View a markdown version of this page

Scheduler-Auditprotokolle in AWS PCS - AWS PCS
VoraussetzungenRichten Sie Scheduler-Auditprotokolle einDie Pfade und Namen von Log-Streams werden von Scheduler geprüftBeispiel für einen Scheduler-Audit-LogeintragVerhalten des Audit-Logs nach Slurm-Version

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Scheduler-Auditprotokolle in AWS PCS

In den Auditprotokollen des Schedulers werden RPC-Operationen (Remote Procedure Call) aufgezeichnet, die vom Slurm-Controller () und dem Datenbank-Daemon (slurmctld) Ihres Clusters verarbeitet werden. slurmdbd Das AUDIT_RPCS: Präfix in der Protokollnachricht identifiziert diese Protokolle. Sie unterstützen Anwendungsfälle zur Sicherheitsüberprüfung und zur Einhaltung von Vorschriften.

Für Cluster, auf denen Slurm 25.11 und höher ausgeführt wird, stellt AWS PCS Audit-Logs getrennt nach PCS_SCHEDULER_AUDIT_LOGS Protokolltyp bereit. Durch diese Trennung können Sie die Aufnahme- und Speicherkosten für Audit-Logs unabhängig von Ihren Betriebsprotokollen kontrollieren, da Audit-Logs bis zu 90% des Scheduler-Protokollvolumens ausmachen können.

Anmerkung

Bei Clustern, auf denen Slurm-Versionen vor 25.11 ausgeführt werden, bleiben die Audit-Logs erhalten PCS_SCHEDULER_LOGS und der PCS_SCHEDULER_AUDIT_LOGS Protokolltyp ist nicht verfügbar. Weitere Informationen zu Scheduler-Logs finden Sie unter. Scheduler loggt sich in AWS PCS ein

Voraussetzungen

Bevor Sie Scheduler-Audit-Logs einrichten können, müssen Sie die folgenden Anforderungen erfüllen:

  • Auf Ihrem Cluster muss Slurm 25.11 oder höher ausgeführt werden.

  • Der IAM-Prinzipal, der den AWS PCS-Cluster verwaltet, muss die Aktion zulassen. pcs:AllowVendedLogDeliveryForResource

Die folgende Beispiel-IAM-Richtlinie gewährt die erforderlichen Berechtigungen.

JSON
{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Sid": "PcsAllowVendedLogsDelivery",
         "Effect": "Allow",
         "Action": ["pcs:AllowVendedLogDeliveryForResource"],
         "Resource": [
            "arn:aws:pcs:*::cluster/*"
         ]
      }
   ]
}

Richten Sie Scheduler-Auditprotokolle ein

Sie können Scheduler-Auditprotokolle für Ihren AWS PCS-Cluster mit dem AWS-Managementkonsole oder einrichten. AWS CLI Scheduler-Prüfprotokolle sind optional. AWS PCS liefert sie erst, wenn Sie sie abonnieren.

AWS-Managementkonsole
Um Scheduler-Audit-Logs mit der Konsole einzurichten

  1. Öffnen Sie die AWS PCS-Konsole.

  2. Klicken Sie im Navigationsbereich auf Cluster.

  3. Wählen Sie den Cluster aus, dem Sie Scheduler-Audit-Logs hinzufügen möchten.

  4. Wählen Sie auf der Seite mit den Cluster-Details die Registerkarte Logs aus.

  5. Wählen Sie unter Scheduler Audit Logs die Option Hinzufügen aus, um bis zu 3 Log-Lieferziele aus CloudWatch Logs, Amazon S3 und Firehose hinzuzufügen.

  6. Wählen Sie Protokollzustellungen aktualisieren aus.

AWS CLI
Um Scheduler-Audit-Logs einzurichten mit AWS CLI

  1. Erstellen Sie ein Ziel für die Protokollzustellung:

    aws logs put-delivery-destination --region region \
  --name pcs-audit-logs-destination \
  --delivery-destination-configuration \
  destinationResourceArn=resource-arn

    Ersetzen Sie:

    • region— Der AWS-Region Ort, an dem Sie das Ziel erstellen möchten, z. B. us-east-1

    • pcs-audit-logs-destination— Ein Name für das Ziel

    • resource-arn— Der Amazon-Ressourcenname (ARN) einer CloudWatch Logs-Protokollgruppe, eines S3-Buckets oder eines Firehose-Lieferstreams.

    Weitere Informationen finden Sie PutDeliveryDestinationin der Amazon CloudWatch Logs API-Referenz.

  2. Legen Sie den PCS-Cluster als Quelle für die Protokollzustellung fest:

    aws logs put-delivery-source --region region \
  --name cluster-audit-logs-source-name \
  --resource-arn cluster-arn \
  --log-type PCS_SCHEDULER_AUDIT_LOGS

    Ersetzen Sie:

    • region— Die AWS-Region Ihres Clusters, wie us-east-1

    • cluster-audit-logs-source-name— Ein Name für die Quelle

    • cluster-arn— der ARN Ihres AWS PCS-Clusters

    Weitere Informationen finden Sie PutDeliverySourcein der Amazon CloudWatch Logs API-Referenz.

  3. Connect die Lieferquelle mit dem Lieferziel:

    aws logs create-delivery --region region \
  --delivery-source-name cluster-audit-logs-source \
  --delivery-destination-arn destination-arn

    Ersetzen Sie:

    • region— Die AWS-Region, wie us-east-1

    • cluster-audit-logs-source— Der Name Ihrer Lieferquelle

    • destination-arn— Die ARN Ihres Lieferziels

    Weitere Informationen finden Sie CreateDeliveryin der Amazon CloudWatch Logs API-Referenz.

Die Pfade und Namen von Log-Streams werden von Scheduler geprüft

Der Pfad und der Name der AWS PCS-Scheduler-Audit-Logs hängen vom Zieltyp ab.

  • CloudWatch Protokolle

    • Ein CloudWatch Logs-Stream folgt dieser Namenskonvention.

      AWSLogs/PCS/${cluster_id}/${log_name}_${scheduler_major_version}_audit.log

      Wo ${log_name} ist slurmctld oderslurmdbd.

      Beispiel
      AWSLogs/PCS/abcdef0123/slurmctld_25.11_audit.log
AWSLogs/PCS/abcdef0123/slurmdbd_25.11_audit.log

  • S3 bucket

    • Ein S3-Bucket-Ausgabepfad folgt dieser Namenskonvention:

      AWSLogs/${account-id}/PCS/${region}/${cluster_id}/scheduler_audit/${log_name}/yyyy/MM/dd/HH/
      Beispiel
      AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmctld/2026/03/01/00/
AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmdbd/2026/03/01/00/

Beispiel für einen Scheduler-Audit-Logeintrag

AWS Die Auditprotokolle von PCS Scheduler sind strukturiert. Sie verwenden dasselbe Schema wie Scheduler-Logs, wobei die Log-Meldung das Präfix enthält. AUDIT_RPCS: Hier ist ein Beispiel vonslurmctld.

{
    "resource_id": "pcs_bu93qsds2j",
    "resource_type": "PCS_CLUSTER",
    "event_timestamp": 1774481175953,
    "log_level": "info",
    "log_name": "slurmctld",
    "scheduler_type": "slurm",
    "scheduler_major_version": "25.11",
    "scheduler_patch_version": "2",
    "node_type": "controller_primary",
    "message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: [slurmctld-primary:6817(fd:18)] msg_type=REQUEST_PARTITION_INFO uid=0 client=[10.0.76.95:56918]\n"
}

Hier ist ein Beispiel vonslurmdbd.

{
    "resource_id": "pcs_bu93qsds2j",
    "resource_type": "PCS_CLUSTER",
    "event_timestamp": 1774485082772,
    "log_level": "info",
    "log_name": "slurmdbd",
    "scheduler_type": "slurm",
    "scheduler_major_version": "25.11",
    "scheduler_patch_version": "2",
    "node_type": "slurmdbd_primary",
    "message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: msg_type=DBD_GET_CLUSTERS uid=0 client=[28.5.0.18:36658] protocol=11008\n"
}

Verhalten des Audit-Logs nach Slurm-Version

In der folgenden Tabelle wird beschrieben, wie Audit-Logs je nach der Slurm-Version, die auf Ihrem Cluster ausgeführt wird, bereitgestellt werden.

Slurm-Version PCS_SCHEDULER_LOGSenthält PCS_SCHEDULER_AUDIT_LOGSverfügbar
Vor 25.11 Alle Protokolle, einschließlich Audit-Logs Nein
25.11 und später Nur Betriebsprotokolle (Auditprotokolle wurden entfernt) Ja (Opt-In)