指标与日志设置
This page covers settings that control behavior related to MinIO metrics and logging. See指标和告警欲了解更多信息。
这些设置配置定期发布minio server将日志和审计日志发送到 HTTP webhook。
请参阅发布服务器或审计日志到外部服务获取更完整的文档。
您可以通过定义以下内容来建立或修改设置:
an 环境变量在启动或重启 MinIO 服务器之前,请在主机系统上设置此环境变量。 有关如何定义环境变量,请参阅操作系统的文档。
a 配置设置使用
mc admin config set.
如果您同时定义了环境变量和类似的配置设置,MinIO 将使用环境变量的值。
某些设置只有环境变量或配置设置,但没有两者都提供。
重要
每个配置设置控制着 MinIO 的基本行为和功能。 MinIO强烈建议在应用到生产环境之前,先在较低环境(如开发环境或测试环境)中测试配置变更。
Prometheus 认证
此设置控制 MinIO 如何向 Prometheus 进行身份验证。
指定 Prometheus 的认证模式抓取端点.
jwt- 默认MinIO 要求抓取客户端指定 JWT 令牌以验证请求。使用
mc admin prometheus generate生成必要的 JWT 持有者令牌。
publicMinIO 不要求抓取客户端对其请求进行身份验证。
服务器日志
以下部分记录了配置 MinIO 发布功能的设置minio server将日志发送到 HTTP webhook 端点。
参见发布服务器日志到HTTP Webhook有关使用这些设置的更完整文档和教程。
定义多个端点
您可以通过附加唯一标识符来指定多个 webhook 端点作为日志目标_ID对于每组相关的日志记录环境变量。
例如,以下设置定义了两个不同的服务器日志 webhook 端点:
export MINIO_LOGGER_WEBHOOK_ENABLE_PRIMARY="on"
export MINIO_LOGGER_WEBHOOK_AUTH_TOKEN_PRIMARY="TOKEN"
export MINIO_LOGGER_WEBHOOK_ENDPOINT_PRIMARY="http://webhook-1.example.net"
export MINIO_LOGGER_WEBHOOK_ENABLE_SECONDARY="on"
export MINIO_LOGGER_WEBHOOK_AUTH_TOKEN_SECONDARY="TOKEN"
export MINIO_LOGGER_WEBHOOK_ENDPOINT_SECONDARY="http://webhook-2.example.net"
mc admin config set logger_webhook:primary \
endpoint="http://webhook-01.example.net" [ARGUMENTS=VALUE ...]
mc admin config set logger_webhook:secondary \
endpoint="http://webhook-02.example.net" [ARGUMENTS=VALUE ...]
设置
启用
指定"on"启用发布功能minio server记录到HTTP webhook端点。
端点
必需
Webhook 的 HTTP 端点。
Auth Token
可选
适用于该端点的相应类型的身份验证令牌。 对于不需要身份验证的端点,请省略此项。
为了支持多种令牌类型,MinIO 使用该值创建请求认证标头严格按照指定要求根据端点不同,您可能需要包含额外信息。
例如:对于 Bearer token,在前面添加Bearer:
export MINIO_LOGGER_WEBHOOK_AUTH_TOKEN_myendpoint="Bearer 1a2b3c4f5e"
根据端点要求修改该值。 自定义身份验证格式可能类似于以下形式:
export MINIO_LOGGER_WEBHOOK_AUTH_TOKEN_xyz="ServiceXYZ 1a2b3c4f5e"
有关更多详细信息,请查阅所需服务的文档。
这个环境变量对应于logger_webhook auth_token配置设置。
- logger_webhook auth_token
适用于该端点的相应类型的身份验证令牌。 对于不需要身份验证的端点,请省略此项。
为了支持多种令牌类型,MinIO 使用该值创建请求认证标头严格按照指定要求根据端点不同,您可能需要包含额外信息。
例如:对于 Bearer token,在前面添加
Bearer:mc admin config set myminio logger_webhook \ endpoint="https://webhook-1.example.net" \ auth_token="Bearer 1a2b3c4f5e"
根据端点要求修改该值。 自定义身份验证格式可能类似于以下形式:
mc admin config set myminio logger_webhook \ endpoint="https://webhook-1.example.net" \ auth_token="ServiceXYZ 1a2b3c4f5e"
有关更多详细信息,请查阅所需服务的文档。
Batch Size
MinIO 版本新增功能:Server RELEASE.2024-03-10T02-53-48Z
可选
收集指定数量的事件作为批次发送到 webhook。 如果未设置,MinIO 将每个请求发送一个事件。
客户端证书
可选
还需要设置客户端密钥.
用于向 webhook 日志记录器进行身份验证的 mTLS 证书路径。
客户端密钥
可选
如果您定义了,则必需客户端证书.
用于向 webhook 日志记录服务进行身份验证的 mTLS 证书密钥路径。
代理
可选
定义一个代理,用于在 MinIO 与外部 webhook 通信时供 webhook 记录器使用。
队列目录
可选
版本 RELEASE.2023-05-18T00-05-36Z 中的新增功能。
指定目录路径,例如/opt/minio/events要启用 MinIO 的持久化事件存储以处理未送达的消息。
MinIO 进程必须对指定目录具有读取、写入和列出权限。
MinIO 在 webhook 服务离线期间将未送达的事件存储在指定存储中,并在连接恢复时重放已存储的事件。
队列大小
可选
用于记录器 Webhook 目标的队列大小的整数值。
Webhook 审计日志
以下部分记录了用于配置 MinIO 将审计日志发布到 HTTP webhook 端点的环境变量。 参见发布审计日志到 HTTP Webhook有关使用这些环境变量的更完整文档和教程。
多目标
您可以通过附加唯一标识符来指定多个 webhook 端点作为审计日志目标_ID对于每组相关的日志记录设置。
例如,以下命令设置两个不同的审计日志 webhook 端点:
export MINIO_AUDIT_WEBHOOK_ENABLE_PRIMARY="on"
export MINIO_AUDIT_WEBHOOK_AUTH_TOKEN_PRIMARY="TOKEN"
export MINIO_AUDIT_WEBHOOK_ENDPOINT_PRIMARY="http://webhook-1.example.net"
export MINIO_AUDIT_WEBHOOK_CLIENT_CERT_SECONDARY="/tmp/cert.pem"
export MINIO_AUDIT_WEBHOOK_CLIENT_KEY_SECONDARY="/tmp/key.pem"
export MINIO_AUDIT_WEBHOOK_ENABLE_SECONDARY="on"
export MINIO_AUDIT_WEBHOOK_AUTH_TOKEN_SECONDARY="TOKEN"
export MINIO_AUDIT_WEBHOOK_ENDPOINT_SECONDARY="http://webhook-1.example.net"
export MINIO_AUDIT_WEBHOOK_CLIENT_CERT_SECONDARY="/tmp/cert.pem"
export MINIO_AUDIT_WEBHOOK_CLIENT_KEY_SECONDARY="/tmp/key.pem"
- audit_webhook
用于定义发布HTTP webhook目标的顶级配置键MinIO 审计日志.
使用
mc admin config set设置或更新 HTTP webhook 目标。 将其他可选参数指定为以空格分隔的" "分隔的列表。mc admin config set audit_webhook \ endpoint="http://webhook.example.net" [ARGUMENTS=VALUE ...]
您可以通过追加来指定多个HTTP webhook目标
[:name]到顶级键。例如,以下命令 设置两个不同的 HTTP webhook 目标作为primary和secondary分别:mc admin config set audit_webhook:primary \ endpoint="http://webhook-01.example.net" [ARGUMENTS=VALUE ...] mc admin config set audit_webhook:secondary \ endpoint="http://webhook-02.example.net" [ARGUMENTS=VALUE ...]
设置
启用
端点
必需
Webhook 的 HTTP 端点。
Auth Token
可选
适用于该端点的相应类型的身份验证令牌。 对于不需要身份验证的端点,请省略此项。
为了支持多种令牌类型,MinIO 使用该值创建请求认证标头严格按照指定要求根据端点不同,您可能需要包含额外信息。
例如,对于 Bearer token,在前面加上Bearer:
export MINIO_AUDIT_WEBHOOK_AUTH_TOKEN_myendpoint="Bearer 1a2b3c4f5e"
根据端点要求修改该值。
自定义身份验证格式可能如下所示:
export MINIO_AUDIT_WEBHOOK_AUTH_TOKEN_xyz="ServiceXYZ 1a2b3c4f5e"
mc admin config set myminio audit_webhook \
endpoint="http://webhook.example.net" \
auth_token="Bearer 1a2b3c4f5e"
根据端点要求修改该值。
自定义身份验证格式的命令可能如下所示:
mc admin config set myminio audit_webhook \
endpoint="http://webhook.example.net" \
auth_token="ServiceXYZ 1a2b3c4f5e"
有关更多详细信息,请查阅所需服务的文档。
Batch Size
MinIO 版本新增功能:Server RELEASE.2024-03-10T02-53-48Z
可选
收集指定数量的事件作为批次发送到 webhook。 如果未设置,MinIO 将每个请求发送一个事件。
客户端证书
可选
还需要指定client_key.
要呈现给 HTTP webhook 的 x.509 客户端证书。 对于不需要客户端提供已知 TLS 证书的 webhook,请省略此项。
客户端密钥
可选
需要指定client_cert.
要提供给 HTTP webhook 的 x.509 私钥。 对于不需要客户端提供已知 TLS 证书的 webhook,可以省略此项。
队列目录
可选
版本 RELEASE.2023-05-18T00-05-36Z 中的新增功能。
指定目录路径,例如/opt/minio/events要启用 MinIO 的持久化事件存储以处理未送达的消息。
MinIO 进程必须对指定目录具有读取、写入和列出权限。
MinIO 在 webhook 服务离线期间将未送达的事件存储在指定存储中,并在连接恢复时重放已存储的事件。
队列大小
可选
用于审计 webhook 目标的队列大小的整数值。
默认值为100000事件
Kafka Audit Logs
以下部分记录了用于配置 MinIO 将审计日志发布到 Kafka 代理的环境变量。
- audit_kafka
用于定义Kafka代理发布目标的顶级配置键MinIO 审计日志.
使用
mc admin config set设置或更新 Kafka 审计目标。 请将其他可选参数指定为以空格分隔的列表。" ")-分隔的列表。mc admin config set audit_kafka \ brokers="https://kafka-endpoint.example.net:9092" [ARGUMENTS=VALUE ...]
设置
启用
必需
经纪人
必需
Kafka 代理地址的逗号分隔列表:
brokers="https://kafka-1.example.net:9092,https://kafka-2.example.net:9092"
至少必须有一个代理在线且可被 MinIO 服务器访问,才能初始化并发送审计日志事件。 MinIO 按照配置顺序检查每个指定的代理。
主题
必需
与 MinIO 审计日志事件关联的 Kafka 主题名称。
TLS
可选
设置为"on"以启用与指定 Kafka 代理的 TLS 连接。
默认值为"off".
TLS 跳过验证
可选
设置为"on"指示 MinIO 跳过验证 Kafka 代理的 TLS 证书。
您可以使用此选项来启用与Kafka代理的连接,这些连接使用由未知方(例如自签名或企业内部证书颁发机构(CA))签名的TLS证书。
MinIO 默认使用系统信任存储和MinIO 的内容CA目录用于验证远程客户端TLS证书。
默认值为"off"用于严格验证TLS证书。
SASL
可选
设置为"on"将 MinIO 配置为使用 SASL 对 Kafka 代理进行身份验证。
SASL 用户名
可选
需要指定sasl和sasl_password.
MinIO 用于对 Kafka 代理进行身份验证的 SASL 用户名。
SASL 密码
可选
需要指定sasl和sasl_username.
MinIO 用于对 Kafka 代理进行身份验证的 SASL 密码。
SASL 机制
可选
重要
ThePLAIN身份验证机制通过网络以明文形式发送凭据。
使用MINIO_AUDIT_KAFKA_TLS或启用与 Kafka 代理的 TLS 连接,确保 SASL 凭据的安全传输。
重要
ThePLAIN身份验证机制通过网络以明文形式发送凭据。
使用tls以启用与 Kafka 代理的 TLS 连接,并确保 SASL 凭据的安全传输。
MinIO 用于对 Kafka 代理进行身份验证的 SASL 机制。
默认值为plain.
TLS 客户端认证
可选
设置为"on"指示 MinIO 使用 mTLS 对 Kafka 代理进行身份验证。
客户端TLS证书
可选
用于 mTLS 认证的 TLS 客户端证书路径。
客户端 TLS 密钥
可选
用于 mTLS 认证的 TLS 客户端私钥路径。
Version
可选
MinIO 期望在指定端点使用的 Kafka 代理版本。
如果Kafka代理版本与此设置指定的版本不匹配,MinIO将返回错误。
评论
可选
与配置关联的注释。
队列目录
可选
指定目录路径以启用 MinIO 的持久化事件存储,用于存放未送达的消息,例如/opt/minio/events.
MinIO 在 Kafka 服务离线期间将未送达的事件存储在指定存储中,并在连接恢复时重放已存储的事件。
队列大小
可选
指定未送达消息的最大限制。
默认值为100000.
