View a markdown version of this page

Registros de auditoría del programador en AWS PCS - AWS PIEZAS
Requisitos previosConfigure los registros de auditoría del programadorEl programador audita las rutas y los nombres de los flujos de registroEjemplo de registro de auditoría del programadorComportamiento del registro de auditoría según la versión de Slurm

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registros de auditoría del programador en AWS PCS

Los registros de auditoría del programador registran las operaciones de llamadas a procedimientos remotos (RPC) procesadas por el controlador Slurm () y el daemon de la base de datos (slurmctld) del clúster. slurmdbd El AUDIT_RPCS: prefijo del mensaje de registro identifica estos registros. Son compatibles con las auditorías de seguridad y los casos de uso de conformidad.

Para los clústeres que ejecutan Slurm 25.11 y versiones posteriores, AWS PCS proporciona los registros de auditoría por separado según el PCS_SCHEDULER_AUDIT_LOGS tipo de registro. Esta separación le permite controlar los costes de ingesta y almacenamiento de los registros de auditoría de forma independiente de los registros operativos, ya que los registros de auditoría pueden representar hasta el 90% del volumen de registros del programador.

nota

En el caso de los clústeres que ejecutan versiones de Slurm anteriores a la 25.11, los registros de auditoría permanecen en su interior PCS_SCHEDULER_LOGS y el tipo de PCS_SCHEDULER_AUDIT_LOGS registro no está disponible. Para obtener más información sobre los registros del programador, consulte. El planificador inicia sesión en AWS PCS

Requisitos previos

Para poder configurar los registros de auditoría del programador, debe cumplir los siguientes requisitos:

  • Su clúster debe ejecutar Slurm 25.11 o una versión posterior.

  • El principal de IAM que administra el clúster de AWS PCS debe permitir la acción. pcs:AllowVendedLogDeliveryForResource

El siguiente ejemplo de política de IAM concede los permisos necesarios.

JSON
{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Sid": "PcsAllowVendedLogsDelivery",
         "Effect": "Allow",
         "Action": ["pcs:AllowVendedLogDeliveryForResource"],
         "Resource": [
            "arn:aws:pcs:*::cluster/*"
         ]
      }
   ]
}

Configure los registros de auditoría del programador

Puede configurar los registros de auditoría del programador para su clúster de AWS PCS con o. Consola de administración de AWS AWS CLI Los registros de auditoría del programador son opcionales. AWS PCS no los entrega hasta que se suscriba.

Consola de administración de AWS
Para configurar los registros de auditoría del programador con la consola

  1. Abra la consola AWS PCS.

  2. En el panel de navegación, seleccione Clusters (Clústeres).

  3. Elija el clúster en el que desee añadir los registros de auditoría del programador.

  4. En la página de detalles del clúster, seleccione la pestaña Registros.

  5. En Registros de auditoría del programador, selecciona Añadir para añadir hasta 3 destinos de entrega de CloudWatch registros de entre Logs, Amazon S3 y Firehose.

  6. Selecciona Actualizar entregas de registros.

AWS CLI
Para configurar los registros de auditoría del programador con AWS CLI

  1. Cree un destino de entrega de registros:

    aws logs put-delivery-destination --region region \
  --name pcs-audit-logs-destination \
  --delivery-destination-configuration \
  destinationResourceArn=resource-arn

    Reemplace:

    • region— El Región de AWS lugar en el que desea crear el destino, por ejemplo us-east-1

    • pcs-audit-logs-destination— Un nombre para el destino

    • resource-arn— El nombre de recurso de Amazon (ARN) de un grupo de CloudWatch registros de Logs, un bucket de S3 o una transmisión de entrega de Firehose.

    Para obtener más información, consulta PutDeliveryDestinationla referencia de la API CloudWatch de Amazon Logs.

  2. Configure el clúster de PCS como fuente de entrega de registros:

    aws logs put-delivery-source --region region \
  --name cluster-audit-logs-source-name \
  --resource-arn cluster-arn \
  --log-type PCS_SCHEDULER_AUDIT_LOGS

    Reemplace:

    • region— El Región de AWS de su clúster, como us-east-1

    • cluster-audit-logs-source-name— Un nombre para la fuente

    • cluster-arn— el ARN de su AWS clúster PCS

    Para obtener más información, consulta PutDeliverySourcela referencia de la API CloudWatch de Amazon Logs.

  3. Conecta la fuente de entrega al destino de entrega:

    aws logs create-delivery --region region \
  --delivery-source-name cluster-audit-logs-source \
  --delivery-destination-arn destination-arn

    Reemplace:

    • region— Los Región de AWS, como us-east-1

    • cluster-audit-logs-source— El nombre de su fuente de entrega

    • destination-arn— El ARN de su destino de entrega

    Para obtener más información, consulta CreateDeliveryla referencia de la API CloudWatch de Amazon Logs.

El programador audita las rutas y los nombres de los flujos de registro

La ruta y el nombre de los registros de auditoría del programador de AWS PCS dependen del tipo de destino.

  • CloudWatch Registros

    • Un flujo CloudWatch de registros sigue esta convención de nomenclatura.

      AWSLogs/PCS/${cluster_id}/${log_name}_${scheduler_major_version}_audit.log

      Dónde ${log_name} está slurmctld oslurmdbd.

      ejemplo
      AWSLogs/PCS/abcdef0123/slurmctld_25.11_audit.log
AWSLogs/PCS/abcdef0123/slurmdbd_25.11_audit.log

  • Bucket de S3

    • La ruta de salida de un bucket de S3 sigue esta convención de nomenclatura:

      AWSLogs/${account-id}/PCS/${region}/${cluster_id}/scheduler_audit/${log_name}/yyyy/MM/dd/HH/
      ejemplo
      AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmctld/2026/03/01/00/
AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmdbd/2026/03/01/00/

Ejemplo de registro de auditoría del programador

AWS Los registros de auditoría del programador PCS están estructurados. Utilizan el mismo esquema que los registros del programador, y el mensaje de registro contiene el AUDIT_RPCS: prefijo. Este es un ejemplo de. slurmctld

{
    "resource_id": "pcs_bu93qsds2j",
    "resource_type": "PCS_CLUSTER",
    "event_timestamp": 1774481175953,
    "log_level": "info",
    "log_name": "slurmctld",
    "scheduler_type": "slurm",
    "scheduler_major_version": "25.11",
    "scheduler_patch_version": "2",
    "node_type": "controller_primary",
    "message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: [slurmctld-primary:6817(fd:18)] msg_type=REQUEST_PARTITION_INFO uid=0 client=[10.0.76.95:56918]\n"
}

Aquí hay un ejemplo deslurmdbd.

{
    "resource_id": "pcs_bu93qsds2j",
    "resource_type": "PCS_CLUSTER",
    "event_timestamp": 1774485082772,
    "log_level": "info",
    "log_name": "slurmdbd",
    "scheduler_type": "slurm",
    "scheduler_major_version": "25.11",
    "scheduler_patch_version": "2",
    "node_type": "slurmdbd_primary",
    "message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: msg_type=DBD_GET_CLUSTERS uid=0 client=[28.5.0.18:36658] protocol=11008\n"
}

Comportamiento del registro de auditoría según la versión de Slurm

La siguiente tabla describe cómo se entregan los registros de auditoría en función de la versión de Slurm que se ejecute en el clúster.

Versión de Slurm PCS_SCHEDULER_LOGScontiene PCS_SCHEDULER_AUDIT_LOGSdisponible
Antes del 25.11 Todos los registros, incluidos los registros de auditoría No
25.11 y versiones posteriores Solo registros operativos (se han eliminado los registros de auditoría) Sí (opcional)