View a markdown version of this page

PCS AWS のスケジューラ監査ログ - AWS PCS
前提条件スケジューラの監査ログを設定するスケジューラの監査ログストリームのパスと名前スケジューラの監査ログレコードの例Slurm バージョン別の監査ログの動作

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

PCS AWS のスケジューラ監査ログ

スケジューラの監査ログには、クラスターの Slurm コントローラー () とデータベースデーモン () によって処理されたリモートプロシージャコール (RPCslurmctld) オペレーションが記録されますslurmdbd。ログメッセージのAUDIT_RPCS:プレフィックスは、これらのログを識別します。セキュリティ監査とコンプライアンスのユースケースをサポートしています。

Slurm 25.11 以降を実行しているクラスターの場合、 AWS PCS は監査ログを PCS_SCHEDULER_AUDIT_LOGS ログタイプを介して個別に配信します。この分離により、監査ログがスケジューラログボリュームの最大 90% を占める可能性があるため、監査ログの取り込みとストレージのコストを運用ログとは独立して制御できます。

注記

25.11 より前のバージョンの Slurm を実行しているクラスターの場合、監査ログは に残りPCS_SCHEDULER_LOGSPCS_SCHEDULER_AUDIT_LOGSログタイプは使用できません。スケジューラログの詳細については、「」を参照してくださいPCS AWS のスケジューラログ

前提条件

スケジューラの監査ログを設定する前に、次の要件を満たす必要があります。

  • クラスターは Slurm 25.11 以降を実行している必要があります。

  • PCS クラスターを管理する IAM AWS プリンシパルは、 pcs:AllowVendedLogDeliveryForResourceアクションを許可する必要があります。

次の IAM ポリシーの例では、必要なアクセス許可を付与します。

JSON
{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Sid": "PcsAllowVendedLogsDelivery",
         "Effect": "Allow",
         "Action": ["pcs:AllowVendedLogDeliveryForResource"],
         "Resource": [
            "arn:aws:pcs:*::cluster/*"
         ]
      }
   ]
}

スケジューラの監査ログを設定する

AWS マネジメントコンソール または を使用して、PCS AWS クラスターのスケジューラ監査ログを設定できます AWS CLI。スケジューラ監査ログはオプトインです。 AWS PCS はサブスクライブするまでそれらを配信しません。

AWS マネジメントコンソール
コンソールでスケジューラ監査ログを設定するには

  1. AWS PCS コンソールを開きます。

  2. ナビゲーションペインで [Clusters] (クラスター) を選択してください。

  3. スケジューラ監査ログを追加するクラスターを選択します。

  4. クラスターの詳細ページで、ログタブを選択します。

  5. ケジューラ監査ログで追加 を選択して、CloudWatch Logs、Amazon S3、Firehose の中から最大 3 つのログ配信先を追加します。

  6. ログ配信の更新 を選択します。

AWS CLI
を使用してスケジューラ監査ログを設定するには AWS CLI

  1. ログ配信先を作成します。

    aws logs put-delivery-destination --region region \
  --name pcs-audit-logs-destination \
  --delivery-destination-configuration \
  destinationResourceArn=resource-arn

    置き換え前:

    • region — など、送信先を作成する AWS リージョン us-east-1

    • pcs-audit-logs-destination — 送信先の名前

    • resource-arn — CloudWatch Logs ロググループ、S3 バケット、または Firehose 配信ストリームの Amazon リソースネーム (ARN)。

    詳細については、「Amazon CloudWatch Logs API Reference」の「PutDeliveryDestination」を参照してください。

  2. PCS クラスターをログ配信ソースとして設定します。

    aws logs put-delivery-source --region region \
  --name cluster-audit-logs-source-name \
  --resource-arn cluster-arn \
  --log-type PCS_SCHEDULER_AUDIT_LOGS

    置き換え前:

    • region — クラスター AWS リージョン の など。 us-east-1

    • cluster-audit-logs-source-name — ソースの名前

    • cluster-arn — AWS PCS クラスターの ARN

    詳細については、Amazon CloudWatch Logs API リファレンス」のPutDeliverySource」を参照してください。

  3. 配信ソースを配信先に接続します。

    aws logs create-delivery --region region \
  --delivery-source-name cluster-audit-logs-source \
  --delivery-destination-arn destination-arn

    置き換え前:

    • region — AWS リージョンなどの us-east-1

    • cluster-audit-logs-source — 配信ソースの名前

    • destination-arn — 配信先の ARN

    詳細については、Amazon CloudWatch Logs API リファレンス」のCreateDelivery」を参照してください。

スケジューラの監査ログストリームのパスと名前

AWS PCS スケジューラ監査ログのパスと名前は、送信先タイプによって異なります。

  • CloudWatch Logs

    • CloudWatch Logs ストリームは、この命名規則に従います。

      AWSLogs/PCS/${cluster_id}/${log_name}_${scheduler_major_version}_audit.log

      ここで、 ${log_name}slurmctldまたは ですslurmdbd

      AWSLogs/PCS/abcdef0123/slurmctld_25.11_audit.log
AWSLogs/PCS/abcdef0123/slurmdbd_25.11_audit.log

  • S3 バケット

    • S3 バケット出力パスは次の命名規則に従います。

      AWSLogs/${account-id}/PCS/${region}/${cluster_id}/scheduler_audit/${log_name}/yyyy/MM/dd/HH/
      AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmctld/2026/03/01/00/
AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmdbd/2026/03/01/00/

スケジューラの監査ログレコードの例

AWS PCS スケジューラの監査ログは構造化されています。スケジューラログと同じスキーマを使用し、 AUDIT_RPCS: プレフィックスを含むログメッセージを使用します。の例を次に示しますslurmctld

{
    "resource_id": "pcs_bu93qsds2j",
    "resource_type": "PCS_CLUSTER",
    "event_timestamp": 1774481175953,
    "log_level": "info",
    "log_name": "slurmctld",
    "scheduler_type": "slurm",
    "scheduler_major_version": "25.11",
    "scheduler_patch_version": "2",
    "node_type": "controller_primary",
    "message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: [slurmctld-primary:6817(fd:18)] msg_type=REQUEST_PARTITION_INFO uid=0 client=[10.0.76.95:56918]\n"
}

の例を次に示しますslurmdbd

{
    "resource_id": "pcs_bu93qsds2j",
    "resource_type": "PCS_CLUSTER",
    "event_timestamp": 1774485082772,
    "log_level": "info",
    "log_name": "slurmdbd",
    "scheduler_type": "slurm",
    "scheduler_major_version": "25.11",
    "scheduler_patch_version": "2",
    "node_type": "slurmdbd_primary",
    "message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: msg_type=DBD_GET_CLUSTERS uid=0 client=[28.5.0.18:36658] protocol=11008\n"
}

Slurm バージョン別の監査ログの動作

次の表は、クラスターで実行されている Slurm バージョンに応じて、監査ログがどのように配信されるかを示しています。

Slurm バージョン PCS_SCHEDULER_LOGS を含む PCS_SCHEDULER_AUDIT_LOGS 使用可能
25.11 より前 監査ログを含むすべてのログ いいえ
25.11 以降 運用ログのみ (監査ログの削除) はい (オプトイン)