Informations concernant les journaux d'audit de GKE

Cette page décrit les journaux d'audit créés par Google Kubernetes Engine dans le cadre de Cloud Audit Logs.

Aperçu

Les services Google Cloud génèrent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand dans vos ressources Google Cloud.

Vos projets Google Cloud ne contiennent que les journaux d'audit des ressources directement intégrées au projet Google Cloud. Les autres ressources Google Cloud, telles que les dossiers, les organisations et les comptes de facturation, contiennent les journaux d'audit de l'entité elle-même.

Pour découvrir Cloud Audit Logs, consultez la page présentation de Cloud Audit Logs. Pour en savoir plus sur le format des journaux d'audit, consultez la page Comprendre les journaux d'audit.

Journaux d'audit disponibles

Les types de journaux d'audit suivants sont disponibles pour GKE :

Journaux d'audit pour les activités d'administration

Ils incluent les opérations d'écriture administrateur qui écrivent des métadonnées ou des informations de configuration.

Vous ne pouvez pas les désactiver.
Journaux d'audit pour l'accès aux données

Inclut les opérations de lecture administrateur qui lisent les métadonnées ou les informations de configuration. Inclut également les opérations de "lecture de données" et d'écriture de données qui lisent ou écrivent des données fournies par l'utilisateur.

Pour recevoir les journaux d'audit pour l'accès aux données, vous devez les activer explicitement.

Pour obtenir une description plus complète des types de journaux d'audit, consultez la section Types de journaux d'audit.

Opérations auditées

Le tableau suivant récapitule les opérations d'API correspondant à chaque type de journal d'audit dans GKE :

Catégorie de journal d'audit	Opérations de GKE
Journaux d'audit pour les activités d'administration	`io.k8s.authorization.rbac.v1` `io.k8s.authorization.rbac.v1.roles` `google.container.v1.ProjectClusterService.ListUsableSubnetworks` Toute méthode de l'API GKE commençant par Create, Update, Set, ou Delete, comme `google.container.v1.ClusterManager.CreateCluster`.
Accès aux données	`google.cloud.containersecurity.v1beta.ContainerSecurity.SearchClusterFindingSummaries` `google.cloud.containersecurity.v1beta.ContainerSecurity.ListFindings`

Format des journaux d'audit

Les entrées des journaux d'audit comprennent les objets suivants :

L'entrée de journal proprement dite, qui est un objet de type LogEntry. Les champs utiles sont les suivants :
- logName, qui contient l'ID de ressource et le type de journal d'audit
- resource, qui contient la cible de l'opération auditée
- timeStamp, qui indique l'heure à laquelle l'opération auditée a été effectuée
- protoPayload, qui contient les informations auditées
Les données de journalisation d'audit, qui correspondent à un objet AuditLog inclus dans le champ protoPayload de l'entrée de journal
Un objet (facultatif) de type "informations d'audit propres au service". Pour les intégrations précédentes, cet objet est conservé dans le champ serviceData de l'objet AuditLog. Les intégrations ultérieures utilisent le champ metadata.

Pour en savoir plus sur les autres champs de ces objets, ainsi que sur leur interprétation, consultez la page Comprendre les journaux d'audit.

Nom du journal

Les noms des journaux Cloud Audit Logs incluent des identifiants de ressources qui désignent le projet Google Cloud ou toute autre entité Google Cloud dont ils dépendent et permettent également de déterminer si les journaux contiennent des données sur les activités d'administration, l'accès aux données, les refus de règles ou les événements système.

Voici les noms des journaux d'audit incluant des variables pour les identifiants de ressource :

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Nom du service

Les journaux d'audit Cloud GKE utilisent l'un des noms de service suivants :

Nom du service	Display name	Description
`k8s.io`	Kubernetes	Le service `k8s.io` est utilisé pour les journaux d'audit Kubernetes. Ces journaux sont générés par le composant de serveur de l'API Kubernetes et contiennent des informations sur les actions effectuées à l'aide de l'API Kubernetes. Par exemple, toutes les modifications que vous apportez à une ressource Kubernetes à l'aide de la commande `kubectl` sont enregistrées par le service `k8s.io`. Les entrées du journal d'audit Kubernetes sont utiles pour enquêter sur les demandes d'API suspectes, pour collecter des statistiques ou pour créer des alertes de surveillance pour les appels d'API indésirables.
`container.googleapis.com`	Kubernetes Engine	Le service `container.googleapis.com` est utilisé pour les journaux d'audit du plan de contrôle GKE. Ces journaux sont générés par GKE et contiennent des informations sur les actions effectuées à l'aide de l'API GKE. Par exemple, toutes les modifications que vous apportez à la configuration d'un cluster GKE à l'aide de `gcloud CLI` sont enregistrées par le service `container.googleapis.com`.
`containersecurity.googleapis.com`	API Container Security (stratégie de sécurité GKE)	Le service `containersecurity.googleapis.com` est utilisé pour les journaux d'audit de stratégie de sécurité GKE. Ces journaux sont générés par l'activité du tableau de bord de stratégie de sécurité GKE et contiennent des informations sur les données récupérées à l'aide du tableau de bord.

Pour obtenir la liste de tous les noms de service de l'API Cloud Logging et du type de ressource surveillée correspondant, consultez la section Mapper des services sur des ressources.

Types de ressources

Les journaux d'audit GKE utilisent les types de ressources suivants :

Type de ressource	Display name	Description
k8s_cluster	Cluster Kubernetes	Les entrées de journal écrites par le serveur de l'API Kubernetes s'appliquent au type de ressource `k8s_cluster`. Ces entrées de journal décrivent les opérations sur les ressources Kubernetes de votre cluster, par exemple les pods, les déploiements et les secrets.
gke_cluster	Opérations du cluster GKE	Les entrées de journal écrites par le serveur de l'API Kubernetes Engine s'appliquent à la ressource `gke_cluster`. Ces entrées de journal décrivent des opérations telles que la création et la suppression d'un cluster.
audited_resource	Stratégie de sécurité GKE	Les entrées de journal écrites par l'API de stratégie de sécurité de l'API Kubernetes Engine s'appliquent aux ressources de résultat pour un projet et un emplacement donnés. Ces entrées de journal décrivent les opérations de liste et de recherche sur les résultats de la stratégie de sécurité.

Pour obtenir la liste de tous les types de ressources surveillées Cloud Logging et des informations descriptives, consultez la section Types de ressources surveillées.

Identités des appelants

L'adresse IP de l'appelant est conservée dans le champ RequestMetadata.caller_ip de l'objet AuditLog. Logging peut masquer certaines identités et adresses IP d'appelant.

Pour en savoir plus sur les informations masquées dans les journaux d'audit, consultez la section Identités des appelants dans les journaux d'audit.

Activer la journalisation d'audit

Les journaux d'audit pour les activités d'administration sont toujours activés. Vous ne pouvez pas les désactiver.

Les journaux d'audit pour l'accès aux données sont désactivés par défaut et ne sont pas écrits à moins d'être explicitement activés (à l'exception de ceux pour BigQuery, qui ne peuvent pas être désactivés).

Pour savoir comment activer tout ou partie des journaux d'audit d'accès aux données, consultez la page Activer les journaux d'audit des accès aux données.

Autorisations et rôles

Les autorisations et les rôles IAM déterminent votre capacité à accéder aux données des journaux d'audit dans les ressources Google Cloud.

Lorsque vous décidez des autorisations et rôles spécifiques à Logging qui s'appliquent à votre cas d'utilisation, tenez compte des points suivants :

Le rôle Lecteur de journaux (roles/logging.viewer) vous donne un accès en lecture seule aux journaux d'audit des activités d'administration, des refus de règles et des événements système. Si vous ne disposez que de ce rôle, vous ne pouvez pas afficher les journaux d'audit d'accès aux données qui se trouvent dans le bucket _Default.
Le rôle Lecteur de journaux privés ((roles/logging.privateLogViewer) inclut les autorisations contenues dans roles/logging.viewer et permet également de lire les journaux d'audit d'accès aux données dans le bucket _Default.

Notez que si ces journaux privés sont stockés dans des buckets définis par l'utilisateur, tout utilisateur autorisé à lire les journaux dans ces buckets peut lire les journaux privés. Pour en savoir plus sur les buckets de journaux, consultez la page Présentation du routage et du stockage.

Pour en savoir plus sur les autorisations et les rôles IAM qui s'appliquent aux données des journaux d'audit, consultez la page Contrôle des accès avec IAM.

Afficher les journaux

Vous pouvez interroger tous les journaux d'audit ou interroger les journaux selon leur nom de journal d'audit. Le nom du journal d'audit inclut l'identifiant de ressource du projet, du dossier, du compte de facturation ou de l'organisation Google Cloud dont vous souhaitez afficher les informations de journalisation d'audit. Vos requêtes peuvent spécifier des champs LogEntry indexés. Si vous utilisez la page Analyse de journaux, qui est compatible avec les requêtes SQL, vous pouvez afficher les résultats de votre requête sous forme de graphique.

Pour en savoir plus sur l'interrogation de journaux, consultez les pages suivantes :

Vous pouvez afficher les journaux d'audit dans Cloud Logging à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API Logging.

Console

Vous pouvez utiliser l'explorateur de journaux de la console Google Cloud pour récupérer les entrées du journal d'audit de votre projet, dossier ou organisation Google Cloud :

Dans le panneau de navigation de la console Google Cloud, sélectionnez Logging, puis Explorateur de journaux :
Accéder à l'explorateur de journaux
Sélectionnez un projet, une organisation ou un dossier Google Cloud existant.
Pour afficher tous les journaux d'audit, saisissez l'une des requêtes suivantes dans le champ de l'éditeur de requête, puis cliquez sur Exécuter la requête :
```
logName:"cloudaudit.googleapis.com"
```
```
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
```
Pour afficher les journaux d'audit d'une ressource et d'un type de journal d'audit spécifiques, accédez au volet Générateur de requêtes et procédez comme suit :
- Dans Type de ressource, sélectionnez la ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.
- Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :
  - Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
  - Pour les journaux d'audit des accès aux données, sélectionnez data_access.
  - Pour les journaux d'audit des événements système, sélectionnez system_event.
  - Pour les journaux d'audit des refus de règles, sélectionnez policy.
- Cliquez sur Exécuter la requête.
Si ces options ne sont pas visibles, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans le projet, le dossier ou l'organisation Google Cloud.

Si vous rencontrez des problèmes lors de la tentative d'affichage de journaux dans l'explorateur de journaux, consultez les informations de dépannage.

Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes dans l'explorateur de journaux. Pour en savoir plus sur la synthèse des entrées de journal dans l'explorateur de journaux à l'aide de Gemini, consultez la page Synthétiser les entrées de journal avec l'assistance Gemini.

gcloud

Google Cloud CLI fournit une interface de ligne de commande à l'API Logging. Fournissez un identifiant de ressource valide dans chacun des noms de journaux. Par exemple, si votre requête inclut un PROJECT_ID, l'identifiant de projet que vous fournissez doit faire référence au projet Google Cloud actuellement sélectionné.

Pour lire les entrées de journal d'audit au niveau du projet Google Cloud, exécutez la commande suivante :

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Pour lire les entrées de journal d'audit au niveau d'un dossier, exécutez la commande suivante :

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Pour lire les entrées de journal d'audit au niveau de l'organisation, exécutez la commande suivante :

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Pour lire les entrées de journal d'audit au niveau de votre compte de facturation Cloud, exécutez la commande suivante :

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Ajoutez l'option --freshness à votre commande pour lire les journaux datant de plus d'une journée.

Pour en savoir plus sur l'utilisation de gcloud CLI, consultez la page gcloud logging read.

API

Lors de la création de vos requêtes, fournissez un identifiant de ressource valide dans chacun des noms de journaux. Par exemple, si votre requête inclut un PROJECT_ID, l'identifiant de projet que vous fournissez doit faire référence au projet Google Cloud actuellement sélectionné.

Par exemple, pour utiliser l'API Logging afin d'afficher les entrées de journal d'audit au niveau d'un projet, procédez comme suit :

Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.
Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête mais vous devez fournir un ID de projet PROJECT_ID valide pour chaque nom de journal.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
Cliquez sur Exécuter.

Exemples de requêtes

Pour rechercher des journaux d'audit pour GKE, utilisez les requêtes suivantes dans l'explorateur de journaux :

Nom de la requête/du filtre	Expression
Cluster créé	resource.type="gke_cluster" (log_id("cloudaudit.googleapis.com/data_access") OR log_id("cloudaudit.googleapis.com/activity")) protoPayload.methodName:"CreateCluster" resource.labels.cluster_name="`CLUSTER_NAME`"
Cluster supprimé	resource.type="gke_cluster" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"DeleteCluster" severity=(NOTICE OR ERROR OR WARNING) resource.labels.cluster_name="`CLUSTER_NAME`"
Pool de nœuds créé	resource.type="gke_nodepool" (log_id("cloudaudit.googleapis.com/data_access") OR log_id("cloudaudit.googleapis.com/activity")) protoPayload.methodName:"ClusterManager.CreateNodePool" resource.labels.cluster_name="`CLUSTER_NAME`" resource.labels.nodepool_name="`NODE_POOL_NAME`"
Pool de nœuds supprimé	resource.type="gke_nodepool" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"ClusterManager.DeleteNodePool" resource.labels.cluster_name="`CLUSTER_NAME`" resource.labels.nodepool_name="`NODE_POOL_NAME`"
Pool de nœuds redimensionné manuellement	resource.type="gke_nodepool" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"ClusterManager.SetNodePoolSize" resource.labels.cluster_name="`CLUSTER_NAME`" resource.labels.nodepool_name="`NODE_POOL_NAME`"
Configuration de cluster mise à jour	resource.type="gke_cluster" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"UpdateCluster" protoPayload.request.update:* resource.labels.cluster_name="`CLUSTER_NAME`"
Configuration de pool de nœuds mise à jour	resource.type="gke_nodepool" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"UpdateNodePool" protoPayload.request.upgradeSettings:* resource.labels.cluster_name="`CLUSTER_NAME`" resource.labels.nodepool_name="`NODE_POOL_NAME`"
Plan de contrôle mis à niveau	resource.type="gke_cluster" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:("UpdateCluster" OR "UpdateClusterInternal") (protoPayload.metadata.operationType="UPGRADE_MASTER" OR protoPayload.response.operationType="UPGRADE_MASTER") resource.labels.cluster_name="`CLUSTER_NAME`"
Pool de nœuds mis à niveau	resource.type="gke_nodepool" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:("UpdateNodePool" OR "UpdateClusterInternal") protoPayload.metadata.operationType="UPGRADE_NODES" resource.labels.cluster_name="`CLUSTER_NAME`" resource.labels.nodepool_name="`NODE_POOL_NAME`"
Journaux d'audit de charge de travail	log_id("cloudaudit.googleapis.com/activity") resource.type="k8s_cluster" resource.labels.cluster_name="`CLUSTER_NAME`" protoPayload.request.metadata.name="`WORKLOAD_NAME`"
Mise à jour des métadonnées de nœud pour un objet de nœud	resource.type="k8s_cluster" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName="io.k8s.core.v1.nodes.update" resource.labels.cluster_name="`CLUSTER_NAME`" resource.labels.location="`LOCATION_NAME`"
Modifications apportées au contrôle des accès basé sur les rôles, à l'exception des modifications système automatiques	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.methodName:"io.k8s.authorization.rbac.v1" NOT protoPayload.authenticationInfo.principalEmail:"system"
Modifications apportées aux rôles du contrôle des accès basé sur les rôles, à l'exception des modifications système automatiques	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.methodName:"io.k8s.authorization.rbac.v1.roles" NOT protoPayload.authenticationInfo.principalEmail:"system"
Modifications apportées aux liaisons de rôles du contrôle des accès basé sur les rôles, à l'exception des modifications système automatiques	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.methodName:"io.k8s.authorization.rbac.v1.rolebindings" NOT protoPayload.authenticationInfo.principalEmail:"system"
Demandes de signature de certificat	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.resourceName:"certificates.k8s.io/v1beta1/certificatesigningrequests"
Requêtes Web non authentifiées	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.authenticationInfo.principalEmail:"system:anonymous"
Appels d'identité kubelet bootstrap	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.authenticationInfo.principalEmail:"kubelet"
Requêtes authentifiées par un nœud	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.authenticationInfo.principalEmail:"system:node"
Appels en dehors d'une plage d'adresses IP	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.requestMetadata.callerIp!="127.0.0.1" protoPayload.requestMetadata.callerIp!="::1" NOT protoPayload.requestMetadata.callerIp:"`IP_ADDRESS_PREFIX`"
Entrées de journal d'audit des activités d'administration qui s'appliquent au type de ressource `k8s_cluster` et décrivent la création d'un déploiement	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.methodName:"deployments.create"
Entrées de journal d'audit des activités d'administration qui s'appliquent au type de ressource `k8s_cluster` et dont la valeur `principalEmail` est `system:anonymous`. Ces entrées représentent probablement des tentatives infructueuses d'authentification.	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.authenticationInfo.principalEmail="system:anonymous"
Entrées de journal d'audit des activités d'administration qui s'appliquent au type de ressource `gke_cluster` et décrivent la création du cluster.	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="gke_cluster" protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster" OR protoPayload.methodName="google.container.v1beta1.ClusterManager.CreateCluster"
Entrées de journal d'audit pour les activités d'administration qui s'appliquent au type de ressource `gke_cluster` et dont la valeur `severity` est `ERROR`.	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="gke_cluster" severity="ERROR"
Entrées de journal d'audit des activités d'administration qui s'appliquent au type de ressource `k8s_cluster` et décrivent une requête d'écriture dans un Secret.	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.methodName:"io.k8s.core.v1.secrets" NOT protoPayload.methodName:"get" NOT protoPayload.methodName:"list" NOT protoPayload.methodName:"watch"
Entrées de journal d'audit des activités d'administration qui s'appliquent au type de ressource `k8s_cluster` et décrivent une requête Pod envoyée par un utilisateur spécifique.	logName="projects/`PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.type="k8s_cluster" protoPayload.methodName:"io.k8s.core.v1.pods" protoPayload.authenticationInfo.principalEmail="dev@example.com"

Pour utiliser les exemples de requêtes, procédez comme suit :

Remplacez les variables par vos propres informations de projet, puis copiez l'expression à l'aide de l'icône de presse-papiers .
Dans le panneau de navigation de la console Google Cloud, sélectionnez Logging, puis Explorateur de journaux :
Accéder à l'explorateur de journaux
Activez Afficher la requête pour ouvrir le champ de l'éditeur de requête, puis collez l'expression dans le champ de l'éditeur de requête :
Cliquez sur Exécuter la requête. Les journaux correspondant à votre requête sont répertoriés dans le volet Résultats de la requête.

Acheminer les journaux d'audit

Vous pouvez acheminer les journaux d'audit vers des destinations compatibles de la même manière que vous pouvez acheminer d'autres types de journaux. Voici quelques raisons pour lesquelles vous pouvez acheminer vos journaux d'audit :

Pour conserver les journaux d'audit pendant une période plus longue ou pour utiliser des fonctionnalités de recherche plus puissantes, vous pouvez exporter des copies des journaux d'audit vers Cloud Storage, BigQuery ou Pub/Sub. Avec Pub/Sub, vous avez la possibilité d'acheminer vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.
Pour gérer les journaux d'audit à l'échelle de votre organisation, vous pouvez créer des récepteurs agrégés capables d'exporter les journaux pour un projet Google Cloud spécifique ou pour l'ensemble des projets Google Cloud de l'organisation.

Si les journaux d'audit des accès aux données que vous avez activés entraînent le dépassement du quota d'attribution de journaux défini pour vos projets Google Cloud, vous pouvez créer des récepteurs qui excluent les journaux d'audit des accès aux données de Logging.

Pour obtenir des instructions sur l'acheminement des journaux, consultez la section Acheminer les journaux vers les destinations compatibles.

Tarification

Pour en savoir plus sur les tarifs, consultez la section Synthèse des tarifs Cloud Logging.

Configurer des métriques et des alertes

Pour configurer des métriques basées sur vos entrées de journal, vous pouvez utiliser Cloud Monitoring. Pour configurer des graphiques et alertes, vous pouvez utiliser des métriques basées sur les journaux.

Règle d'audit

La stratégie d'audit de Kubernetes détermine les entrées de journal que le serveur d'API Kubernetes doit exporter. La stratégie d'audit de Kubernetes Engine détermine les entrées envoyées vers le journal d'audit sur les activités d'administration et celles envoyées vers votre journal d'audit sur les accès aux données.

Pour plus d'informations sur les stratégies d'audit dans Kubernetes Engine, reportez-vous à la section Stratégie d'audit Kubernetes Engine.