**帮助改进此页面**
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。
# 日志 API 调用作为 AWS CloudTrail 事件
Amazon EKS 与 AWS CloudTrail 集成。CloudTrail 服务在 Amazon EKS 中提供用户、角色或 AWS 服务的操作记录。CloudTrail 将 Amazon EKS 的所有 API 调用作为事件捕获。这包含来自 Amazon EKS 控制台的调用和对 Amazon EKS API 操作的代码调用。
如果您创建了跟踪,则可以使 CloudTrail 事件持续传送到 Amazon S3 存储桶。这包括 Amazon EKS 的事件。如果您不配置跟踪,则仍可在 CloudTrail 控制台中的**事件历史记录**中查看最新事件。使用 CloudTrail 收集的信息,您可以确定有关请求的几个详细信息。例如,您可以确定何时向 Amazon EKS 发出了请求,发出请求的 IP 地址以及何人发出的请求。
要了解有关 CloudTrail 的更多信息,请参阅 [AWS CloudTrail 用户指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
**Topics**
+ [查看有关 AWS CloudTrail 的实用参考信息](service-name-info-in-cloudtrail.md)
+ [分析 AWS CloudTrail 日志文件条目](understanding-service-name-entries.md)
+ [查看 Amazon EC2 Auto Scaling 组的指标](enable-asg-metrics.md)
# 查看有关 AWS CloudTrail 的实用参考信息
在您创建 AWS 账户时,还将在您的 AWS 账户上启用 CloudTrail。当 Amazon EKS 中发生任何活动时,该活动将记录在 CloudTrail 事件中,并与其他 AWS 服务事件一同保存在 **Event history**(事件历史记录)中。您可以在 AWS 账户中查看、搜索和下载最新事件。有关更多信息,请参阅 [ 使用 CloudTrail 事件历史记录查看事件 ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
要持续记录AWS账户中的事件(包括 Amazon EKS 的事件),请创建跟踪记录。通过*跟踪记录*,CloudTrail 可将日志文件传送至 Amazon S3 存储桶。预设情况下,在控制台中创建跟踪时,此跟踪应用于所有 AWS 区域。此跟踪记录来自 AWS 分区中的所有 AWS 区域的事件,并将日志文件传送至您指定的 Amazon S3 存储桶。此外,您可以配置其它 AWS 服务,进一步分析在 CloudTrail 日志中收集的事件数据并采取行动。有关详细信息,请参阅以下资源:
+ [创建跟踪记录概述](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支持的服务和集成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [为 CloudTrail 配置 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [从多个区域接收 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[从多个账户接收 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
所有 Amazon EKS 操作都由 CloudTrail 记录,并记录在 [Amazon EKS API 参考](https://docs.aws.amazon.com/eks/latest/APIReference/)中。例如,对 [CreateCluster](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateCluster.html)、[ListClusters](https://docs.aws.amazon.com/eks/latest/APIReference/API_ListClusters.html) 和 [DeleteCluster](https://docs.aws.amazon.com/eks/latest/APIReference/API_DeleteCluster.html) 部分的调用将在 CloudTrail 日志文件中生成条目。
每个事件或日志条目包含有关发出请求的 IAM 身份之类型的详细信息,以及使用了哪些凭证。如果使用的是临时凭证,则该条目显示凭证是如何获取的。
有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
# 分析 AWS CloudTrail 日志文件条目
跟踪是一种配置,可用于将事件作为日志文件传送到您指定的 Amazon S3 存储桶。CloudTrail 日志文件包含一个或多个日记账条目。一个事件表示来自任何源的一个请求,包括有关所请求的操作的信息。其中包括操作的日期和时间以及所使用的请求参数等信息。CloudTrail 日志文件不是公用 API 调用的有序堆栈跟踪,因此它们不会按任何特定顺序显示。
下面的示例显示了一个 CloudTrail 日志条目,该条目说明了 [https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateCluster.html](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateCluster.html) 操作。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/username",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "username"
},
"eventTime": "2018-05-28T19:16:43Z",
"eventSource": "eks.amazonaws.com",
"eventName": "CreateCluster",
"awsRegion": "region-code",
"sourceIPAddress": "205.251.233.178",
"userAgent": "PostmanRuntime/6.4.0",
"requestParameters": {
"resourcesVpcConfig": {
"subnetIds": [
"subnet-a670c2df",
"subnet-4f8c5004"
]
},
"roleArn": "arn:aws:iam::111122223333:role/AWSServiceRoleForAmazonEKS-CAC1G1VH3ZKZ",
"clusterName": "test"
},
"responseElements": {
"cluster": {
"clusterName": "test",
"status": "CREATING",
"createdAt": 1527535003.208,
"certificateAuthority": {},
"arn": "arn:aws:eks:region-code:111122223333:cluster/test",
"roleArn": "arn:aws:iam::111122223333:role/AWSServiceRoleForAmazonEKS-CAC1G1VH3ZKZ",
"version": "1.10",
"resourcesVpcConfig": {
"securityGroupIds": [],
"vpcId": "vpc-21277358",
"subnetIds": [
"subnet-a670c2df",
"subnet-4f8c5004"
]
}
}
},
"requestID": "a7a0735d-62ab-11e8-9f79-81ce5b2b7d37",
"eventID": "eab22523-174a-499c-9dd6-91e7be3ff8e3",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## Amazon EKS 服务相关角色的日志条目
Amazon EKS 服务相关角色对AWS资源进行 API 调用。将显示由 Amazon EKS 服务相关角色进行的调用的 CloudTrail 日志条目以及 `username: AWSServiceRoleForAmazonEKS` 和 `username: AWSServiceRoleForAmazonEKSNodegroup`。有关 Amazon EKS 和服务相关角色的更多信息,请参阅 [对 Amazon EKS 使用服务相关角色](using-service-linked-roles.md)。
以下示例显示了一个 CloudTrail 日志条目,该条目演示 `AWSServiceRoleForAmazonEKSNodegroup` 服务相关角色执行的 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteInstanceProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteInstanceProfile.html) 操作(在 `sessionContext` 中注明)。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA3WHGPEZ7SJ2CW55C5:EKS",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForAmazonEKSNodegroup/EKS",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA3WHGPEZ7SJ2CW55C5",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/eks-nodegroup.amazonaws.com/AWSServiceRoleForAmazonEKSNodegroup",
"accountId": "111122223333",
"userName": "AWSServiceRoleForAmazonEKSNodegroup"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-02-26T00:56:33Z"
}
},
"invokedBy": "eks-nodegroup.amazonaws.com"
},
"eventTime": "2020-02-26T00:56:34Z",
"eventSource": "iam.amazonaws.com",
"eventName": "DeleteInstanceProfile",
"awsRegion": "region-code",
"sourceIPAddress": "eks-nodegroup.amazonaws.com",
"userAgent": "eks-nodegroup.amazonaws.com",
"requestParameters": {
"instanceProfileName": "eks-11111111-2222-3333-4444-abcdef123456"
},
"responseElements": null,
"requestID": "11111111-2222-3333-4444-abcdef123456",
"eventID": "11111111-2222-3333-4444-abcdef123456",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# 查看 Amazon EC2 Auto Scaling 组的指标
Amazon EKS 托管式节点组会默认启用 Amazon EC2 Auto Scaling 组指标,无需额外付费。自动扩缩组每分钟向 Amazon CloudWatch 发送采样数据。这些指标可以按照自动扩缩组名称进行细化。这些指标让您能够始终了解支持托管式节点组的自动扩缩组的历史记录,例如组大小随时间推移的变化。自动扩缩组指标可在 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch) 或 Auto Scaling 控制台中获取。有关更多信息,请参阅 [Monitor CloudWatch metrics for your Auto Scaling groups and instances](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-cloudwatch-monitoring.html)。
借助自动扩缩组指标收集,您将能够监控托管式节点组的扩缩情况。自动扩缩组指标可报告自动扩缩组的最小、最大和所需大小。如果节点组中的节点数量小于最小大小(这表示节点组运行状况不佳),您可以创建警报。跟踪节点组大小在调整最大数量时也很有用,以便您的数据面板不会耗尽容量。
如果不想收集这些指标,则可以选择全部禁用或仅禁用其中的某些指标。例如,您可以通过禁用指标来避免 CloudWatch 控制面板出现噪音。有关更多信息,请参阅 [Amazon CloudWatch metrics for Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-cloudwatch-monitoring.html)。