Ansichten:
Profilanwendbarkeit: Stufe 1
Senden Sie Protokolle und Metriken an einen entfernten Aggregator, um das Risiko einer lokalen Manipulation im Falle eines Sicherheitsvorfalls zu mindern.
Das Exportieren von Protokollen und Metriken in einen dedizierten, persistenten Datenspeicher wie Cloud Operations für GKE gewährleistet die Verfügbarkeit von Audit-Daten nach einem Sicherheitsereignis im Cluster und bietet einen zentralen Ort für die Analyse von Protokoll- und Metrikdaten, die aus mehreren Quellen zusammengetragen wurden.
Hinweis
Hinweis
Protokollierung und Cloud-Überwachung sind standardmäßig ab GKE-Version 1.14 aktiviert; Unterstützung für Legacy-Protokollierung und -Überwachung ist standardmäßig für frühere Versionen aktiviert.

Auswirkung

Prüfung

Verwendung der Google Cloud Console:
PROTOKOLLIERUNG UND CLOUD-ÜBERWACHUNGSUNTERSTÜTZUNG (BEVORZUGT):
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Klicken Sie in der Liste der Cluster auf den gewünschten Cluster.
  3. Stellen Sie im Detailbereich im Abschnitt Funktionen sicher, dass die Protokollierung aktiviert ist.
  4. Stellen Sie außerdem sicher, dass die Cloud-Überwachung aktiviert ist.
UNTERSTÜTZUNG FÜR LEGACY STACKDRIVER:
Diese Option kann nicht in der GCP-Konsole überprüft werden.
Verwendung der Befehlszeile:
PROTOKOLLIERUNG UND CLOUD-ÜBERWACHUNGSUNTERSTÜTZUNG (BEVORZUGT):
Führen Sie die folgenden Befehle aus:
gcloud container clusters describe <cluster_name> --zone <compute_zone> 
--format json | jq '.loggingService' 
gcloud container clusters describe <cluster_name> --zone <compute_zone> 
--format json | jq '.monitoringService'
Die Ausgabe der obigen Befehle sollte logging.googleapis.com/kubernetes und monitoring.googleapis.com/kubernetes zurückgeben, wenn Logging und Cloud-Überwachung aktiviert sind.
UNTERSTÜTZUNG FÜR LEGACY STACKDRIVER:
Hinweis
Hinweis
Diese Funktionalität wurde am 31. März 2021 außer Betrieb genommen und wird hier aus Gründen der Nachvollziehbarkeit beibehalten (siehe Google-Dokumentation für weitere Informationen.)
Sowohl die Protokollierung als auch die Überwachungsunterstützung müssen aktiviert sein. Für die Protokollierung führen Sie den folgenden Befehl aus:
gcloud container clusters describe <cluster_name> --zone <compute_zone> 
--format json | jq '.loggingService'
Die Ausgabe sollte monitoring.googleapis.com zurückgeben, wenn Legacy Stackdriver Monitoring aktiviert ist.

Wiederherstellung

Verwendung der Google Cloud Console:
Um die Protokollierung zu aktivieren:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie den Cluster aus, für den das Logging deaktiviert ist.
  3. Klicken Sie im Detailbereich im Abschnitt Funktionen auf das Stiftsymbol mit der Bezeichnung Protokollierung bearbeiten.
  4. Aktivieren Sie das Kontrollkästchen neben Protokollierung aktivieren.
  5. Wählen Sie im Dropdown-Menü Komponenten die zu protokollierenden Komponenten aus.
  6. Klicken Sie auf SAVE CHANGES und warten Sie, bis der Cluster aktualisiert wird.
Um die Cloud-Überwachung zu aktivieren:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie den Cluster aus, für den das Logging deaktiviert ist.
  3. Unter dem Detailbereich, im Abschnitt Funktionen, klicken Sie auf das Stiftsymbol mit der Bezeichnung Cloud-Überwachung bearbeiten.
  4. Aktivieren Sie das Kontrollkästchen neben Cloud-Überwachung aktivieren.
  5. Wählen Sie im Dropdown-Menü Komponenten die zu protokollierenden Komponenten aus.
  6. Klicken Sie auf SAVE CHANGES und warten Sie, bis der Cluster aktualisiert wird.
Verwendung der Befehlszeile:
Um die Protokollierung für einen bestehenden Cluster zu aktivieren, führen Sie den folgenden Befehl aus:
gcloud container clusters update <cluster_name> --zone <compute_zone> 
--logging=<components_to_be_logged>
Hinweis
Hinweis
Siehe Google-Dokumentation für eine Liste der verfügbaren Komponenten zum Protokollieren.
Um Cloud Monitoring für einen bestehenden Cluster zu aktivieren, führen Sie den folgenden Befehl aus:
gcloud container clusters update <cluster_name> --zone <compute_zone> 
--monitoring=<components_to_be_logged>
Hinweis
Hinweis
Siehe Google-Dokumentation für eine Liste der verfügbaren Komponenten für die Cloud-Überwachung.