Questa documentazione si riferisce alla versione attuale di GKE su AWS, rilasciata a novembre 2021. Consulta le Note di rilascio per ulteriori informazioni.

Questa pagina è stata tradotta dall'API Cloud Translation.

Cloud Audit Logs

Panoramica

GKE su AWS supporta l'audit logging a livello di cluster Kubernetes e API Cloud. Questo documento fornisce informazioni sull'audit logging dei cluster Kubernetes. Per informazioni sull'audit logging dell'API Cloud, consulta Informazioni sull'audit logging dell'API Cloud.

GKE su AWS utilizza l'audit logging di Kubernetes, che conserva un record cronologico delle chiamate effettuate al server API Kubernetes di un cluster. Gli audit log sono utili per indagare sulle richieste API sospette e per raccogliere statistiche.

Nella versione del cluster 1.23 e successive, GKE su AWS scrive Cloud Audit Logs in un progetto Google Cloud per impostazione predefinita. La scrittura in Cloud Audit Logs offre i seguenti vantaggi:

Gli audit log per tutti i cluster GKE possono essere centralizzati.
Le voci di log scritte in Cloud Audit Logs sono immutabili.
Le voci di Cloud Audit Logs vengono conservate per 400 giorni.
Cloud Audit Logs è incluso nel prezzo di Anthos.

Limitazioni

L'attuale versione di Cloud Audit Logs per GKE su AWS ha diverse limitazioni:

Il logging dell'accesso ai dati (get, list, watch) non è supportato.
La modifica del criterio di controllo di Kubernetes non è supportata.
Cloud Audit Logs non è resiliente alle interruzioni di rete estese. Se le voci di log non possono essere esportate in Google Cloud, vengono memorizzate nella cache in un buffer del disco da 10 GB. Se il buffer si riempie, le voci successive vengono eliminate.

Prima di iniziare

Per abilitare Cloud Audit Logs, devi aggiungere l'accesso in uscita a servicecontrol.googleapis.com dalle subnet del piano di controllo.

Criteri di audit

Il comportamento di Cloud Audit Logs è determinato da un criterio di audit logging di Kubernetes configurato in modo statico. Al momento la modifica di questo criterio non è supportata, ma sarà disponibile in una release futura.

Accesso a Cloud Audit Logs

Puoi accedere a Cloud Audit Logs nella console Google Cloud o con Google Cloud CLI.

Console

Nella console Google Cloud, vai alla pagina Esplora log nel menu Logging.

Vai alla pagina Log
Fai clic sul pulsante di attivazione/disattivazione Mostra query .

Compila la casella di testo con il seguente filtro:

resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"

La schermata ha il seguente aspetto:

Esplora log con Mostra query attivata e completata

Fai clic su Esegui query per visualizzare tutti gli audit log di GKE sui cluster AWS configurati per accedere a questo progetto.

gcloud

Elenca le prime due voci di log nel log dell'Log delle attività di amministrazione del progetto che si applicano al tipo di risorsa k8s_cluster:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
    AND resource.type="k8s_cluster" ' \
    --limit 2 \
    --freshness 300d

dove PROJECT_ID è l'ID progetto.

L'output mostra due voci di log. Tieni presente che per ogni voce di log, il campo logName ha il valore projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity e protoPayload.serviceName è uguale a gkemulticloud.googleapis.com.