翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# PCS AWS のスケジューラ監査ログ
スケジューラの監査ログには、クラスターの Slurm コントローラー () とデータベースデーモン () によって処理されたリモートプロシージャコール (RPC`slurmctld`) オペレーションが記録されます`slurmdbd`。ログメッセージの`AUDIT_RPCS:`プレフィックスは、これらのログを識別します。セキュリティ監査とコンプライアンスのユースケースをサポートしています。
Slurm 25.11 以降を実行しているクラスターの場合、 AWS PCS は監査ログを `PCS_SCHEDULER_AUDIT_LOGS` ログタイプを介して個別に配信します。この分離により、監査ログがスケジューラログボリュームの最大 90% を占める可能性があるため、監査ログの取り込みとストレージのコストを運用ログとは独立して制御できます。
**注記**
25.11 より前のバージョンの Slurm を実行しているクラスターの場合、監査ログは に残り`PCS_SCHEDULER_LOGS`、`PCS_SCHEDULER_AUDIT_LOGS`ログタイプは使用できません。スケジューラログの詳細については、「」を参照してください[PCS AWS のスケジューラログ](monitoring_scheduler-logs.md)。
**Contents**
+ [前提条件](#monitoring_scheduler-audit-logs_prereqs)
+ [スケジューラの監査ログを設定する](#monitoring_scheduler-audit-logs_setup)
+ [スケジューラの監査ログストリームのパスと名前](#monitoring_scheduler-audit-logs_paths)
+ [スケジューラの監査ログレコードの例](#monitoring_scheduler-audit-logs_record)
+ [Slurm バージョン別の監査ログの動作](#monitoring_scheduler-audit-logs_behavior)
## 前提条件
スケジューラの監査ログを設定する前に、次の要件を満たす必要があります。
+ クラスターは **Slurm 25.11 以降**を実行している必要があります。
+ PCS クラスターを管理する IAM AWS プリンシパルは、 `pcs:AllowVendedLogDeliveryForResource`アクションを許可する必要があります。
次の IAM ポリシーの例では、必要なアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PcsAllowVendedLogsDelivery",
"Effect": "Allow",
"Action": ["pcs:AllowVendedLogDeliveryForResource"],
"Resource": [
"arn:aws:pcs:*::cluster/*"
]
}
]
}
```
------
## スケジューラの監査ログを設定する
AWS マネジメントコンソール または を使用して、PCS AWS クラスターのスケジューラ監査ログを設定できます AWS CLI。スケジューラ監査ログはオプトインです。 AWS PCS はサブスクライブするまでそれらを配信しません。
------
#### [ AWS マネジメントコンソール ]
**コンソールでスケジューラ監査ログを設定するには**
1. [AWS PCS コンソール](https://console.aws.amazon.com/pcs)を開きます。
1. ナビゲーションペインで **[Clusters]** (クラスター) を選択してください。
1. スケジューラ監査ログを追加するクラスターを選択します。
1. クラスターの詳細ページで、**ログ**タブを選択します。
1. ス**ケジューラ監査ログで**、**追加** を選択して、CloudWatch Logs、Amazon S3、Firehose の中から最大 3 つのログ配信先を追加します。
1. **ログ配信の更新** を選択します。
------
#### [ AWS CLI ]
**を使用してスケジューラ監査ログを設定するには AWS CLI**
1. ログ配信先を作成します。
```
aws logs put-delivery-destination --region {{region}} \
--name {{pcs-audit-logs-destination}} \
--delivery-destination-configuration \
destinationResourceArn={{resource-arn}}
```
置き換え前:
+ region — など、送信先を作成する AWS リージョン {{。}} `us-east-1`
+ {{pcs-audit-logs-destination}} — 送信先の名前
+ {{resource-arn}} — CloudWatch Logs ロググループ、S3 バケット、または Firehose 配信ストリームの Amazon リソースネーム (ARN)。
詳細については、「*Amazon CloudWatch Logs API Reference*」の「[PutDeliveryDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html)」を参照してください。
1. PCS クラスターをログ配信ソースとして設定します。
```
aws logs put-delivery-source --region {{region}} \
--name {{cluster-audit-logs-source-name}} \
--resource-arn {{cluster-arn}} \
--log-type PCS_SCHEDULER_AUDIT_LOGS
```
置き換え前:
+ {{region}} — クラスター AWS リージョン の など。 `us-east-1`
+ {{cluster-audit-logs-source-name}} — ソースの名前
+ {{cluster-arn}} — AWS PCS クラスターの ARN
詳細については、*Amazon CloudWatch Logs API リファレンス*」の[PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html)」を参照してください。
1. 配信ソースを配信先に接続します。
```
aws logs create-delivery --region {{region}} \
--delivery-source-name {{cluster-audit-logs-source}} \
--delivery-destination-arn {{destination-arn}}
```
置き換え前:
+ region — AWS リージョンなどの {{。}} `us-east-1`
+ {{cluster-audit-logs-source}} — 配信ソースの名前
+ {{destination-arn}} — 配信先の ARN
詳細については、*Amazon CloudWatch Logs API リファレンス*」の[CreateDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html)」を参照してください。
------
## スケジューラの監査ログストリームのパスと名前
AWS PCS スケジューラ監査ログのパスと名前は、送信先タイプによって異なります。
+ **CloudWatch Logs**
+ CloudWatch Logs ストリームは、この命名規則に従います。
```
AWSLogs/PCS/${cluster_id}/${log_name}_${scheduler_major_version}_audit.log
```
ここで、 `${log_name}`は `slurmctld`または です`slurmdbd`。
**Example**
```
AWSLogs/PCS/abcdef0123/slurmctld_25.11_audit.log
AWSLogs/PCS/abcdef0123/slurmdbd_25.11_audit.log
```
+ **S3 バケット**
+ S3 バケット出力パスは次の命名規則に従います。
```
AWSLogs/${account-id}/PCS/${region}/${cluster_id}/scheduler_audit/${log_name}/yyyy/MM/dd/HH/
```
**Example**
```
AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmctld/2026/03/01/00/
AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmdbd/2026/03/01/00/
```
## スケジューラの監査ログレコードの例
AWS PCS スケジューラの監査ログは構造化されています。スケジューラログと同じスキーマを使用し、 `AUDIT_RPCS:` プレフィックスを含むログメッセージを使用します。の例を次に示します`slurmctld`。
```
{
"resource_id": "pcs_bu93qsds2j",
"resource_type": "PCS_CLUSTER",
"event_timestamp": 1774481175953,
"log_level": "info",
"log_name": "slurmctld",
"scheduler_type": "slurm",
"scheduler_major_version": "25.11",
"scheduler_patch_version": "2",
"node_type": "controller_primary",
"message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: [slurmctld-primary:6817(fd:18)] msg_type=REQUEST_PARTITION_INFO uid=0 client=[10.0.76.95:56918]\n"
}
```
の例を次に示します`slurmdbd`。
```
{
"resource_id": "pcs_bu93qsds2j",
"resource_type": "PCS_CLUSTER",
"event_timestamp": 1774485082772,
"log_level": "info",
"log_name": "slurmdbd",
"scheduler_type": "slurm",
"scheduler_major_version": "25.11",
"scheduler_patch_version": "2",
"node_type": "slurmdbd_primary",
"message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: msg_type=DBD_GET_CLUSTERS uid=0 client=[28.5.0.18:36658] protocol=11008\n"
}
```
## Slurm バージョン別の監査ログの動作
次の表は、クラスターで実行されている Slurm バージョンに応じて、監査ログがどのように配信されるかを示しています。
| Slurm バージョン | `PCS_SCHEDULER_LOGS` を含む | `PCS_SCHEDULER_AUDIT_LOGS` 使用可能 |
| --- | --- | --- |
| 25.11 より前 | 監査ログを含むすべてのログ | いいえ |
| 25.11 以降 | 運用ログのみ (監査ログの削除) | はい (オプトイン) |