Ausgabe von Automatisierungsaktionen mit CloudWatch Protokollen protokollieren - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ausgabe von Automatisierungsaktionen mit CloudWatch Protokollen protokollieren

Automation, ein Tool in AWS Systems Manager, lässt sich in Amazon CloudWatch Logs integrieren. Sie können die Ausgabe von aws:executeScript-Aktionen in Ihren Runbooks an die von Ihnen angegebene Protokollgruppe senden. Systems Manager erstellt keine Protokollgruppe oder Protokoll-Streams für Dokumente, die aws:executeScript-Aktionen nicht verwenden. Wenn das Dokument verwendet wirdaws:executeScript, bezieht sich die an CloudWatch Logs gesendete Ausgabe nur auf diese Aktionen. Sie können die in Ihrer Protokollgruppe CloudWatch Logs gespeicherte aws:executeScript Aktionsausgabe für Debugging- und Fehlerbehebungszwecke verwenden. Wenn Sie eine Protokollgruppe auswählen, die verschlüsselt ist, wird die aws:executeScript-Aktionsausgabe ebenfalls verschlüsselt. Protokollierungsausgabe von aws:executeScript-Aktionen ist eine Einstellung auf Kontoebene.

Um Aktionsausgaben an CloudWatch Logs for Amazon-eigene Runbooks zu senden, muss der Benutzer oder die Rolle, die die Automatisierung ausführt, über Berechtigungen für die folgenden Vorgänge verfügen:

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

Für Runbooks, die Sie besitzen, müssen der IAM-Servicerolle (oder AssumeRole), die Sie zum Ausführen des Runbooks verwenden, dieselben Berechtigungen hinzugefügt werden.

Um die Aktionsausgabe an CloudWatch Logs (Konsole) zu senden

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Klicken Sie im Navigationsbereich auf Automation.

  3. Wählen Sie die Registerkarte Präferenzen und anschließend Bearbeiten aus.

  4. Aktivieren Sie das Kontrollkästchen neben Ausgabe an CloudWatch Protokolle senden.

  5. (Empfohlen) Aktivieren Sie das Kontrollkästchen neben Encrypt log data (Verschlüsseln von Protokolldaten). Wenn diese Funktion aktiviert ist, werden die Protokolldaten mithilfe des serverseitigen Verschlüsselungsschlüssels, der für die Protokollgruppe angegeben wurde, verschlüsselt. Wenn Sie die Protokolldaten, die an CloudWatch Logs gesendet werden, nicht verschlüsseln möchten, deaktivieren Sie das Kontrollkästchen. Deaktivieren Sie das Kontrollkästchen, wenn die Verschlüsselung für die Protokollgruppe nicht zulässig ist.

  6. Wählen Sie CloudWatch unter Logs-Protokollgruppe eine der folgenden Optionen aus, um die bestehende CloudWatch Log-Protokollgruppe in Ihrem AWS-Konto System anzugeben, an die Sie die Aktionsausgabe senden möchten:

    • Send output to the default log group (Ausgabe an die Standardprotokollgruppe senden) - Wenn die Standard-Protokollgruppe nicht vorhanden ist (/aws/ssm/automation/executeScript), erstellt Automation diese für Sie.

    • Choose from a list of log groups (Aus einer Liste von Protokollgruppen auswählen): Wählen Sie eine Protokollgruppe, die bereits in Ihrem Konto erstellt wurde, um die Aktionsausgabe zu speichern.

    • Enter a log group name (Eingabe eines Protokollgruppennamens): Geben Sie in das Textfeld den Namen einer Protokollgruppe ein, die bereits in Ihrem Konto angelegt wurde, um die Aktionsausgabe zu speichern.

  7. Wählen Sie Save (Speichern) aus.

Um die Aktionsausgabe an CloudWatch Logs zu senden (Befehlszeile)

  1. Öffnen Sie das bevorzugte Befehlszeilen-Tool und führen Sie den folgenden Befehl aus, um das Aktionsausgabeziel zu aktualisieren.

    Linux & macOS
    aws ssm update-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination \
    --setting-value CloudWatch
    Windows
    aws ssm update-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination ^
    --setting-value CloudWatch
    PowerShell
    Update-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination" `
    -SettingValue "CloudWatch"

    Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.

  2. Führen Sie den folgenden Befehl aus, um die Protokollgruppe anzugeben, an die die Aktionsausgabe gesendet werden soll.

    Linux & macOS
    aws ssm update-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name \
    --setting-value my-log-group
    Windows
    aws ssm update-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name ^
    --setting-value my-log-group
    PowerShell
    Update-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name" `
    -SettingValue "my-log-group"

    Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.

  3. Führen Sie den folgenden Befehl aus, um die aktuellen Diensteinstellungen für die Protokollierung von Automatisierungsaktionen im aktuellen AWS-Konto und anzuzeigen AWS-Region.

    Linux & macOS
    aws ssm get-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
    Windows
    aws ssm get-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
    PowerShell
    Get-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination"

    Der Befehl gibt Informationen wie die folgenden zurück.

    {
    "ServiceSetting": {
        "Status": "Customized",
        "LastModifiedDate": 1613758617.036,
        "SettingId": "/ssm/automation/customer-script-log-destination",
        "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
        "SettingValue": "CloudWatch",
        "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/automation/customer-script-log-destination"
    }
}