ビュー:
プロファイル適用性: レベル1
侵害が発生した場合にローカルでの改ざんのリスクを軽減するために、ログとメトリクスをリモートアグリゲーターに送信します。
GKE用のCloud Operationsなどの専用で永続的なデータストアにログとメトリクスをエクスポートすることで、クラスターのセキュリティイベント後の監査データの可用性が確保され、複数のソースから収集されたログとメトリクスデータの分析のための中央の場所が提供されます。
注意
注意
GKEバージョン1.14から、ロギングとクラウドモニタリングはデフォルトで有効になっています。以前のバージョンでは、レガシーロギングとモニタリングのサポートがデフォルトで有効になっています。

監査

Google Cloud Consoleを使用する:
ログとクラウド監視サポート (推奨):
  1. Google Cloud コンソール Kubernetes Engine ページ にアクセスして Kubernetes Engine に移動します
  2. クラスターのリストから、目的のクラスターをクリックしてください。
  3. 詳細ペインの機能セクションで、ログ記録が有効になっていることを確認してください。
  4. また、Cloud Monitoringが有効になっていることを確認してください。
レガシースタックドライバーサポート:
このオプションはGCPコンソールで確認できません。
コマンドラインの使用:
ログとクラウド監視サポート (推奨):
最初にクラスタ名、場所、プロジェクトの3つの変数を定義し、次に以下のコマンドを実行してください。
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION -- project $PROJECT_ID --format json | jq '.loggingService' gcloud container clusters describe $CLUSTER_NAME --location $LOCATION -- project $PROJECT_ID --format json | jq '.monitoringService'
上記のコマンドの出力は、LoggingとCloud Monitoringが有効になっている場合、それぞれlogging.googleapis.com/kubernetesmonitoring.googleapis.com/kubernetesを返す必要があります。
レガシースタックドライバーサポート:
注意
注意
この機能は2021年3月31日に廃止されましたが、後世のためにここに残されています (詳細については、Google Cloudドキュメントを参照してください)。
ログとモニタリングのサポートを有効にする必要があります。
ログ記録のために、次のコマンドを実行します。
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION --project $PROJECT_ID --format json | jq '.loggingService'
レガシーStackdriver Loggingが有効になっている場合、logging.googleapis.comを返す必要があります。
モニタリングのために、次のコマンドを実行します。
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION --project $PROJECT_ID --format json | jq '.monitoringService'
レガシーStackdriverモニタリングが有効になっている場合、monitoring.googleapis.comを返す必要があります。

修復

Google Cloudコンソールを使用する: ロギングを有効にするには:
  1. Google CloudコンソールKubernetes EngineページにアクセスしてKubernetes Engineに移動します。
  2. ログ記録が無効になっているクラスターを選択してください。
  3. 詳細ペインの機能セクションで、編集ログという名前の鉛筆アイコンをクリックします。
  4. ログを有効にするの横のチェックボックスをオンにします。
  5. ドロップダウンコンポーネントボックスで、ログに記録するコンポーネントを選択してください。
  6. 変更を保存をクリックし、クラスターの更新を待ちます。
クラウドモニタリングを有効にするには
  1. Google CloudコンソールKubernetes EngineページにアクセスしてKubernetes Engineに移動します。
  2. ログ記録が無効になっているクラスターを選択してください。
  3. 詳細ペインの機能セクションで、編集クラウドモニタリングという名前の鉛筆アイコンをクリックしてください。
  4. クラウドモニタリングを有効にするの横のチェックボックスをオンにします。
  5. ドロップダウンコンポーネントボックスで、ログに記録するコンポーネントを選択してください。
  6. 変更を保存をクリックし、クラスターの更新を待ちます。
コマンドラインの使用:
既存のクラスターでログを有効にするには、次のコマンドを実行してください。
gcloud container clusters update <cluster_name> --location <location> -- logging=<components_to_be_logged>
GKEメトリクスのドキュメントを参照して、ログ用の利用可能なメトリクスの一覧をご覧ください。
既存のクラスターでクラウドモニタリングを有効にするには、次のコマンドを実行してください。
gcloud container clusters update <cluster_name> --location <location> -- monitoring=<components_to_be_logged>
利用可能なログ値の一覧については、GKE ログ記録ドキュメントを参照してください。