Ansible 出力のロギング

デフォルトでは、Ansible はプレイ、タスク、およびモジュール引数の出力を、コントロールノードの画面 (STDOUT) に送信します。Ansible 出力をログに記録する場合は、以下の 3 つのオプションを使用できます。

• コントロールノードの 1 つのログに Ansible 出力を保存するには、log_path の 設定ファイルオプション を設定します。また、display_args_to_stdout を設定すると、Ansible の出力に変数の値を追加し、同様のタスクを区別しやすくなります。
• 各管理ノードごとに別のログに Ansible 出力を保存するには、no_target_syslog および syslog_facility の 設定ファイルオプション を設定します。
• Ansible 出力をセキュアなデータベースに保存するには、Ansible Tower を使用します。Tower を使用すると、グラフや REST API を使用して、過去のホスト、プロジェクト、および特定のインベントリーに基づいて履歴を確認できます。

no_log を使用した機密データの保護

Ansible 出力をログに保存すると、パスワードやユーザー名などのシークレットデータを Ansible 出力に公開します。ログから機密な値を除外するには、機密な値を公開するタスクに、no_logTrue 属性でマークを付けます。ただし、no_log 属性はデバッグの出力に影響しないため、本番環境で Playbook のデバッグは行わないでください。サンプルは、Playbook に機密データを保存するにはどうすればいいですか を参照してください。