访问系统和组件日志

ENTERPRISE

BETA

管理用户对系统和组件日志的访问

您可以限制用户对系统和组件日志的访问。

以下是查看系统和组件日志所需的 权限

权限字符串fullCRUD
dcos:adminrouter:ops:system-logs
控制对 [系统日志 API] 的访问(/cn/1.11/api/master-routes/#system)。
x

先决条件:

  • DC/OS 和 DC/OS CLI 已安装,您以超级用户身份登录。

通过 DC/OS Web 界面

创建用户和授予权限

  1. 选择组织并选择用户。选择现有用户或创建一个新用户。

    新用户

    图 1. 新用户屏幕

  2. 权限选项卡,选择添加权限

    为用户添加权限

    图 2. “添加权限”按钮

  3. 单击插入权限字符串以切换对话框,并粘贴到以下权限中,单击添加权限

    1. dcos:adminrouter:ops:system-logs full

添加权限

图 3. 权限字符串对话框

权限选项卡现应当是这样的:

prod-group permissions complete

图 4. 权限已添加

以用户身份登录到 CLI

  1. 以用户身份登录到 DC/OS CLI。

    1. dcos auth login
  2. 运行此命令以访问系统和组件日志。

    1. dcos node log --leader --component=dcos-mesos-master

您应该能看到 Mesos 管理节点的日志。

如果您没有正确的权限,您将看到以下输出:

  1. You are not authorized to perform this operation

通过 IAM API

先决条件: 如果您的 安全模式permissivestrict,则必须 获取根证书 才能发布此部分的 curl 命令。

提示

  • 服务资源通常包括 / 必须在 curl 请求中以 %252F 替换的字符,如下例所示。
  • 使用 API 管理权限时,您必须在授予之前先创建权限。如果权限已存在,API 将返回提示信息,您可以继续分配权限。

创建和授予权限

  1. 授予用户权限 (<username>).

    1. dcos security org users grant <username> dcos:adminrouter:ops:system-logs full --description "Grants access to system and component logs."

以用户身份登录到 CLI

  1. 以用户身份登录到 DC/OS CLI。

    1. dcos auth login
  2. 运行此命令以访问系统和组件日志。

    1. dcos node log --leader --component=dcos-mesos-master

您应该能看到 Mesos 管理节点的日志。

如果您没有正确的权限,您将看到以下输出:

  1. You are not authorized to perform this operation