Audit-Logs aufrufen

Auf dieser Seite wird erläutert, wie Sie Audit-Logging in Ihren GKE-Clustern (Google Kubernetes Engine) verwenden.

Alle auf Kubernetes basierenden Cluster bieten Kubernetes-Audit-Logging mit einer chronologischen Aufzeichnung von Aufrufen, die an den Kubernetes-API-Server gesendet wurden. Die Einträge im Kubernetes-Audit-Log sind nützlich, um verdächtige API-Anfragen zu untersuchen, Statistiken zu erfassen oder Monitoring-Benachrichtigungen für unerwünschte API-Aufrufe zu erstellen.

GKE-Cluster ermöglichen die Einbindung von Kubernetes-Audit-Logging in Cloud-Audit-Logs und Cloud Logging. Dadurch können Sie Audit-Logeinträge von Kubernetes im Google Cloud-Projekt ansehen.

Neben den von Kubernetes geschriebenen Einträgen enthalten die Audit-Logs des Projekts auch Einträge, die aus GKE stammen.

Audit Logging GA ist in GKE 1.11.4 und höher verfügbar.

Vorbereitung

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

Achten Sie darauf, dass die Google Kubernetes Engine API aktiviert ist.

Aktivieren Sie Google Kubernetes Engine API

Prüfen Sie, ob das Cloud SDK installiert ist.

Mit den folgenden Methoden können Sie die gcloud-Einstellungen festlegen:

Verwenden Sie gcloud init, wenn Sie die Standardeinstellungen ansehen möchten.
Verwenden Sie gcloud config, um Ihre Projekt-ID, Zone und Region individuell festzulegen.

gcloud init verwenden

Wenn Sie die Fehlermeldung One of [--zone, --region] must be supplied: Please specify location erhalten, führen Sie diesen Abschnitt aus.

Führen Sie gcloud init aus und folgen Sie der Anleitung:
```
gcloud init
```
Wenn Sie SSH auf einem Remote-Server verwenden, können Sie mit dem Flag --console-only verhindern, dass mit dem Befehl ein Browserfenster geöffnet wird:
```
gcloud init --console-only
```
Folgen Sie der Anleitung, um gcloud zur Verwendung Ihres Google Cloud-Kontos zu autorisieren.
Erstellen Sie eine neue Konfiguration oder wählen Sie eine vorhandene aus.
Wählen Sie ein Google Cloud-Projekt aus.
Wählen Sie eine Compute Engine-Standardzone aus.

Hinweis: Sie können diese Standardeinstellungen in gcloud-Befehlen mit den Flags --project, --zone und --region überschreiben.

gcloud config verwenden

Legen Sie Ihre standardmäßige Projekt-ID fest:
```
gcloud config set project project-id
```
Wenn Sie mit zonalen Clustern arbeiten, legen Sie die Compute-Standardzone fest:
```
gcloud config set compute/zone compute-zone
```
Wenn Sie mit regionalen Clustern arbeiten, legen Sie die Standardregion für Compute Engine fest:
```
gcloud config set compute/region compute-region
```
Aktualisieren Sie gcloud auf die neueste Version:
```
gcloud components update
```

Hinweis: Sie können diese Standardeinstellungen in gcloud-Befehlen mit den Flags --project, --zone und --region überschreiben.

Im Projekt muss ein GKE-Cluster enthalten sein. Sie können für die Übungen in diesem Thema einen vorhandenen Cluster verwenden oder einen neuen erstellen. Bei Verwendung eines vorhandenen Clusters müssen Sie darauf achten, dass er kürzlich aktiv war. Wenn Sie in letzter Zeit kein Deployment erstellt haben, können Sie dies jetzt beispielsweise mit folgendem Befehl tun:

kubectl run log-exercise --image nginx

Hier finden Sie Informationen über Kubernetes-Audit-Logging.

Audit-Logs im Projekt

Im Cloud-Projekt sind folgende Audit-Logs enthalten:

Administratoraktivitätslog
Datenzugriffs-Log

Das Administratoraktivitäts-Logging ist standardmäßig ohne Zusatzkosten aktiviert.

Das Datenzugriffs-Logging ist standardmäßig deaktiviert und kann bei Aktivierung zusätzlich in Rechnung gestellt werden. Weitere Informationen zum Aktivieren des Datenzugriffs-Loggings und den damit verbundenen Kosten finden Sie unter Datenzugriffs-Logs konfigurieren.

GKE unterstützt kein Logging mit Access Transparency.

Verschiedene Google Cloud-Dienste schreiben Einträge in die Logs des Projekts. Auch der Kubernetes-Dienst schreibt Einträge in die Audit-Logs des Projekts. Für GKE-Cluster sind die von diesen Diensten geschriebenen Logeinträge am relevantesten:

Dienst	Anzeigename	Beschreibung
`k8s.io`	Kubernetes	Der Dienst `k8s.io` wird für Kubernetes-Audit-Logs verwendet. Diese Logs werden von der Kubernetes API-Server-Komponente generiert und enthalten Informationen zu Aktionen, die mit der Kubernetes API ausgeführt werden. Zum Beispiel werden Änderungen, die Sie mit dem Befehl `kubectl` an einer Kubernetes-Ressource vornehmen, vom Dienst `k8s.io` aufgezeichnet. Weitere Informationen finden Sie in der Kubernetes-Dokumentation unter Auditing.
`container.googleapis.com`	Kubernetes Engine	Der Dienst `container.googleapis.com` wird für Audit-Logs der GKE-Steuerungsebene verwendet. Diese Logs werden von den internen GKE-Komponenten generiert und enthalten Informationen zu Aktionen, die mit der GKE API ausgeführt werden. Alle Änderungen, die Sie mit einem `gcloud`-Befehl an einer GKE-Clusterkonfiguration vornehmen, werden beispielsweise vom Dienst `container.googleapis.com` aufgezeichnet.

Administratoraktivitätslog des Projekts ansehen

Console

Rufen Sie in der Cloud Console im Menü Logging die Seite Logs auf.

Zur Seite "Logs"
Suchen Sie oben auf der Seite nach dem Drop-down-Menü zum Auswählen eines Ressourcentyps. Wählen Sie im Drop-down-Menü den Eintrag Kubernetes-Cluster aus.
Geben Sie optional den Speicherort an oder wählen Sie Alle Speicherorte aus. Wenn Sie einen Speicherort angeben, können Sie an diesem einen bestimmten Cluster auswählen.
Im nächsten Menü rechts davon stehen die Logs zur Wahl. Wählen Sie im Drop-down-Menü Aktivität aus und klicken Sie auf OK.
Standardmäßig werden alle Log-Ebenen angezeigt. Wenn Sie eine Log-Ebene wie Warnung angeben möchten, können Sie diese im Drop-down-Menü für Log-Ebenen auswählen.
Unter Umständen werden nur Logeinträge aus der letzten Stunde angezeigt. Wenn keine Logeinträge aus der letzten Stunde zu sehen sind, klicken Sie auf Ältere Logs laden.
Klicken Sie im Feld Nach Label oder Textsuche filtern über den in den vorherigen Schritten beschriebenen Drop-down-Menüs auf den Abwärtspfeil, um das Drop-down-Menü zu öffnen. Wählen Sie im Menü den Eintrag In erweiterten Filter umwandeln aus.

Im Textfeld wird ein Filter wie der folgende angezeigt:

resource.type="k8s_cluster"
logName="projects/my-project/logs/cloudaudit.googleapis.com%2Factivity"

Klicken Sie zum Öffnen eines Logeintrags auf den Pfeil am Anfang der Zeile. Das Feld logName des Eintrags hat den Wert projects/project-id/logs/cloudaudit.googleapis.com%2Factivity.

gcloud

Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf:

gcloud logging read \
    'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"' \
    --limit 2 \
    --freshness 300d

Dabei ist project-id Ihre Projekt-ID.

Es werden zwei Logeinträge ausgegeben. Das Feld logName enthält für jeden Logeintrag den Wert projects/project-id/logs/cloudaudit.googleapis.com%2Factivity.

insertId: 18yao5jem14og
labels:
  cluster_version: 1.8.8-gke.0
logName: projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
...

Standardfiltermodus und erweiterte Filteroberflächen

In der Cloud Console stehen für die Seite Logs zwei Filteroberflächen zur Verfügung: Einfach und Erweitert. Informationen zu den beiden Filteroberflächen finden Sie unter Filteroberflächen der Loganzeige.

Dienste ansehen, die in das Administratoraktivitätslog schreiben

Console

Rufen Sie in der Cloud Console im Menü Logging die Seite Logs auf.

Zur Seite "Logs"
Wenn sich die Seite Logs nicht bereits im erweiterten Modus befindet, schalten Sie auf diesen um. Klicken Sie dazu rechts im Filterfeld auf den Abwärtspfeil und wählen Sie In erweiterten Filter umwandeln aus.
Löschen Sie eventuell vorhandenen Text aus dem Filterfeld und geben Sie folgenden Filter ein:
```
logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.serviceName="k8s.io"
```
Dabei ist project-id Ihre Projekt-ID.

Klicken Sie auf Filter senden.

Es werden alle Einträge im Administratoraktivitätslog aufgelistet, die vom Service k8s.io geschrieben wurden, also von der Kubernetes-Steuerungsebene.
Suchen Sie nach Logeinträgen, die von anderen Services als k8s.io geschrieben wurden. Ändern Sie im Filterfeld den Eintrag serviceName="k8s.io" in serviceName!="k8s.io". Klicken Sie auf Filter senden.

Es werden Einträge im Administratoraktivitätslog aufgelistet, die nicht vom Dienst k8s.io geschrieben wurden.
Öffnen Sie einen der Logeinträge und erweitern Sie das Feld protoPayload. Überprüfen Sie anhand des Werts von serviceName, von welchem Dienst der Logeintrag geschrieben wurde.
Suchen Sie nach Logeinträgen, die vom Service container.googleapis.com geschrieben wurden, also von der Kubernetes Engine-Steuerungsebene. Ändern Sie im Filterfeld den Eintrag serviceName!="k8s.io" in serviceName="container.googleapis.com". Klicken Sie auf Filter senden.

gcloud

Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf, die vom Dienst k8s.io geschrieben wurden, also von der Kubernetes-Steuerungsebene.
```
gcloud logging read \
   'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
       AND protoPayload.serviceName="k8s.io"' \
   --limit 2 \
   --freshness 300d
```
Dabei ist project-id Ihre Projekt-ID.

In der Ausgabe sehen Sie, dass protoPayload:serviceName den Wert k8s.io enthält:
```
protoPayload:
 ...
 serviceName: k8s.io
```

Suchen Sie nach Logeinträgen, die von anderen Services als k8s.io geschrieben wurden:

gcloud logging read \
   'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
       AND protoPayload.serviceName!="k8s.io"' \
   --limit 2 \
   --freshness 300d

In der Ausgabe werden Einträge im Administratoraktivitätslog aufgelistet, die nicht vom Dienst k8s.io geschrieben wurden.

logName: projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
...
protoPayload:
 ...
 serviceName: compute.googleapis.com
...

Prüfen Sie in einem der Logeinträge den Wert von protoPayload.serviceName, um zu erfahren, von welchem Dienst der Logeintrag geschrieben wurde.

Suchen Sie nach Logeinträgen, die vom Dienst container.googleapis.com geschrieben wurden, also von der GKE-Steuerungsebene:

gcloud logging read \
   'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
       AND protoPayload.serviceName="container.googleapis.com"' \
   --limit 2 \
   --freshness 300d

Dabei ist project-id Ihre Projekt-ID.

Administratoraktivitätslog nach Ressourcentyp filtern

Jeder Log-Eintrag in Ihrem Administratoraktivitätslog bezieht sich auf einen bestimmten Ressourcentyp. Folgende Ressourcentypen sind für Kubernetes-Cluster am relevantesten:

Ressourcentyp	Anzeigename	Beschreibung
k8s_cluster	Kubernetes-Cluster	Vom Kubernetes API-Server geschriebene Logeinträge beziehen sich auf den Ressourcentyp `k8s_cluster`. Diese Logeinträge beschreiben Vorgänge auf Kubernetes-Clusterressourcen wie Pods, Deployments und Secrets.
gke_cluster	GKE-Clustervorgänge	Vom Kubernetes Engine-API-Server geschriebene Logeinträge gelten für die Ressource `gke_cluster`. Diese Logeinträge beschreiben Vorgänge wie das Erstellen und Löschen von Clustern.

Sie können diese Filter in der Cloud Console oder mit dem gcloud-Befehlszeilentool verwenden.

Console

Rufen Sie in der Cloud Console im Menü Logging die Seite Logs auf.

Zur Seite "Logs"
Wenn sich die Seite Logs nicht bereits im Standardmodus befindet, schalten Sie auf diesen um. Klicken Sie dazu rechts im Filterfeld auf den Abwärtspfeil und wählen Sie Filter löschen und zum Standardmodus zurückkehren aus.
Wählen Sie im Drop-down-Menü zur Auswahl eines Ressourcentyps den Eintrag Kubernetes-Cluster aus. Dies ist der Anzeigename für den Ressourcentyp k8s_cluster.
Wählen Sie im Drop-down-Menü zum Auswählen eines Logs den Eintrag Aktivität aus und klicken Sie auf OK.

Es werden alle Einträge im Administratoraktivitätslog aufgelistet, die sich auf den Ressourcentyp k8s_cluster beziehen.
Öffnen Sie einen der Logeinträge und erweitern Sie das Feld resource. Überprüfen Sie, ob das Feld type den Wert k8s_cluster enthält.
Wählen Sie im Drop-down-Menü die Option GKE-Clustervorgänge aus. Dies ist der angezeigte Name für den Ressourcentyp gke_cluster. Wählen Sie im Drop-down-Menü zum Auswählen eines Logs den Eintrag Aktivität aus und klicken Sie auf OK.

Es werden alle Einträge im Administratoraktivitätslog aufgelistet, die sich auf den Ressourcentyp gke_cluster beziehen.

gcloud

Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf, die sich auf den Ressourcentyp k8s_cluster beziehen:
```
gcloud logging read \
   'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
       AND resource.type="k8s_cluster"' \
   --limit 2 \
   --freshness 300d
```
Dabei ist project-id Ihre Projekt-ID.

In der Ausgabe sehen Sie, dass das Feld resource:type den Wert k8s_cluster enthält:
```
resource:
 ...
 type: k8s_cluster
```
Listen Sie die ersten beiden Logeinträge im Administratoraktivitätslog des Projekts auf, die sich auf den Ressourcentyp gke_cluster beziehen:
```
gcloud logging read \
   'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
       AND resource.type="gke_cluster"' \
   --limit 2 \
   --freshness 300d
```
In der Ausgabe sehen Sie, dass das Feld resource:type den Wert gke_cluster enthält:
```
resource:
 ...
 type: gke_cluster
```

Beispielfilter für das Administratoraktivitätslog

Hier finden Sie einige Beispiele für Filter, die Sie in der Cloud Console ausprobieren können. Ersetzen Sie jeweils project-id durch Ihre Projekt-ID.

Suchen Sie nach Änderungen an der rollenbasierten Zugriffssteuerung. Schließen Sie dabei automatische Systemänderungen aus der Suche aus.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.methodName:"io.k8s.authorization.rbac.v1"
NOT protoPayload.authenticationInfo.principalEmail:"system"

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.methodName:"io.k8s.authorization.rbac.v1.roles"
NOT protoPayload.authenticationInfo.principalEmail:"system"

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.methodName:"io.k8s.authorization.rbac.v1.rolebindings"
NOT protoPayload.authenticationInfo.principalEmail:"system"

Sie können ähnliche Abfragen verwenden, um Änderungen an clusterroles und clusterrolebindings zu finden.

Suchen Sie nach Anfragen für Zertifikatsignaturen.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.resourceName:"certificates.k8s.io/v1beta1/certificatesigningrequests"

Suchen Sie nach nicht authentifizierte Webanfragen.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.authenticationInfo.principalEmail:"system:anonymous"

Suchen Sie nach Aufrufen der kubelet-Bootstrap-Identität.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.authenticationInfo.principalEmail:"kubelet"

Suchen Sie nach authentifizierten Knotenanfragen.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.authenticationInfo.principalEmail:"system:node"

Suchen Sie nach Aufrufen außerhalb eines IP-Bereichs.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.requestMetadata.callerIp!="127.0.0.1"
protoPayload.requestMetadata.callerIp!="::1"
NOT protoPayload.requestMetadata.callerIp:"ip-prefix"

Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp k8s_cluster beziehen und das Erstellen eines Deployments beschreiben.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.methodName:"deployments.create"

Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp k8s_cluster beziehen und im Feld principalEmail den Wert system:anonymous enthalten. Diese Einträge stellen wahrscheinlich fehlgeschlagene Authentifizierungsversuche dar.

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.authenticationInfo.principalEmail="system:anonymous"

Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp gke_cluster beziehen und das Erstellen eines Clusters beschreiben:

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="gke_cluster"
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"

Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp gke_cluster beziehen und im Feld severity den Wert ERROR enthalten:

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="gke_cluster"
severity="ERROR"

Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp k8s_cluster beziehen und eine Schreibanfrage für ein Secret beschreiben:

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.methodName:"io.k8s.core.v1.secrets"
NOT protoPayload.methodName:"get"
NOT protoPayload.methodName:"list"
NOT protoPayload.methodName:"watch"

Suchen Sie im Administratoraktivitätslog nach Einträgen, die sich auf den Ressourcentyp k8s_cluster beziehen und eine Pod-Anfrage von einem bestimmten Nutzer beschreiben:

logName="projects/project-id/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
protoPayload.methodName:"io.k8s.core.v1.pods"
protoPayload.authenticationInfo.principalEmail="dev@example.com"

Weitere Informationen zum Erstellen von Filtern finden Sie unter Erweiterte Logfilter.

Struktur eines Log-Eintrags

Jeder Logeintrag ist ein Objekt vom Typ LogEntry. Weitere Informationen finden Sie unter Audit-Logs verstehen.

Datenzugriffslogs aktivieren

Rufen Sie die IAM-Richtlinie (Identity and Access Management) für Ihr Projekt ab:
```
gcloud projects get-iam-policy project-id > my-policy.yaml
```
Dabei ist project-id Ihre Projekt-ID.

Öffnen Sie my-policy.yaml, um die IAM-Richtlinie zu sehen. Die Richtlinie enthält wahrscheinlich ein bindings-Objekt ähnlich dem folgenden:

bindings:
- members:
  - serviceAccount:xxx.gserviceaccount.com
  - serviceAccount:yyy.gserviceaccount.com
  role: roles/container.clusterAdmin
- members:
  ...

Erstellen Sie in my-policy.yaml ein Objekt von Typ auditConfigs oder ergänzen Sie das vorhandene auditConfigs-Objekt, sodass ADMIN_READ, DATA_WRITE UND DATA_READ unter auditLogConfigs aufgeführt werden.
```
auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices
```
Lassen Sie den Wert von etag unverändert.
Speichern Sie die aktualisierte Datei unter dem Namen my-policy-2.yaml.

Achtung: Ändern Sie keine Abschnitte der Richtlinie, die nicht im Zusammenhang mit dem Audit-Logging stehen. Sie bearbeiten ein Richtlinienobjekt, das wichtige Informationen darüber enthält, wer auf das Projekt oder die Organisation zugreifen kann. Eine versehentliche Änderung dieser Informationen kann das Projekt oder die Organisation unbrauchbar machen.
Legen Sie die IAM-Richtlinie für Ihr Projekt fest:
```
gcloud projects set-iam-policy project-id my-policy-2.yaml
```
Dabei ist project-id Ihre Projekt-ID.

Datenzugriffslog des Projekts aufrufen

Console

Rufen Sie in der Cloud Console im Menü Logging die Seite Logs auf.

Zur Seite "Logs"
Wenn sich die Seite Logs nicht bereits im Standardmodus befindet, schalten Sie auf diesen um. Klicken Sie dazu rechts im Filterfeld auf den Abwärtspfeil und wählen Sie Filter löschen und zum Standardmodus zurückkehren aus.
Suchen Sie oben auf der Seite nach dem Drop-down-Menü zum Auswählen eines Ressourcentyps. Wählen Sie im Drop-down-Menü den Eintrag Kubernetes-Cluster aus.
Wählen Sie im Menü zum Auswählen eines Logs data_access aus und klicken Sie auf OK.
Klicken Sie rechts neben dem Feld Nach Label oder Textsuche filtern auf den Abwärtspfeil, um das Drop-down-Menü zu öffnen. Wählen Sie im Menü den Eintrag In erweiterten Filter umwandeln aus.

Im Textfeld wird ein Filter wie der folgende angezeigt:

resource.type="k8s_cluster"
logName="projects/my-project/logs/cloudaudit.googleapis.com%2Fdata_access"

Öffnen Sie einen der Logeinträge und beachten Sie, dass das Feld logName des Eintrags den Wert projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access enthält.

gcloud

Listen Sie die ersten beiden Logeinträge im Datenzugriffslog des Projekts auf:

gcloud logging read \
    'logName="projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access"' \
    --limit 2 \
    --freshness 30d

Dabei ist project-id Ihre Projekt-ID.

Es werden zwei Logeinträge ausgegeben. Das Feld logName enthält für jeden Logeintrag den Wert projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access.

insertId:  "x0vy9eej0j54"
labels: {…}
logName:  "projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access"
...

Logeinträge exportieren und speichern

Logeinträge sind in Cloud Logging für eine begrenzte Aufbewahrungsdauer gespeichert. Anschließend werden die Einträge gelöscht.

Wenn Sie Ihre Logeinträge länger aufbewahren möchten, können Sie sie in einen Google-Dienst wie Cloud Storage, BigQuery oder Pub/Sub exportieren.

Messwerte und Benachrichtigungen einrichten

In Cloud Monitoring haben Sie die Möglichkeit, Messwerte auf Basis der Logeinträge einzurichten. Außerdem können Sie mithilfe von logbasierten Messwerten Diagramme und Benachrichtigungen einrichten.

Audit-Richtlinie

Die Audit-Richtlinie von Kubernetes legt fest, welche Log-Einträge vom Kubernetes-API-Server exportiert werden. Die Audit-Richtlinie von Kubernetes Engine legt fest, welche Einträge in das Administratoraktivitäts-Log und welche Einträge in das Datenzugriffs-Log geschrieben werden.

Weitere Informationen zu Audit-Richtlinien in Kubernetes Engine finden Sie unter Audit-Richtlinie von Kubernetes Engine.