ビュー:
プロファイル適用性: レベル1
侵害が発生した場合のローカル改ざんのリスクを軽減するために、ログとメトリクスをリモートアグリゲーターに送信します。
GKE用のCloud Operationsなどの専用で永続的なデータストアにログとメトリクスをエクスポートすることで、クラスターのセキュリティイベント後の監査データの可用性を確保し、複数のソースから収集されたログとメトリクスデータを分析するための中央の場所を提供します。
注意
注意
GKEバージョン1.14からは、ログ記録とクラウドモニタリングがデフォルトで有効になっています。以前のバージョンでは、レガシーログ記録とモニタリングのサポートがデフォルトで有効になっています。

影響

監査

Google Cloudコンソールを使用する:
ログとクラウド監視サポート (推奨):
  1. Kubernetes Engine のウェブサイトにアクセスしてください。
  2. クラスタのリストから、関心のあるクラスタをクリックしてください。
  3. 詳細ペインの機能セクション内で、ログ記録が有効になっていることを確認してください。
  4. また、Cloud Monitoringが有効になっていることを確認してください。
レガシースタックドライバーサポート:
このオプションはGCPコンソールで確認できません。
コマンドラインの使用:
ログとクラウド監視サポート (推奨):
次のコマンドを実行します。
gcloud container clusters describe <cluster_name> --zone <compute_zone> 
--format json | jq '.loggingService' 
gcloud container clusters describe <cluster_name> --zone <compute_zone> 
--format json | jq '.monitoringService'
上記のコマンドの出力は、LoggingとCloud Monitoringが有効になっている場合、それぞれlogging.googleapis.com/kubernetesmonitoring.googleapis.com/kubernetesを返す必要があります。
レガシースタックドライバーサポート:
注意
注意
この機能は2021年3月31日に廃止されましたが、後世のためにここに残されています (詳細についてはGoogleのドキュメントを参照してください。)
ログとモニタリングのサポートを有効にする必要があります。ログのために、次のコマンドを実行してください。
gcloud container clusters describe <cluster_name> --zone <compute_zone> 
--format json | jq '.loggingService'
レガシーStackdriver Monitoringが有効になっている場合、monitoring.googleapis.comを返す必要があります。

修復

Google Cloudコンソールを使用する:
ログを有効にするには:
  1. Kubernetes Engine のウェブサイトにアクセスしてください。
  2. ログ記録が無効になっているクラスターを選択してください。
  3. 詳細ペインの機能セクションで、編集ログという名前の鉛筆アイコンをクリックします。
  4. ログを有効にするの横のボックスをチェックしてください。
  5. ドロップダウンのコンポーネントボックスで、ログに記録するコンポーネントを選択します。
  6. [SAVE CHANGES]をクリックし、クラスタが更新されるのを待ちます。
クラウドモニタリングを有効にするには:
  1. Kubernetes Engine のウェブサイトにアクセスしてください。
  2. ログ記録が無効になっているクラスターを選択してください。
  3. 詳細ペインの機能セクションで、編集クラウドモニタリングという名前の鉛筆アイコンをクリックします。
  4. クラウドモニタリングを有効にするの横のボックスをチェックしてください。
  5. ドロップダウンのコンポーネントボックスで、ログに記録するコンポーネントを選択します。
  6. [SAVE CHANGES]をクリックし、クラスタが更新されるのを待ちます。
コマンドラインの使用:
既存のクラスターでログ記録を有効にするには、次のコマンドを実行してください。
gcloud container clusters update <cluster_name> --zone <compute_zone> 
--logging=<components_to_be_logged>
注意
注意
Googleドキュメントで利用可能なログコンポーネントの一覧を参照してください。
既存のクラスターでクラウドモニタリングを有効にするには、次のコマンドを実行してください。
gcloud container clusters update <cluster_name> --zone <compute_zone> 
--monitoring=<components_to_be_logged>
注意
注意
GoogleドキュメントでCloud Monitoringの利用可能なコンポーネントのリストを参照してください。