Visualização de solicitações de perfil do IAM para tarefas do Amazon ECS - Amazon Elastic Container Service

Visualização de solicitações de perfil do IAM para tarefas do Amazon ECS

Quando você usa um provedor para as credenciais de tarefa em um perfil do IAM, as solicitações do provedor são salvas em um log de auditoria. O log de auditoria herda as mesmas configurações de rotação de log que o log do agente de contêiner. As variáveis de configuração do agente de contêiner ECS_LOG_ROLLOVER_TYPE, ECS_LOG_MAX_FILE_SIZE_MB e ECS_LOG_MAX_ROLL_COUNT podem ser definidas para afetar o comportamento do log de auditoria. Para obter mais informações, consulte Parâmetros de configuração do log do agente de contêiner do Amazon ECS.

Para o agente de contêiner versão 1.36.0 e posteriores, o log de auditoria está localizado em /var/log/ecs/audit.log. Quando o log é girado, um timestamp no formato YYYY-MM-DD-HH é adicionado ao final do nome do arquivo de log.

Para o agente de contêiner versão 1.35.0 e anteriores, o log de auditoria está localizado em /var/log/ecs/audit.log.YYYY-MM-DD-HH.

O formato de entrada do log é o seguinte:

  • Timestamp

  • Código de resposta HTTP

  • Endereço IP e número de porta de origem da solicitação

  • URI relativo do provedor de credencial

  • O agente do usuário que fez a solicitação

  • O ARN da tarefa ao qual o contêiner solicitante pertence

  • O nome e o número da versão da API GetCredentials

  • O nome do cluster do Amazon ECS no qual a instância de contêiner é registrada

  • O ARN de instância do contêiner

É possível usar o comando a seguir para visualizar os arquivos de log.

cat /var/log/ecs/audit.log.2016-07-13-16

Saída:

2016-07-13T16:11:53Z 200 172.17.0.5:52444 "/v1/credentials" "python-requests/2.7.0 CPython/2.7.6 Linux/4.4.14-24.50.amzn1.x86_64" TASK_ARN GetCredentials 1 CLUSTER_NAME CONTAINER_INSTANCE_ARN