Google Cloud Platform for PCI Compliance上的Kubernetes命令日志记录

Question

使用Kubernetes的kubectl，我可以在任何pod上执行任意命令，比如kubectl exec pod-id-here -c container-id -- malicious_command --steal=creditcards

如果发生这种情况，我将需要能够拉出一个日志，说明谁执行了命令以及他们执行了什么命令。这包括如果他们决定通过简单地运行/bin/bash来运行其他东西，然后通过tty窃取数据。

如何查看哪个经过身份验证的用户执行了该命令以及他们执行的命令？