**帮助改进此页面** 

要帮助改进本用户指南，请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。

# EKS 自动模式的可观测性
<a name="auto-observability"></a>

通过本章了解 Amazon EKS 自动模式集群的可观测性选项。

**Topics**
+ [访问 EKS 自动模式的 AWS 托管组件日志](auto-managed-component-logs.md)

# 访问 EKS 自动模式的 AWS 托管组件日志
<a name="auto-managed-component-logs"></a>

您可以从 EKS 自动模式访问 AWS 托管组件日志，以更深入地了解集群操作。EKS 自动模式支持以下来源的日志：
+ 计算自动扩缩 - Karpenter
+ 数据块存储 - EBS CSI
+ 负载均衡 - AWS 负载均衡器控制器
+ 容器组（pod）联网 - VPC CNI IP 地址管理

日志可以传输到您选择的[交付目标](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html)。

创建 EKS 自动集群时，您可以选择启用控制面板日志记录（API 服务器、审计、身份验证器、控制器管理器、调度器）。EKS 自动托管组件日志（例如计算、数据块存储、负载均衡和 IPAM）需要通过日志传输进行单独配置。

## 设置日志传输
<a name="_setting_up_log_delivery"></a>

要为您的 EKS 自动模式集群配置 AWS 托管的组件日志传输，请使用 Amazon CloudWatch Logs API。有关详细设置说明，请参阅《Amazon CloudWatch Logs 用户指南》中的[从 AWS 服务中启用日志记录](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-vended-logs-permissions-V2.html)。每种自动模式功能都可以单独配置为一个 CloudWatch Vended Logs 传输源，这样您就可以选择想要访问的哪些日志了。

EKS 自动模式支持以下日志类型：
+  **AUTO\$1MODE\$1COMPUTE\$1LOGS** 
+  **AUTO\$1MODE\$1BLOCK\$1STORAGE\$1LOGS** 
+  **AUTO\$1MODE\$1LOAD\$1BALANCING\$1LOGS** 
+  **AUTO\$1MODE\$1IPAM\$1LOGS** 

### 使用 Amazon CloudWatch API
<a name="_using_amazon_cloudwatch_apis"></a>

设置日志记录需要三个步骤：

1. 使用 CloudWatch PutDeliverySource API 为该功能创建传输源

1. 使用 PutDeliveryDestination 创建传输目标

1. 使用 CreateDelivery 创建传输以连接来源和目标

您可以使用 CloudWatch PutDeliveryDestination API 中的 deliveryDestinationConfiguration 对象来配置自动模式日志目标的详细信息。它采用 CloudWatch 日志组、S3 存储桶或 Kinesis Data Firehose 传输流的 ARN。

您可以将单个自动模式功能（传输源）配置为通过创建多个传输将日志发送到多个目标。您也可以创建多个传输来配置多个传输源，以将日志发送到同一个传输目标。

### IAM 权限
<a name="_iam_permissions"></a>

根据所选的目标，您可能需要为 CloudWatch 日志组、S3 存储桶和 Kinesis Data Firehose 配置 IAM 策略或角色，以确保日志能够成功传输。此外，如果您要跨 AWS 账户发送日志，则需要使用 PutDeliveryDestinationPolicy API 来配置允许向目标传输日志的 IAM 策略。有关更多信息，请参阅 [CloudWatch Vended Logs 权限文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-V2-CloudWatchLogs)。

## 查看日志
<a name="_viewing_your_logs"></a>

日志传输一经配置，日志就会被传输至您指定的目标。访问日志的方法取决于您选择的目标类型：
+  **CloudWatch Logs**：在 CloudWatch Logs 控制台中查看日志、使用 AWS CLI 命令，或使用 CloudWatch Logs Insights 进行查询
+  **Amazon S3**：通过 S3 控制台、AWS CLI 或 Amazon Athena 等分析工具以 S3 存储桶中的对象形式访问日志
+  **Amazon Data Firehose**：日志将流式传输到您配置的 Firehose 目标（例如 S3、OpenSearch Service、Redshift 等）

## 定价
<a name="_pricing"></a>

CloudWatch Vended Logs 会根据您选择的传输目标来收取日志传输及存储费用。与标准的 CloudWatch Logs 相比，CloudWatch Vended Logs 通过内置的 AWS 身份验证和授权实现可靠、安全的日志传输，且价格更低。有关更多详细信息，请参阅 [CloudWatch 定价页面的 Vended Logs 部分](https://aws.amazon.com/cloudwatch/pricing/)。

### 相关资源
<a name="_related_resources"></a>
+  [Amazon EKS 控制面板日志记录](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html) 
+  CloudWatch Logs API 参考中的 [PutDeliverySource API](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html)
+  CloudWatch Logs API 参考中的 [PutDeliveryDestination API](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html)
+  CloudWatch Logs API 参考中的 [CreateDelivery API](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html)