View a markdown version of this page

Registros de auditoria do Scheduler no AWS PCS - AWS PCS
Pré-requisitosConfigurar registros de auditoria do agendadorCaminhos e nomes do fluxo do log de auditoria do SchedulerExemplo de registro de registro de auditoria do agendadorComportamento do log de auditoria por versão do Slurm

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registros de auditoria do Scheduler no AWS PCS

Os registros de auditoria do agendador registram as operações de Chamada de Procedimento Remoto (RPC) processadas pelo controlador Slurm (slurmctld) e pelo daemon do banco de dados () do seu cluster. slurmdbd O AUDIT_RPCS: prefixo na mensagem de registro identifica esses registros. Eles oferecem suporte a casos de uso de auditoria de segurança e conformidade.

Para clusters que executam o Slurm 25.11 e versões posteriores, o AWS PCS fornece registros de auditoria separadamente por meio do PCS_SCHEDULER_AUDIT_LOGS tipo de log. Essa separação permite controlar os custos de ingestão e armazenamento de registros de auditoria independentemente dos registros operacionais, pois os registros de auditoria podem representar até 90% do volume de registros do agendador.

nota

Para clusters que executam versões do Slurm anteriores à 25.11, os registros de auditoria permanecem ativos PCS_SCHEDULER_LOGS e o tipo de PCS_SCHEDULER_AUDIT_LOGS registro não está disponível. Para obter mais informações sobre os registros do agendador, consulteLogs do agendador no AWS PCS.

Pré-requisitos

Antes de configurar os registros de auditoria do agendador, você deve atender aos seguintes requisitos:

  • Seu cluster deve estar executando o Slurm 25.11 ou posterior.

  • O diretor do IAM que gerencia o cluster AWS PCS deve permitir a pcs:AllowVendedLogDeliveryForResource ação.

O exemplo a seguir da política do IAM concede as permissões necessárias.

JSON
{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Sid": "PcsAllowVendedLogsDelivery",
         "Effect": "Allow",
         "Action": ["pcs:AllowVendedLogDeliveryForResource"],
         "Resource": [
            "arn:aws:pcs:*::cluster/*"
         ]
      }
   ]
}

Configurar registros de auditoria do agendador

Você pode configurar registros de auditoria do agendador para seu cluster AWS PCS com o Console de gerenciamento da AWS ou AWS CLI. Os registros de auditoria do Scheduler são opcionais. AWS O PCS não os entrega até que você se inscreva.

Console de gerenciamento da AWS
Para configurar os registros de auditoria do agendador com o console

  1. Abra o console AWS PCS.

  2. No painel de navegação, escolha Clusters.

  3. Escolha o cluster ao qual você deseja adicionar os registros de auditoria do agendador.

  4. Na página de detalhes do cluster, escolha a guia Registros.

  5. Em Scheduler Audit Logs, escolha Add para adicionar até 3 destinos de entrega de CloudWatch logs entre Logs, Amazon S3 e Firehose.

  6. Escolha Atualizar entregas de registros.

AWS CLI
Para configurar os registros de auditoria do agendador com o AWS CLI

  1. Crie um destino de entrega de registros:

    aws logs put-delivery-destination --region region \
  --name pcs-audit-logs-destination \
  --delivery-destination-configuration \
  destinationResourceArn=resource-arn

    Substitua:

    • region— O Região da AWS local onde você deseja criar o destino, como us-east-1

    • pcs-audit-logs-destination— Um nome para o destino

    • resource-arn— O Amazon Resource Name (ARN) de um grupo de CloudWatch logs do Logs, bucket do S3 ou stream de entrega do Firehose.

    Para obter mais informações, consulte PutDeliveryDestinationa Referência da API Amazon CloudWatch Logs.

  2. Defina o cluster PCS como uma fonte de entrega de registros:

    aws logs put-delivery-source --region region \
  --name cluster-audit-logs-source-name \
  --resource-arn cluster-arn \
  --log-type PCS_SCHEDULER_AUDIT_LOGS

    Substitua:

    • region— O Região da AWS do seu cluster, como us-east-1

    • cluster-audit-logs-source-name— Um nome para a fonte

    • cluster-arn— o ARN do seu AWS cluster PCS

    Para obter mais informações, consulte PutDeliverySourcea Referência da API Amazon CloudWatch Logs.

  3. Conecte a fonte de entrega ao destino da entrega:

    aws logs create-delivery --region region \
  --delivery-source-name cluster-audit-logs-source \
  --delivery-destination-arn destination-arn

    Substitua:

    • region— O Região da AWS, como us-east-1

    • cluster-audit-logs-source— O nome da sua fonte de entrega

    • destination-arn— O ARN do seu destino de entrega

    Para obter mais informações, consulte CreateDeliverya Referência da API Amazon CloudWatch Logs.

Caminhos e nomes do fluxo do log de auditoria do Scheduler

O caminho e o nome dos registros de auditoria do agendador AWS PCS dependem do tipo de destino.

  • CloudWatch Logs

    • Um stream de CloudWatch registros segue essa convenção de nomenclatura.

      AWSLogs/PCS/${cluster_id}/${log_name}_${scheduler_major_version}_audit.log

      Onde ${log_name} está slurmctld ouslurmdbd.

      exemplo
      AWSLogs/PCS/abcdef0123/slurmctld_25.11_audit.log
AWSLogs/PCS/abcdef0123/slurmdbd_25.11_audit.log

  • Bucket do S3

    • Um caminho de saída do bucket S3 segue esta convenção de nomenclatura:

      AWSLogs/${account-id}/PCS/${region}/${cluster_id}/scheduler_audit/${log_name}/yyyy/MM/dd/HH/
      exemplo
      AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmctld/2026/03/01/00/
AWSLogs/111111111111/PCS/us-east-2/abcdef0123/scheduler_audit/slurmdbd/2026/03/01/00/

Exemplo de registro de registro de auditoria do agendador

AWS Os registros de auditoria do agendador PCS são estruturados. Eles usam o mesmo esquema dos registros do agendador, com a mensagem de registro contendo o AUDIT_RPCS: prefixo. Aqui está um exemplo deslurmctld.

{
    "resource_id": "pcs_bu93qsds2j",
    "resource_type": "PCS_CLUSTER",
    "event_timestamp": 1774481175953,
    "log_level": "info",
    "log_name": "slurmctld",
    "scheduler_type": "slurm",
    "scheduler_major_version": "25.11",
    "scheduler_patch_version": "2",
    "node_type": "controller_primary",
    "message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: [slurmctld-primary:6817(fd:18)] msg_type=REQUEST_PARTITION_INFO uid=0 client=[10.0.76.95:56918]\n"
}

Aqui está um exemplo deslurmdbd.

{
    "resource_id": "pcs_bu93qsds2j",
    "resource_type": "PCS_CLUSTER",
    "event_timestamp": 1774485082772,
    "log_level": "info",
    "log_name": "slurmdbd",
    "scheduler_type": "slurm",
    "scheduler_major_version": "25.11",
    "scheduler_patch_version": "2",
    "node_type": "slurmdbd_primary",
    "message": "[2026-01-21T08:19:26.692+00:00] AUDIT_RPCS: msg_type=DBD_GET_CLUSTERS uid=0 client=[28.5.0.18:36658] protocol=11008\n"
}

Comportamento do log de auditoria por versão do Slurm

A tabela a seguir descreve como os registros de auditoria são entregues, dependendo da versão do Slurm em execução no seu cluster.

Versão Slurm PCS_SCHEDULER_LOGScontém PCS_SCHEDULER_AUDIT_LOGSdisponível
Antes de 25.11 Todos os registros, incluindo registros de auditoria Não
25.11 e versões posteriores Somente registros operacionais (registros de auditoria removidos) Sim (opcional)