aufbewahrungsdauer gespeichert. Anschließend werden die Einträge gelöscht.
Wenn Sie Ihre Logeinträge länger aufbewahren möchten, können Sie sie in einen Google-Dienst wie Cloud Storage, BigQuery oder Pub/Sub exportieren.
Messwerte und Benachrichtigungen einrichten
In Cloud Monitoring haben Sie die Möglichkeit, Messwerte auf Basis der Logeinträge einzurichten. Außerdem können Sie mithilfe von logbasierten Messwerten Diagramme und Benachrichtigungen einrichten.
Audit-Richtlinie
Die Audit-Richtlinie von Kubernetes legt fest, welche Log-Einträge vom Kubernetes-API-Server exportiert werden. Die Audit-Richtlinie von Kubernetes Engine legt fest, welche Einträge in das Administratoraktivitäts-Log und welche Einträge in das Datenzugriffs-Log geschrieben werden.
Weitere Informationen zu Audit-Richtlinien in Kubernetes Engine finden Sie unter Audit-Richtlinie von Kubernetes Engine.
Weitere Informationen
- Kubernetes-Audit-Logging
- Audit-Richtlinie von Kubernetes Engine
- Kubernetes Engine-Sicherheit
- Cloud-Audit-Logs