气流审计日志

Question

我想知道在审计日志的意义上气流提供了什么。我的气流环境正在运行1.10版的气流，并使用airflow.cfg文件的airflow.cfg部分来使用My Dicrectory (AD)进行身份验证。我看到，当有人通过Web登录到气流中时，它会将用户名写入到Web服务器的日志中(如下所示)。不过，我想知道是否可以修改气流，以便在用户打开/关闭DAG、创建新的气流变量或池、清除任务、将任务标记为成功以及用户可以执行的任何其他操作时也进行登录。

我需要能够对用户的活动具有某种可处理性，因为为了在我的工作中使用气流，我必须让它通过架构师的安全审查，而他需要能够跟踪用户的活动。

这种能力是由气流提供的吗？我看到，如果我使用Google的气流服务云作曲家，那么我将通过他们的服务获得审计日志，但不幸的是，我被绑定到Amazon (AWS)生态系统中，而且我自己也在维护气流(不是通过服务提供的)。

我在airflow webserver日志中看到，当我遍历气流网络用户界面时，它正在发送rest调用

161.179.215.170 - - [17/Sep/2018:16:39:26 -0400] "GET /admin/ HTTP/1.1" 200 71942 "http://1.2.3.4:8080/admin/airflow/graph?dag_id=ARL_OnDemand" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"

当我登录时，它会告诉我用户名(这是登录在login函数中的auth.py)

[2018-09-17 16:27:15,493] {ldap_auth.py:287} INFO - User foobaruser successfully authenticated
161.179.215.170 - - [17/Sep/2018:16:27:16 -0400] "POST /admin/airflow/login HTTP/1.1" 302 221 "http://1.2.3.4:8080/admin/airflow/login?next=%2Fadmin%2F" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"

因此，我想知道是否有一种方法可以更新who服务器日志，以便每当它记录GET或POST请求时，它也会记录发送请求的客户机。这将满足我的审计日志需求，因为我总是知道用户在UI上的气流中做了什么。

更新：

在本文中

https://wecode.wepay.com/posts/improving-airflow-ui-security

显然，气流1.10已经推出了一个全新的网站安全架构，他们将在未来废弃原来的水瓶UI。

这篇我觉得有趣的文章与这篇文章有关，不过她谈论的是行动日志是被动的而不是先发制人的，我想知道这是否与审计日志记录有关？

在此期间，对安全性进行了一些改进，包括添加一个动作日志功能和创建一个硬编码的朴素RBAC实现。但是，操作日志记录是被动的，而不是先发制人的，并且本机RBAC实现仍然允许对所有角色的DAG进行读写访问，因此它们没有解决我们的安全问题。

工作解决方案：

尽管我说我在风流版本1.10上，我实际上是在气流版本1.9 :)在气流vesion 1.9上，日志上的Owner列对我来说总是空白的，除非它说是气流。但是，在升级到气流版本1.10并连接到我的LDAP之后，每次执行修改命令时，我都会看到我的LDAP用户名(kbridenstine)记录在Owner下！

​

​

对于蛋糕上的糖霜，当服务器上的某个人运行一个气流命令(因为您也可以通过他们的CLI命令修改气流)时，气流也在记录。您可以在我的EC2实例服务器上运行气流的根用户和EC2用户身上看到这一点。

Answer 1

我认为AIRFLOW_WEB_SERVER_URL:PORT/admin/log/下的日志应该为您提供足够的信息，例如，如果有人使用UI或cli清除进程，如下面的屏幕快照所示。

其中一些元数据是从MetaDB中检索的。

​

​