Visualizzare le richieste di ruolo IAM per le attività Amazon ECS - Amazon Elastic Container Service

Visualizzare le richieste di ruolo IAM per le attività Amazon ECS

Quando usi un provider per le credenziali dell'attività in un ruolo IAM, le richieste del provider vengono salvate in un log di controllo. Il log di audit eredita le stesse impostazioni di rotazione del log dell'agente del container. È possibile impostare le variabili di configurazione dell'agente del container ECS_LOG_ROLLOVER_TYPE, ECS_LOG_MAX_FILE_SIZE_MB ECS_LOG_MAX_ROLL_COUNT in modo da influire sul comportamento del log di audit. Per ulteriori informazioni, consulta Parametri di configurazione del log dell'agente container Amazon ECS.

Per l'agente del container versione 1.36.0 e successive, il log di audit si trova in /var/log/ecs/audit.log. Quando il log viene ruotato, viene aggiunto un timestamp nel formato YYYY-MM-DD-HH alla fine del nome del file di log.

Per l'agente del container versione 1.35.0 e precedenti, il log di audit si trova in /var/log/ecs/audit.log.YYYY-MM-DD-HH.

Il formato delle voci di log è il seguente:

  • Timestamp

  • Codice di risposta HTTP

  • Indirizzo IP e numero di porta dell'origine della richiesta

  • URI relativo del provider di credenziali

  • L'agente utente che ha effettuato la richiesta

  • L'ARN dell'attività a cui appartiene il container richiedente

  • Il nome API GetCredentials e il numero di versione

  • Il nome del cluster Amazon ECS su cui è registrata l'istanza di container

  • L'ARN dell'istanza di container

Puoi utilizzare il comando seguente per visualizzare i file di log.

cat /var/log/ecs/audit.log.2016-07-13-16

Output:

2016-07-13T16:11:53Z 200 172.17.0.5:52444 "/v1/credentials" "python-requests/2.7.0 CPython/2.7.6 Linux/4.4.14-24.50.amzn1.x86_64" TASK_ARN GetCredentials 1 CLUSTER_NAME CONTAINER_INSTANCE_ARN