Cloud Audit Logs
Panoramica
GKE su Azure supporta l'audit logging sia a livello di API Cloud che di cluster Kubernetes. Questo documento fornisce informazioni sull'audit logging dei cluster Kubernetes. Per informazioni sull'audit logging dell'API Cloud, consulta Informazioni sull'audit logging dell'API Cloud.
GKE su Azure utilizza l'audit logging di Kubernetes, che conserva un record cronologico delle chiamate effettuate al server API Kubernetes di un cluster. Gli audit log sono utili per indagare sulle richieste API sospette e per raccogliere statistiche.
Nelle versioni del cluster 1.23 e successive, GKE su Azure scrive Cloud Audit Logs in un progetto Google Cloud per impostazione predefinita. La scrittura in Cloud Audit Logs offre i seguenti vantaggi:
- Gli audit log per tutti i cluster GKE possono essere centralizzati.
- Le voci di log scritte in Cloud Audit Logs sono immutabili.
- Le voci di Cloud Audit Logs vengono conservate per 400 giorni.
- Cloud Audit Logs è incluso nel prezzo di Anthos.
Limitazioni
L'attuale versione di Cloud Audit Logs per GKE su Azure ha diverse limitazioni:
Il logging dell'accesso ai dati (get, list, watch) non è supportato.
La modifica del criterio di controllo di Kubernetes non è supportata.
Cloud Audit Logs non è resiliente alle interruzioni di rete estese. Se le voci di log non possono essere esportate in Google Cloud, vengono memorizzate nella cache in un buffer del disco da 10 GB. Se il buffer si riempie, le voci successive vengono eliminate.
Criteri di audit
Il comportamento di Cloud Audit Logs è determinato da un criterio di audit logging di Kubernetes configurato in modo statico. Al momento la modifica di questo criterio non è supportata, ma sarà disponibile in una release futura.
Accesso a Cloud Audit Logs
Puoi accedere a Cloud Audit Logs nella console Google Cloud o con Google Cloud CLI.
Console
Nella console Google Cloud, vai alla pagina Esplora log nel menu Logging.
Fai clic sul pulsante di attivazione/disattivazione Mostra query toggle_off.
Compila la casella di testo con il seguente filtro:
resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
La schermata ha il seguente aspetto:
Fai clic su Esegui query per visualizzare tutti gli audit log di GKE sui cluster Azure configurati per accedere a questo progetto.
gcloud
Elenca le prime due voci di log nel log dell'Log delle attività di amministrazione del progetto che si applicano al tipo di risorsa k8s_cluster
:
gcloud logging read \ 'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" AND resource.type="k8s_cluster" ' \ --limit 2 \ --freshness 300d
dove PROJECT_ID è l'ID progetto.
L'output mostra due voci di log. Tieni presente che per ogni voce di log, il campo logName
ha il valore projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity
e protoPayload.serviceName
è uguale a gkemulticloud.googleapis.com
.