View a markdown version of this page

Journaux d'audit du planificateur dans PCS AWS - AWS PCS
Conditions préalablesConfigurer les journaux d'audit du planificateurChemins et noms des flux du journal d'audit du planificateurExemple d'enregistrement du journal d'audit du planificateurComportement du journal d'audit par version de Slurm

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journaux d'audit du planificateur dans PCS AWS

Les journaux d'audit du planificateur enregistrent les opérations RPC (Remote Procedure Call) traitées par le contrôleur Slurm () et le démon de base de données (slurmctld) de votre cluster. slurmdbd Le AUDIT_RPCS: préfixe figurant dans le message de journal identifie ces journaux. Ils prennent en charge les audits de sécurité et les cas d'utilisation de la conformité.

Pour les clusters exécutant Slurm 25.11 et versions ultérieures, AWS PCS fournit des journaux d'audit séparément via le PCS_SCHEDULER_AUDIT_LOGS type de journal. Cette séparation vous permet de contrôler l'ingestion des journaux d'audit et les coûts de stockage indépendamment de vos journaux opérationnels, car les journaux d'audit peuvent représenter jusqu'à 90 % du volume des journaux du planificateur.

Note

Pour les clusters exécutant des versions de Slurm antérieures à 25.11, les journaux d'audit sont conservés PCS_SCHEDULER_LOGS et le type de PCS_SCHEDULER_AUDIT_LOGS journal n'est pas disponible. Pour plus d'informations sur les journaux du planificateur, consultez. Le planificateur enregistre dans PCS AWS

Conditions préalables

Avant de pouvoir configurer les journaux d'audit du planificateur, vous devez satisfaire aux exigences suivantes :

  • Votre cluster doit exécuter Slurm 25.11 ou version ultérieure.

  • Le principal IAM qui gère le cluster AWS PCS doit autoriser l'pcs:AllowVendedLogDeliveryForResourceaction.

L'exemple de politique IAM suivant accorde les autorisations requises.

JSON
{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Sid": "PcsAllowVendedLogsDelivery",
         "Effect": "Allow",
         "Action": ["pcs:AllowVendedLogDeliveryForResource"],
         "Resource": [
            "arn:aws:pcs:*::cluster/*"
         ]
      }
   ]
}

Configurer les journaux d'audit du planificateur

Vous pouvez configurer les journaux d'audit du planificateur pour votre cluster AWS PCS à l'aide du AWS Management Console ou. AWS CLI Les journaux d'audit du planificateur sont facultatifs. AWS PCS ne les livre pas tant que vous ne vous êtes pas abonné.

AWS Management Console
Pour configurer les journaux d'audit du planificateur à l'aide de la console

  1. Ouvrez la console AWS PCS.

  2. Dans le panneau de navigation, choisissez Clusters.

  3. Choisissez le cluster dans lequel vous souhaitez ajouter les journaux d'audit du planificateur.

  4. Sur la page des détails du cluster, choisissez l'onglet Logs.

  5. Sous Scheduler Audit Logs, choisissez Ajouter pour ajouter jusqu'à 3 destinations de livraison de CloudWatch journaux parmi Logs, Amazon S3 et Firehose.

  6. Choisissez Mettre à jour les livraisons de journaux.

AWS CLI
Pour configurer les journaux d'audit du planificateur à l'aide du AWS CLI

  1. Créez une destination de livraison du journal :

    aws logs put-delivery-destination --region region \
  --name pcs-audit-logs-destination \
  --delivery-destination-configuration \
  destinationResourceArn=resource-arn

    Remplacez :

    • region— L' Région AWS endroit où vous souhaitez créer la destination, tel que us-east-1

    • pcs-audit-logs-destination— Un nom pour la destination

    • resource-arn— Le nom de ressource Amazon (ARN) d'un groupe de CloudWatch journaux Logs, d'un compartiment S3 ou d'un flux de diffusion Firehose.

    Pour plus d'informations, consultez PutDeliveryDestinationle manuel Amazon CloudWatch Logs API Reference.

  2. Définissez le cluster PCS comme source de livraison de journaux :

    aws logs put-delivery-source --region region \
  --name cluster-audit-logs-source-name \
  --resource-arn cluster-arn \
  --log-type PCS_SCHEDULER_AUDIT_LOGS

    Remplacez :

    • region— Le Région AWS nom de votre cluster, tel que us-east-1

    • cluster-audit-logs-source-name— Un nom pour la source

    • cluster-arn— l'ARN de votre cluster AWS PCS

    Pour plus d'informations, consultez PutDeliverySourcele manuel Amazon CloudWatch Logs API Reference.

  3. Connectez la source de livraison à la destination de livraison :

    aws logs create-delivery --region region \
  --delivery-source-name cluster-audit-logs-source \
  --delivery-destination-arn destination-arn

    Remplacez :

    • region— Le Région AWS, tel que us-east-1

    • cluster-audit-logs-source— Le nom de votre source de livraison

    • destination-arn— L'ARN de votre destination de livraison

    Pour plus d'informations, consultez CreateDeliveryle manuel Amazon CloudWatch Logs API Reference.

Chemins et noms des flux du journal d'audit du planificateur

Le chemin et le nom des journaux d'audit du planificateur AWS PCS dépendent du type de destination.

  • CloudWatch Journaux

    • Un flux CloudWatch Logs suit cette convention de dénomination.

      AWSLogs/PCS/${cluster_id}/${log_name}_${scheduler_major_version}_audit.log

      Où se ${log_name} trouve slurmctld ouslurmdbd.

      Exemple
      AWSLogs/PCS/abcdef0123/slurmctld_25.11_audit.log
AWSLogs/PCS/abcdef0123/slurmdbd_25.11_audit.log

  • Compartiment S3

    • Le chemin de sortie d'un compartiment S3 suit cette convention de dénomination :

      AWSLogs/${account-id}/PCS/${region}/${cluster_id}/scheduler_audit/${log_name}/yyyy/MM/dd/HH/
      Exemple
      AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmctld/2026/03/01/00/
AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmdbd/2026/03/01/00/

Exemple d'enregistrement du journal d'audit du planificateur

AWS Les journaux d'audit du planificateur PCS sont structurés. Ils utilisent le même schéma que les journaux du planificateur, le message du journal contenant le AUDIT_RPCS: préfixe. Voici un exemple tiré deslurmctld.

{
    "resource_id": "pcs_bu93qsds2j",
    "resource_type": "PCS_CLUSTER",
    "event_timestamp": 1774481175953,
    "log_level": "info",
    "log_name": "slurmctld",
    "scheduler_type": "slurm",
    "scheduler_major_version": "25.11",
    "scheduler_patch_version": "2",
    "node_type": "controller_primary",
    "message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: [slurmctld-primary:6817(fd:18)] msg_type=REQUEST_PARTITION_INFO uid=0 client=[10.0.76.95:56918]\n"
}

Voici un exemple tiré deslurmdbd.

{
    "resource_id": "pcs_bu93qsds2j",
    "resource_type": "PCS_CLUSTER",
    "event_timestamp": 1774485082772,
    "log_level": "info",
    "log_name": "slurmdbd",
    "scheduler_type": "slurm",
    "scheduler_major_version": "25.11",
    "scheduler_patch_version": "2",
    "node_type": "slurmdbd_primary",
    "message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: msg_type=DBD_GET_CLUSTERS uid=0 client=[28.5.0.18:36658] protocol=11008\n"
}

Comportement du journal d'audit par version de Slurm

Le tableau suivant décrit la manière dont les journaux d'audit sont fournis en fonction de la version de Slurm exécutée sur votre cluster.

Version Slurm PCS_SCHEDULER_LOGScontient PCS_SCHEDULER_AUDIT_LOGSdisponible
Antérieur au 25.11 Tous les journaux, y compris les journaux d'audit Non
25.11 et versions ultérieures Journaux opérationnels uniquement (journaux d'audit supprimés) Oui (opt-in)