Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Journaux d'audit du planificateur dans PCS AWS
<a name="monitoring_scheduler-audit-logs"></a>

Les journaux d'audit du planificateur enregistrent les opérations RPC (Remote Procedure Call) traitées par le contrôleur Slurm () et le démon de base de données (`slurmctld`) de votre cluster. `slurmdbd` Le `AUDIT_RPCS:` préfixe figurant dans le message de journal identifie ces journaux. Ils prennent en charge les audits de sécurité et les cas d'utilisation de la conformité.

Pour les clusters exécutant Slurm 25.11 et versions ultérieures, AWS PCS fournit des journaux d'audit séparément via le `PCS_SCHEDULER_AUDIT_LOGS` type de journal. Cette séparation vous permet de contrôler l'ingestion des journaux d'audit et les coûts de stockage indépendamment de vos journaux opérationnels, car les journaux d'audit peuvent représenter jusqu'à 90 % du volume des journaux du planificateur.

**Note**  
Pour les clusters exécutant des versions de Slurm antérieures à 25.11, les journaux d'audit sont conservés `PCS_SCHEDULER_LOGS` et le type de `PCS_SCHEDULER_AUDIT_LOGS` journal n'est pas disponible. Pour plus d'informations sur les journaux du planificateur, consultez. [Le planificateur enregistre dans PCS AWS](monitoring_scheduler-logs.md)

**Contents**
+ [Conditions préalables](#monitoring_scheduler-audit-logs_prereqs)
+ [Configurer les journaux d'audit du planificateur](#monitoring_scheduler-audit-logs_setup)
+ [Chemins et noms des flux du journal d'audit du planificateur](#monitoring_scheduler-audit-logs_paths)
+ [Exemple d'enregistrement du journal d'audit du planificateur](#monitoring_scheduler-audit-logs_record)
+ [Comportement du journal d'audit par version de Slurm](#monitoring_scheduler-audit-logs_behavior)

## Conditions préalables
<a name="monitoring_scheduler-audit-logs_prereqs"></a>

Avant de pouvoir configurer les journaux d'audit du planificateur, vous devez satisfaire aux exigences suivantes :
+ Votre cluster doit exécuter **Slurm 25.11** ou version ultérieure.
+ Le principal IAM qui gère le cluster AWS PCS doit autoriser l'`pcs:AllowVendedLogDeliveryForResource`action.

L'exemple de politique IAM suivant accorde les autorisations requises.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Sid": "PcsAllowVendedLogsDelivery",
         "Effect": "Allow",
         "Action": ["pcs:AllowVendedLogDeliveryForResource"],
         "Resource": [
            "arn:aws:pcs:*::cluster/*"
         ]
      }
   ]
}
```

------

## Configurer les journaux d'audit du planificateur
<a name="monitoring_scheduler-audit-logs_setup"></a>

Vous pouvez configurer les journaux d'audit du planificateur pour votre cluster AWS PCS à l'aide du AWS Management Console ou. AWS CLI Les journaux d'audit du planificateur sont facultatifs. AWS PCS ne les livre pas tant que vous ne vous êtes pas abonné.

------
#### [ AWS Management Console ]

**Pour configurer les journaux d'audit du planificateur à l'aide de la console**

1. Ouvrez la [console AWS PCS](https://console.aws.amazon.com/pcs).

1. Dans le panneau de navigation, choisissez **Clusters**.

1. Choisissez le cluster dans lequel vous souhaitez ajouter les journaux d'audit du planificateur.

1. Sur la page des détails du cluster, choisissez l'onglet **Logs**.

1. Sous **Scheduler Audit Logs**, choisissez **Ajouter** pour ajouter jusqu'à 3 destinations de livraison de CloudWatch journaux parmi Logs, Amazon S3 et Firehose.

1. Choisissez **Mettre à jour les livraisons de journaux**.

------
#### [ AWS CLI ]

**Pour configurer les journaux d'audit du planificateur à l'aide du AWS CLI**

1. Créez une destination de livraison du journal :

   ```
   aws logs put-delivery-destination --region {{region}} \
     --name {{pcs-audit-logs-destination}} \
     --delivery-destination-configuration \
     destinationResourceArn={{resource-arn}}
   ```

   Remplacez :
   + {{region}}— L' Région AWS endroit où vous souhaitez créer la destination, tel que `us-east-1`
   + {{pcs-audit-logs-destination}}— Un nom pour la destination
   + {{resource-arn}}— Le nom de ressource Amazon (ARN) d'un groupe de CloudWatch journaux Logs, d'un compartiment S3 ou d'un flux de diffusion Firehose.

   Pour plus d'informations, consultez [PutDeliveryDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html)le manuel *Amazon CloudWatch Logs API Reference*.

1. Définissez le cluster PCS comme source de livraison de journaux :

   ```
   aws logs put-delivery-source --region {{region}} \
     --name {{cluster-audit-logs-source-name}} \
     --resource-arn {{cluster-arn}} \
     --log-type PCS_SCHEDULER_AUDIT_LOGS
   ```

   Remplacez :
   + {{region}}— Le Région AWS nom de votre cluster, tel que `us-east-1`
   + {{cluster-audit-logs-source-name}}— Un nom pour la source
   + {{cluster-arn}}— l'ARN de votre cluster AWS PCS

   Pour plus d'informations, consultez [PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html)le manuel *Amazon CloudWatch Logs API Reference*.

1. Connectez la source de livraison à la destination de livraison :

   ```
   aws logs create-delivery --region {{region}} \
     --delivery-source-name {{cluster-audit-logs-source}} \
     --delivery-destination-arn {{destination-arn}}
   ```

   Remplacez :
   + {{region}}— Le Région AWS, tel que `us-east-1`
   + {{cluster-audit-logs-source}}— Le nom de votre source de livraison
   + {{destination-arn}}— L'ARN de votre destination de livraison

   Pour plus d'informations, consultez [CreateDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html)le manuel *Amazon CloudWatch Logs API Reference*.

------

## Chemins et noms des flux du journal d'audit du planificateur
<a name="monitoring_scheduler-audit-logs_paths"></a>

Le chemin et le nom des journaux d'audit du planificateur AWS PCS dépendent du type de destination.
+ **CloudWatch Journaux**
  + Un flux CloudWatch Logs suit cette convention de dénomination.

    ```
    AWSLogs/PCS/${cluster_id}/${log_name}_${scheduler_major_version}_audit.log
    ```

    Où se `${log_name}` trouve `slurmctld` ou`slurmdbd`.  
**Example**  

    ```
    AWSLogs/PCS/abcdef0123/slurmctld_25.11_audit.log
    AWSLogs/PCS/abcdef0123/slurmdbd_25.11_audit.log
    ```
+ **Compartiment S3**
  + Le chemin de sortie d'un compartiment S3 suit cette convention de dénomination :

    ```
    AWSLogs/${account-id}/PCS/${region}/${cluster_id}/scheduler_audit/${log_name}/yyyy/MM/dd/HH/
    ```  
**Example**  

    ```
    AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmctld/2026/03/01/00/
    AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmdbd/2026/03/01/00/
    ```

## Exemple d'enregistrement du journal d'audit du planificateur
<a name="monitoring_scheduler-audit-logs_record"></a>

AWS Les journaux d'audit du planificateur PCS sont structurés. Ils utilisent le même schéma que les journaux du planificateur, le message du journal contenant le `AUDIT_RPCS:` préfixe. Voici un exemple tiré de`slurmctld`.

```
{
    "resource_id": "pcs_bu93qsds2j",
    "resource_type": "PCS_CLUSTER",
    "event_timestamp": 1774481175953,
    "log_level": "info",
    "log_name": "slurmctld",
    "scheduler_type": "slurm",
    "scheduler_major_version": "25.11",
    "scheduler_patch_version": "2",
    "node_type": "controller_primary",
    "message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: [slurmctld-primary:6817(fd:18)] msg_type=REQUEST_PARTITION_INFO uid=0 client=[10.0.76.95:56918]\n"
}
```

Voici un exemple tiré de`slurmdbd`.

```
{
    "resource_id": "pcs_bu93qsds2j",
    "resource_type": "PCS_CLUSTER",
    "event_timestamp": 1774485082772,
    "log_level": "info",
    "log_name": "slurmdbd",
    "scheduler_type": "slurm",
    "scheduler_major_version": "25.11",
    "scheduler_patch_version": "2",
    "node_type": "slurmdbd_primary",
    "message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: msg_type=DBD_GET_CLUSTERS uid=0 client=[28.5.0.18:36658] protocol=11008\n"
}
```

## Comportement du journal d'audit par version de Slurm
<a name="monitoring_scheduler-audit-logs_behavior"></a>

Le tableau suivant décrit la manière dont les journaux d'audit sont fournis en fonction de la version de Slurm exécutée sur votre cluster.


| Version Slurm | `PCS_SCHEDULER_LOGS`contient | `PCS_SCHEDULER_AUDIT_LOGS`disponible | 
| --- | --- | --- | 
| Antérieur au 25.11 | Tous les journaux, y compris les journaux d'audit | Non | 
| 25.11 et versions ultérieures | Journaux opérationnels uniquement (journaux d'audit supprimés) | Oui (opt-in) |