我正在Google Cloud上运行Kubernetes集群,并且试图找到一种方法来查看对pod的所有SSH访问,无论是使用google集群管理工具还是通过kubectl完成。
我希望能够查看哪个用户帐户进行了访问,以及理想情况下他们运行了哪些命令。我在所有可能已经记录了这些动作的实例上运行了stackdriver log,但是看着那堵巨大的日志,我不知道如何辨别其中的哪些是某人随便生成的。
stackdriver中是否存在某种标准的标记架构来表示ssh访问?
答案 0 :(得分:2)
因此,事实证明,默认情况下,Google Cloud已为Kubernetes启用了审核功能,该功能记录了许多事情,包括通过kubectl访问pod的过程。我能够像这样更新我的stackdriver日志过滤器:
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog"
并获取我感兴趣的日志。