当您在 IAM 角色中使用提供程序作为任务凭证时,提供程序的请求会保存在审计日志中。审计日志继承与容器代理日志相同的日志轮换设置。可以设置 ECS_LOG_ROLLOVER_TYPE、ECS_LOG_MAX_FILE_SIZE_MB 和 ECS_LOG_MAX_ROLL_COUNT 容器代理配置变量来影响审计日志的行为。有关更多信息,请参阅 Amazon ECS 容器代理日志配置参数。
对于容器代理版本 1.36.0 及更高版本,审计日志位于 /var/log/ecs/audit.log。在轮换日志时,将在日志文件名的末尾添加 YYYY-MM-DD-HH
对于容器代理版本 1.35.0 及以前的版本,审计日志位于 /var/log/ecs/audit.log.。YYYY-MM-DD-HH
日志条目格式如下:
-
Timestamp
-
HTTP 响应代码
-
请求来源的 IP 地址和端口号
-
凭证提供程序的相对 URI
-
发出请求的用户代理
-
请求容器所属的任务 ARN
-
GetCredentialsAPI 名称和版本号 -
容器实例注册到的 Amazon ECS 集群名称
-
容器实例 ARN
您可以使用以下命令查看日志文件。
cat /var/log/ecs/audit.log.2016-07-13-16输出:
2016-07-13T16:11:53Z 200 172.17.0.5:52444 "/v1/credentials" "python-requests/2.7.0 CPython/2.7.6 Linux/4.4.14-24.50.amzn1.x86_64" TASK_ARN GetCredentials 1 CLUSTER_NAME CONTAINER_INSTANCE_ARN