nomad0.11enterprise提供了一种新的方法，允许管理员深入了解用户在Nomad集群上执行的操作，并满足必要的法规遵从性要求。通过企业审计日志记录，操作员将能够回答关于Nomad集群上发生了什么、何时发生以及请求是否成功的问题。在这篇博文中，我们将讨论如何在Nomad中实现审计日志，如何构建审计日志，以及管理员对审计内容的控制。»审核日志记录概述Nomad企业在httpapi级别进行审计。Nomad的httpapi概述可以在这里找到。由于服务器和客户机节点都服务于httpapi，所以服务器和客户机都应该配置为使用审计。为了确保在请求的整个生命周期中正确地审核请求，单个请求包含多个审核日志条目。这些条目对应于特定的阶段。目前有两个阶段，操作接收和操作完成。上图显示了启用审核日志记录的HTTP请求的请求流。OperationReceived阶段确保Nomad能够在我们可能修改集群状态之前审核请求。OperationComplete阶段包含与OperationReceived事件相同的信息，以及与调用的处理程序返回的响应相关的附加信息（状态代码和任何错误消息）。从法规遵从性的角度来看，保证审计日志的交付非常重要。Nomad要求您选择两种交付保证模式（强制和最大努力）之一，这两种模式在Nomad遇到审核管道中的错误（例如审核日志文件耗尽磁盘空间）时非常重要。强制-在delivery_-guaranty设置为强制的情况下，必须将未筛选的审核事件成功写入其接收器，以便处理程序调用请求。如果在OperationComplete期间发生故障，则在调用处理程序之后，处理程序的响应将替换为审核日志中的错误。best effort—当delivery_Guarrance设置为best effort时，未能成功写入其接收器的审核事件将被记录为错误，并且不会阻止调用请求。这两种模式允许操作员选择其容错水平与风险可接受性。建议使用强制交付保证，因为这是确保请求得到全面审核的唯一方法。»配置审核记录器Nomad Enterprise中的审计日志记录可以用最小的设置进行配置，但也允许细粒度的控制和文件循环，以及可配置的过滤器，以防止某些操作被审计记录。基本审核日志配置非常简单：审计{启用=真}这将以最大的安全性和详细性配置审核日志记录。此配置不会筛选出任何事件，并在指定的data_dir目录（路径为$data_dir/audit）中创建审核日志文件/审核.log). 此配置还将接收器配置为具有"强制"的传递保证。如果希望对审核文件进行更多控制，可以对其进行配置：审计{启用=真接收"审核文件"{type="文件"交付保证="强制执行"format="json"path="/var/lib/nomad/audit/审核.log"旋转持续时间="24小时"旋转_max_files=10}}此示例将审核日志配置为每日轮换，并仅保留最近10个已轮换的文件。如果我们想限制日志记录的数量呢？尽管记录所有阶段和所有事件是最安全的选项，但我们可能希望只审计记录OperationComplete阶段，或者完全忽略日志中的某些端点。我们可以使用filter节从审计日志中筛选出匹配的事件。下面是带有过滤器的配置示例：审计{启用=真过滤"操作接收事件"{type="HTTPEvent"终结点=*"]操作=*"]阶段=接收的操作"]}}此筛选器将应用于HTTPEvents以及OperationReceived阶段的所有终结点和操作（在本例中为HTTP谓词）。这意味着任何匹配的endpoint+操作（在本例中是所有端点和操作）都将被筛选出并从OperationReceived阶段的审核日志中排除。它们仍将在OperationComplete阶段被审计记录。»审核日志条目下面的示例显示了使用CLI和以下命令向Nomad服务器发出的请求的两个审核日志条目：Nomad node status。我们可以看到与此请求相关联的两个阶段的条目，以及用于创建请求的auth令牌的信息以及一些请求元数据。OperationComplete事件包含OperationReceived条目中的内容以及添加的响应键。{"创建于"："2020-03-24T13:09:35.703869927-04:00"，"event_type"："审核"，"有效载荷"：{"id"："8b826146-b264-af15-6526-29cb905145aa"，"stage"："操作接收"，"type"："审计"，"timestamp"："2020-03-24T13:09:35.703865005-04:00"，"版本"：1，"授权"：{"accessor_id"："a162f017-bcf7-900c-e22a-a2a8cbbcef53"，"name"："引导令牌"，"全球"：是的，"创建时间"："2020-03-24T17:08:35.086591881Z"},"请求"：{"id"："02f0ac35-c7e8-0871-5a58-ee9dbc0a70ea"，"operation"："获取"，"endpoint"："/v1/节点"，"命名空间"：{"id"："默认值"},"请求元数据"：{"remote_address"："127.0.0.1:33648"，"user_-agent"："转到http客户端/1.1"},"node_meta"：{"ip"："127.0.0.1:4646"}}}}{"创建于"："2020-03-24T13:09:35.704224536-04:00"，"event_type"："审核"，"有效载荷"：{"id"："8b826146-b264-af15-6526-29cb905145aa"，"stage"："操作完成"，"type"："审计"，"timestamp"："2020-03-24T13:09:35.703865005-04:00"，"版本"：1，"授权"：{"accessor_id"："a162f017-bcf7-900c-e22a-a2a8cbbcef53"，"name"："引导令牌"，"全球"：是的，"创建时间"："2020-03-24T17:08:35.086591881Z"},"请求"：{"id"："02f0ac35-c7e8-0871-5a58-ee9dbc0a70ea"，"operation"："获取"，"endpoint"："/v1/节点"，"命名空间"：{"id"："默认值"},"请求元数据"：{"remote_address"："127.0.0.1:33648"，"user_-agent"："转到http客户端/1.1"},"node_meta"：{"ip"："127.0.0.1:4646"}},"响应"：{"状态代码"：200}}}»入门我们将Nomad的企业审计日志功能作为nomad0.11的治理和策略企业模块的一部分发布，以获得从业者的反馈。我们想听听您有兴趣看到的其他审计、事件处理和可观测性特性。如果您想尝试一下，请联系您的技术客户经理以请求下载链接，并在问题跟踪器中给我们反馈。