Visualizzare gli audit log di Google Distributed Cloud

Questo documento descrive come visualizzare le voci di log prodotte dall'autorizzazione binaria per il software Google Distributed Cloud. Queste voci possono essere utilizzate per risolvere i problemi di configurazione e utilizzo del sistema.

Per attivare Cloud Audit Logs, devi configurare la sezione cloudAuditLogging del file di configurazione del cluster utente per inoltrare correttamente gli eventi dei log. Se i tuoi cluster GKE su GDC non sono configurati per inoltrare le voci di log, puoi visualizzare gli audit log locali utilizzando le ricerche di parole chiave. Le voci nei log locali sono formattate come descritto in questo documento.

Questo documento descrive come utilizzare Cloud Audit Logs per eseguire query sulle voci di log. Puoi anche eseguire query sulle voci di log tramite l'API Cloud Audit Logs.

Visualizzare le voci di Cloud Audit Logs

  1. Nella console Google Cloud, vai alla pagina Log di controllo cloud.

    Vai ad Audit log di Cloud

  2. Seleziona il progetto Google Cloud configurato nella cloudAuditLogging sezione del file di configurazione del cluster utente.

  3. Inserisci un filtro. Puoi trovare filtri di esempio per le voci di log di Autorizzazione binaria per Distributed Cloud nelle sezioni seguenti.

  4. Seleziona il log delle attività:

    1. Seleziona la casella combinata Nome log.

    2. Inserisci externalaudit.googleapis.com nel campo di testo.

    3. Seleziona il log denominato externalaudit.googleapis.com.

    4. Fai clic su Aggiungi.

    5. Assicurati di selezionare il periodo di tempo in cui si sarebbero verificati gli eventi.

  5. Fai clic su Esegui query.

Visualizza le voci del log di deployment rifiutate

Per trovare le voci di Cloud Audit Logs per i deployment rifiutati, utilizza la seguente query:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"

Visualizza le voci di log del dry run

Per trovare le voci di Cloud Audit Logs relative alla creazione o all'aggiornamento dei pod con la simulazione attivata, utilizza la seguente query:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
 protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"

Visualizzare le voci di log di breakglass

Per trovare le voci di Cloud Audit Logs relative alla creazione o all'aggiornamento dei pod con la funzionalità breakglass abilitata, utilizza la seguente query:

resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
  protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
  protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")