Sitzungsprotokollierung aktivieren und deaktivieren - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sitzungsprotokollierung aktivieren und deaktivieren

Die Sitzungsprotokollierung zeichnet Informationen über aktuelle und abgeschlossene Sitzungen in der Systems Manager Manager-Konsole auf. Sie können auch Details zu Befehlen protokollieren, die während Sitzungen in Ihrem ausgeführt AWS-Konto werden. Mit der Sitzungsprotokollierung können Sie Folgendes tun:

  • Erstellen und Speichern von Sitzungsprotokollen zu Archivierungszwecken.

  • Generieren eines Berichts mit Details zu jeder Verbindung, die mit Ihren verwalteten Knoten über Session Manager in den letzten 30 Tagen hergestellt wurde.

  • Generieren Sie Benachrichtigungen für die Sitzungsprotokollierung in Ihren AWS-Konto, z. B. Amazon Simple Notification Service (AmazonSNS) -Benachrichtigungen.

  • Initiieren Sie automatisch eine weitere Aktion für eine AWS Ressource als Ergebnis von Aktionen, die während einer Sitzung ausgeführt wurden, z. B. das Ausführen einer AWS Lambda Funktion, das Starten einer AWS CodePipeline Pipeline oder das Ausführen eines AWS Systems Manager Run Command Dokuments.

Wichtig

Beachten Sie die folgenden Anforderungen und Einschränkungen für Session Manager:

  • Session Manager protokolliert die von Ihnen eingegebenen Befehle und deren Ausgabe während einer Sitzung abhängig von Ihren Sitzungseinstellungen. Um zu verhindern, dass vertrauliche Daten wie Passwörter in Ihren Sitzungsprotokollen angezeigt werden, empfehlen wir die folgenden Befehle, wenn Sie während einer Sitzung vertrauliche Daten eingeben.

    Linux & macOS
    stty -echo; read passwd; stty echo;
    Windows
    $Passwd = Read-Host -AsSecureString
  • Wenn Sie Windows Server 2012 oder früher verwenden, werden die Daten in Ihren Protokollen möglicherweise nicht optimal formatiert. Wir empfehlen die Verwendung von Windows Server 2012 R2 und höher, um optimal formatierte Protokolle zu erhalten.

  • Wenn Sie Linux- oder macOS-verwaltete Knoten verwenden, muss das Screen-Serviceprogramm installiert sein. Wenn dies nicht der Fall ist, werden die Protokolldaten möglicherweise abgeschnitten. Auf Amazon Linux 1, Amazon Linux 2, AL2 023 undUbuntu Server, ist das Screen Utility standardmäßig installiert. Um Screen manuell zu installieren, müssen Sie abhängig von Ihrer Linux-Version entweder sudo yum install screen oder sudo apt-get install screen ausführen.

  • Die Protokollierung ist nicht für Session Manager Sitzungen verfügbar, bei denen die Verbindung über Portweiterleitung oder SSH hergestellt wird. Das liegt daran, dass alle Sitzungsdaten SSH verschlüsselt werden und Session Manager nur als Tunnel für SSH Verbindungen dient.

Weitere Informationen zu den Berechtigungen, die für die Verwendung von Amazon S3 oder Amazon CloudWatch Logs für die Protokollierung von Sitzungsdaten erforderlich sind, finden Sie unterEine IAM Rolle mit Berechtigungen für Amazon S3 Session Manager und CloudWatch Logs erstellen (Konsole).

Weitere Informationen zu Protokollierungsoptionen für Session Manager finden Sie in den folgenden Themen.

Streaming-Sitzungsdaten mit Amazon CloudWatch Logs (Konsole)

Sie können einen kontinuierlichen Stream von Sitzungsdatenprotokollen an Amazon CloudWatch Logs senden. Wichtige Details, wie die Befehle, die ein Benutzer in einer Sitzung ausgeführt hat, die ID des Benutzers, der die Befehle ausgeführt hat, und Zeitstempel für den Zeitpunkt, zu dem die Sitzungsdaten in CloudWatch Logs gestreamt werden, sind beim Streaming von Sitzungsdaten enthalten. Beim Streamen von Sitzungsdaten werden die Protokolle so JSON formatiert, dass Sie sie in Ihre vorhandenen Protokollierungslösungen integrieren können. Streaming-Sitzungsdaten werden für interaktive Befehle nicht unterstützt.

Anmerkung

Um Sitzungsdaten von Windows Server-verwalteten Knoten zu streamen, müssen Sie PowerShell 5.1 oder höher installiert haben. Standardmäßig ist bei Windows Server 2016 und höher die erforderliche PowerShell-Version installiert. Bei Windows Server 2012 und 2012 R2 ist die erforderliche PowerShell-Version jedoch nicht standardmäßig installiert. Wenn Sie PowerShell noch nicht auf Ihren von Windows Server 2012 oder 2012 R2 verwalteten Knoten aktualisiert haben, können Sie dies mit Run Command tun. Informationen zur Aktualisierung von PowerShell mithilfe von Run Command finden Sie unter Aktualisierung PowerShell mit Run Command.

Wichtig

Wenn Sie die Einstellung der PowerShell Transkriptionsrichtlinie auf Ihren Windows Server verwalteten Knoten konfiguriert haben, können Sie keine Sitzungsdaten streamen.

Um Sitzungsdaten mit Amazon CloudWatch Logs zu streamen (Konsole)
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Session Manager aus.

  3. Wählen Sie die Registerkarte Preferences (Präferenzen) und anschließend Edit (Bearbeiten) aus.

  4. Aktivieren Sie unter CloudWatch Protokollierung das Kontrollkästchen neben Aktivieren.

  5. Wählen Sie die Option Sitzungsungsprotokolle streamen aus.

  6. (Empfohlen) Aktivieren Sie das Kontrollkästchen neben Nur verschlüsselte CloudWatch Protokollgruppen zulassen. Wenn diese Funktion aktiviert ist, werden die Protokolldaten mithilfe des serverseitigen Verschlüsselungsschlüssels, der für die Protokollgruppe angegeben wurde, verschlüsselt. Wenn Sie die Protokolldaten, die an CloudWatch Logs gesendet werden, nicht verschlüsseln möchten, deaktivieren Sie das Kontrollkästchen. Außerdem müssen Sie das Kontrollkästchen deaktivieren, wenn die Verschlüsselung für die Protokollgruppe nicht aktiviert ist.

  7. Wählen Sie für CloudWatch Protokolle eine der folgenden Optionen aus, AWS-Konto um die bestehende CloudWatch Protokollgruppe Logs anzugeben, in die Sie Sitzungsprotokolle hochladen möchten:

    • Geben Sie den Namen einer bereits in Ihrem Konto erstellten Protokollgruppe in das Textfeld ein, um die Sitzungsprotokolldaten zu speichern.

    • Protokollgruppen durchsuchen: Wählen Sie eine bereits in Ihrem Konto erstellte Protokollgruppe aus, um die Sitzungsprotokolldaten zu speichern.

  8. Wählen Sie Save (Speichern) aus.

Protokollieren von Sitzungsdaten mithilfe von Amazon S3 (Konsole)

Sie können Sitzungsprotokolldaten zu Debugging- und Fehlerbehebungszwecken in einem angegebenen Amazon Simple Storage Service (Amazon S3)-Bucket speichern. Standardmäßig werden Protokolle an einen verschlüsselten Amazon S3-Bucket gesendet. Die Verschlüsselung erfolgt mit dem für den Bucket angegebenen Schlüssel, entweder einem AWS KMS key oder einem Amazon S3 S3-Schlüssel für serverseitige Verschlüsselung (SSE) (AES-256).

Wichtig

Wenn Sie Buckets im virtuellen Hosting-Stil mit Secure Sockets Layer (SSL) verwenden, passt das SSL Platzhalterzertifikat nur zu Buckets, die keine Punkte enthalten. Um dieses Problem zu umgehen, verwenden HTTP oder schreiben Sie Ihre eigene Logik zur Überprüfung von Zertifikaten. Wir empfehlen, bei der Verwendung von Buckets im Stil des virtuellen Hostings keine Punkte („.“) in Bucket-Namen zu verwenden.

Verschlüsselung von Amazon S3-Bucket

Um Protokolle mit Verschlüsselung an Ihren Amazon S3-Bucket senden zu können, muss die Verschlüsselungsfunktion für den Bucket aktiviert sein. Weitere Informationen zur Amazon S3 Bucket-Verschlüsselung finden Sie unter Amazon S3-Standardverschlüsselung für S3-Buckets.

Kundenverwalteter Schlüssel

Wenn Sie einen KMS Schlüssel verwenden, den Sie selbst verwalten, um Ihren Bucket zu verschlüsseln, muss das mit Ihren Instances verknüpfte IAM Instanzprofil über explizite Berechtigungen zum Lesen des Schlüssels verfügen. Wenn Sie einen verwenden Von AWS verwalteter Schlüssel, benötigt die Instanz diese ausdrückliche Erlaubnis nicht. Weitere Informationen zum Bereitstellen des Instance-Profils mit Zugriff auf die Verwendung des Schlüssels finden Sie unter Gestattet Schlüsselbenutzern die Verwendung des Schlüssels im AWS Key Management Service -Entwicklerhandbuch.

Gehen Sie wie folgt vor, um Session Manager zum Speichern von Sitzungsprotokollen im Amazon S3-Bucket zu konfigurieren.

Anmerkung

Sie können den auch verwenden AWS CLI , um den Amazon S3 S3-Bucket anzugeben oder zu ändern, an den Sitzungsdaten gesendet werden. Weitere Informationen finden Sie unter Aktualisieren von Session Manager-Einstellungen (Befehlszeile).

Protokollieren von Sitzungsdaten mithilfe von Amazon S3 (Konsole)
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Session Manager aus.

  3. Wählen Sie die Registerkarte Preferences (Präferenzen) und anschließend Edit (Bearbeiten) aus.

  4. Wählen Sie bei S3-Protokollierung neben Aktivieren das Kontrollkästchen aus.

  5. (Empfohlen) Aktivieren Sie das Kontrollkästchen neben Nur verschlüsselte S3-Buckets zulassen. Wenn diese Funktion aktiviert ist, werden die Protokolldaten mithilfe des serverseitigen Verschlüsselungsschlüssels, der für den Bucket angegeben wurde, verschlüsselt. Wenn Sie die an Amazon S3 gesendeten Protokolldaten nicht verschlüsseln möchten, aktivieren Sie das Kontrollkästchen. Außerdem müssen Sie das Kontrollkästchen deaktivieren, wenn die Verschlüsselung für den S3-Bucket nicht aktiviert ist.

  6. Wählen Sie in S3 bucket name (Name des S3-Buckets) eine der folgenden Optionen aus:

    Anmerkung

    Wir empfehlen, bei der Verwendung von Buckets im Stil des virtuellen Hostings keine Punkte („.“) in Bucket-Namen zu verwenden. Weitere Informationen zu Namenskonventionen für Amazon-S3-Buckets finden Sie unter Bucket-Einschränkungen und -Limits im Benutzerhandbuch zu Amazon Simple Storage Service.

    • Choose a bucket name from the list (Bucket-Namen aus der Liste auswählen): Wählen Sie einen bereits in Ihrem Konto erstellten Amazon S3-Bucket aus, um Sitzungsprotokolldaten zu speichern.

    • Enter a bucket name in the text box (Geben Sie einen Namen für den Bucket in das Textfeld ein): Geben Sie den Namen eines bereits in Ihrem Konto erstellten Amazon S3-Buckets ein, um Sitzungsprotokolldaten zu speichern.

  7. (Optional) Geben Sie in S3 key prefix (S3-Schlüsselpräfix) den Namen eines vorhandenen oder neuen Ordners ein, in dem die Protokolle im ausgewählten Bucket gespeichert werden sollen.

  8. Wählen Sie Save (Speichern) aus.

Weitere Informationen zum Arbeiten mit Amazon S3 und Amazon-S3-Buckets finden Sie im Benutzerhandbuch zu Amazon Simple Storage Service und im Benutzerhandbuch zu Amazon Simple Storage Service.

Protokollierung von Sitzungsdaten mit Amazon CloudWatch Logs (Konsole)

Mit Amazon CloudWatch Logs können Sie Protokolldateien aus verschiedenen Quellen überwachen, speichern und darauf zugreifen AWS-Services. Sie können Sitzungsprotokolldaten zu Debugging- und Fehlerbehebungszwecken an eine CloudWatch Logs-Protokollgruppe senden. Die Standardoption ist, dass Protokolldaten mit Ihrem KMS Schlüssel verschlüsselt gesendet werden. Sie können die Daten jedoch mit oder ohne Verschlüsselung an Ihre Protokollgruppe senden.

Gehen Sie wie folgt vor, AWS Systems Manager Session Manager um so zu konfigurieren, dass Sitzungsprotokolldaten am Ende Ihrer Sitzungen an eine CloudWatch Protokollgruppe gesendet werden.

Anmerkung

Sie können den auch verwenden AWS CLI , um die CloudWatch Logs-Protokollgruppe anzugeben oder zu ändern, an die Sitzungsdaten gesendet werden. Weitere Informationen finden Sie unter Aktualisieren von Session Manager-Einstellungen (Befehlszeile).

So protokollieren Sie Sitzungsdaten mit Amazon CloudWatch Logs (Konsole)
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Session Manager aus.

  3. Wählen Sie die Registerkarte Preferences (Präferenzen) und anschließend Edit (Bearbeiten) aus.

  4. Aktivieren Sie unter CloudWatch Protokollierung das Kontrollkästchen neben Aktivieren.

  5. Wählen Sie die Option Sitzungsungsprotokolle hochladen aus.

  6. (Empfohlen) Aktivieren Sie das Kontrollkästchen neben Nur verschlüsselte CloudWatch Protokollgruppen zulassen. Wenn diese Funktion aktiviert ist, werden die Protokolldaten mithilfe des serverseitigen Verschlüsselungsschlüssels, der für die Protokollgruppe angegeben wurde, verschlüsselt. Wenn Sie die Protokolldaten, die an CloudWatch Logs gesendet werden, nicht verschlüsseln möchten, deaktivieren Sie das Kontrollkästchen. Außerdem müssen Sie das Kontrollkästchen deaktivieren, wenn die Verschlüsselung für die Protokollgruppe nicht aktiviert ist.

  7. Wählen Sie für CloudWatch Protokolle eine der folgenden Optionen aus, AWS-Konto um die bestehende CloudWatch Protokollgruppe Logs anzugeben, in die Sie Sitzungsprotokolle hochladen möchten:

    • Choose a log group from the list (Eine Protokollgruppe aus der Liste auswählen): Wählen Sie eine bereits in Ihrem Konto erstellte Protokollgruppe aus, in die die Sitzungsprotokolldaten gespeichert werden sollen.

    • Enter a log group name in the text box (Geben Sie den Namen einer Protokollgruppe in das Textfeld ein): Geben Sie den Namen einer bereits in Ihrem Konto erstellten Protokollgruppe ein, in die die Sitzungsprotokolldaten gespeichert werden sollen.

  8. Wählen Sie Save (Speichern) aus.

Weitere Informationen zur Arbeit mit CloudWatch Logs finden Sie im Amazon CloudWatch Logs-Benutzerhandbuch.

Deaktivierung der Session Manager Protokollierung in CloudWatch Logs und Amazon S3

Sie können die Systems Manager Manager-Konsole verwenden oder AWS CLI die Sitzungsprotokollierung in Ihrem Konto deaktivieren.

Um die Sitzungsprotokollierung zu deaktivieren (Konsole)
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Session Manager aus.

  3. Wählen Sie die Registerkarte Preferences (Präferenzen) und anschließend Edit (Bearbeiten) aus.

  4. Um die CloudWatch Protokollierung zu deaktivieren, deaktivieren CloudWatch Sie im Abschnitt Protokollierung das Kontrollkästchen Aktivieren.

  5. Um die S3-Protokollierung zu deaktivieren, deaktivieren Sie im Abschnitt S3-Protokollierung das Kontrollkästchen Aktivieren.

  6. Wählen Sie Save (Speichern) aus.

Um die Sitzungsprotokollierung zu deaktivieren (AWS CLI)

Um die Sitzungsprotokollierung mit dem zu deaktivieren AWS CLI, folgen Sie den Anweisungen unterAktualisieren von Session Manager-Einstellungen (Befehlszeile).

Stellen Sie in Ihrer JSON Datei sicher, dass die cloudWatchLogGroupName Eingaben s3BucketName und keine Werte enthalten. Beispielsweise:

"inputs": { "s3BucketName": "", ... "cloudWatchLogGroupName": "", ... }

Alternativ können Sie alle cloudWatch* Eingaben S3* und aus Ihrer JSON Datei entfernen, um die Protokollierung zu deaktivieren.