Protokollierung der Automation-Aktionsausgabe mit CloudWatch Logs - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Protokollierung der Automation-Aktionsausgabe mit CloudWatch Logs

Automation, eine Funktion von AWS Systems Manager, ist in Amazon CloudWatch Logs integriert. Sie können die Ausgabe von aws:executeScript-Aktionen in Ihren Runbooks an die von Ihnen angegebene Protokollgruppe senden. Systems Manager erstellt keine Protokollgruppe oder Protokoll-Streams für Dokumente, die aws:executeScript-Aktionen nicht verwenden. Wenn das Dokument aws:executeScript verwendet, bezieht sich die an CloudWatch Logs gesendete Ausgabe nur auf diese Aktionen. Sie können die aws:executeScript-Aktionsausgabe, die in der Protokollgruppe „CloudWatch Logs“ für Debug- und Fehlerbehebungszwecke gespeichert ist, verwenden. Wenn Sie eine Protokollgruppe auswählen, die verschlüsselt ist, wird die aws:executeScript-Aktionsausgabe ebenfalls verschlüsselt. Protokollierungsausgabe von aws:executeScript-Aktionen ist eine Einstellung auf Kontoebene.

Um Aktionsausgaben an CloudWatch Logs für Amazon-eigene Runbooks zu senden, muss der Benutzer oder die Rolle, der bzw. die die Automatisierung ausführt, über Berechtigungen für die folgenden Vorgänge verfügen:

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

Für Runbooks, die Sie besitzen, müssen der IAM-Servicerolle (oder AssumeRole), die Sie zum Ausführen des Runbooks verwenden, dieselben Berechtigungen hinzugefügt werden.

Senden einer Aktionsausgabe an CloudWatch Logs (Konsole)

  1. Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Klicken Sie im Navigationsbereich auf Automation.

  3. Wählen Sie die Registerkarte Preferences (Präferenzen) und anschließend Edit (Bearbeiten) aus.

  4. Aktivieren Sie das Kontrollkästchen neben Send output to CloudWatch Logs (Senden von Ausgaben an CloudWatch Logs).

  5. (Empfohlen) Aktivieren Sie das Kontrollkästchen neben Encrypt log data (Verschlüsseln von Protokolldaten). Wenn diese Funktion aktiviert ist, werden die Protokolldaten mithilfe des serverseitigen Verschlüsselungsschlüssels, der für die Protokollgruppe angegeben wurde, verschlüsselt. Wenn Sie die an CloudWatch Logs gesendeten Protokolldaten nicht verschlüsseln möchten, deaktivieren Sie das Kontrollkästchen. Deaktivieren Sie das Kontrollkästchen, wenn die Verschlüsselung für die Protokollgruppe nicht zulässig ist.

  6. Wählen Sie für CloudWatch Logs log group (CloudWatch Logs-Protokollgruppe) einen der folgenden Schritte aus, um die vorhandene CloudWatch Logs-Protokollgruppe in Ihrem AWS-Konto anzugeben, an die Sie Aktionsausgaben senden wollen:

    • Send output to the default log group (Ausgabe an die Standardprotokollgruppe senden) - Wenn die Standard-Protokollgruppe nicht vorhanden ist (/aws/ssm/automation/executeScript), erstellt Automation diese für Sie.

    • Choose from a list of log groups (Aus einer Liste von Protokollgruppen auswählen): Wählen Sie eine Protokollgruppe, die bereits in Ihrem Konto erstellt wurde, um die Aktionsausgabe zu speichern.

    • Enter a log group name (Eingabe eines Protokollgruppennamens): Geben Sie in das Textfeld den Namen einer Protokollgruppe ein, die bereits in Ihrem Konto angelegt wurde, um die Aktionsausgabe zu speichern.

  7. Wählen Sie Save (Speichern).

Senden einer Aktionsausgabe an CloudWatch Logs (Befehlszeile)

  1. Öffnen Sie das bevorzugte Befehlszeilen-Tool und führen Sie den folgenden Befehl aus, um das Aktionsausgabeziel zu aktualisieren.

    Linux & macOS
    aws ssm update-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination \
    --setting-value CloudWatch
    Windows
    aws ssm update-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination ^
    --setting-value CloudWatch
    PowerShell
    Update-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination" `
    -SettingValue "CloudWatch"

    Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.

  2. Führen Sie den folgenden Befehl aus, um die Protokollgruppe anzugeben, an die die Aktionsausgabe gesendet werden soll.

    Linux & macOS
    aws ssm update-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name \
    --setting-value my-log-group
    Windows
    aws ssm update-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name ^
    --setting-value my-log-group
    PowerShell
    Update-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name" `
    -SettingValue "my-log-group"

    Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.

  3. Führen Sie den folgenden Befehl aus, um den aktuellen Durchsatz für Serviceeinstellungen für Einstellungen für die Aktionsprotokollierung für Automation im aktuellen AWS-Konto und in der AWS-Region anzuzeigen.

    Linux & macOS
    aws ssm get-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
    Windows
    aws ssm get-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
    PowerShell
    Get-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination"

    Der Befehl gibt Informationen wie die folgenden zurück.

    {
    "ServiceSetting": {
        "Status": "Customized",
        "LastModifiedDate": 1613758617.036,
        "SettingId": "/ssm/automation/customer-script-log-destination",
        "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
        "SettingValue": "CloudWatch",
        "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/automation/customer-script-log-destination"
    }
}