Output tindakan Otomasi Pencatatan dengan CloudWatch Log - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Output tindakan Otomasi Pencatatan dengan CloudWatch Log

Otomatisasi, kemampuan AWS Systems Manager, terintegrasi dengan Amazon CloudWatch Logs. Anda dapat mengirim output dari tindakan aws:executeScript di runbook Anda ke grup log yang Anda tentukan. Systems Manager tidak membuat grup log atau aliran log apa pun untuk dokumen yang tidak menggunakan tindakan aws:executeScript. Jika dokumen memang digunakanaws:executeScript, output yang dikirim ke CloudWatch Log hanya berkaitan dengan tindakan tersebut. Anda dapat menggunakan output aws:executeScript tindakan yang disimpan dalam grup CloudWatch log Log untuk tujuan debugging dan pemecahan masalah. Jika Anda memilih grup log yang dienkripsi, output tindakan aws:executeScript juga dienkripsi. Pencatatan output dari tindakan aws:executeScript adalah pengaturan tingkat akun.

Untuk mengirim output tindakan ke CloudWatch Log untuk runbook milik Amazon, pengguna atau peran yang menjalankan otomatisasi harus memiliki izin untuk operasi berikut:

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

Untuk runbook yang Anda miliki, izin yang sama harus ditambahkan ke peran IAM layanan (atau AssumeRole) yang Anda gunakan untuk menjalankan runbook.

Untuk mengirim output tindakan ke CloudWatch Log (konsol)

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Pada panel navigasi, pilih Otomatisasi.

  3. Pilih tab Preferensi, dan kemudian pilih Edit.

  4. Pilih kotak centang di sebelah Kirim output ke CloudWatch Log.

  5. (Disarankan) Pilih kotak centang di samping Mengenkripsi data log. Dengan pengaktifan pilihan ini, data log dienkripsi menggunakan kunci enkripsi sisi server yang ditentukan untuk grup log. Jika Anda tidak ingin mengenkripsi data log yang dikirim ke CloudWatch Log, kosongkan kotak centang. Kosongkan kotak centang jika enkripsi tidak diizinkan pada grup log.

  6. Untuk grup CloudWatch log Log, untuk menentukan grup CloudWatch log Log Akun AWS yang ada di tempat Anda ingin mengirim output tindakan, pilih salah satu dari berikut ini:

    • Mengirimkan output ke grup log default – Jika grup log default tidak ada (/aws/ssm/automation/executeScript), Otomatisasi membuatnya untuk Anda.

    • Memilih dari daftar grup log – Pilih grup log yang telah dibuat di akun Anda untuk menyimpan output tindakan.

    • Masukkan nama grup log — Masukkan nama grup log di kotak teks yang telah dibuat di akun Anda untuk menyimpan output tindakan.

  7. Pilih Simpan.

Untuk mengirim output tindakan ke CloudWatch Log (baris perintah)

  1. Buka alat baris perintah pilihan Anda dan jalankan perintah berikut untuk memperbarui tujuan output tindakan.

    Linux & macOS
    aws ssm update-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination \
    --setting-value CloudWatch
    Windows
    aws ssm update-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination ^
    --setting-value CloudWatch
    PowerShell
    Update-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination" `
    -SettingValue "CloudWatch"

    Tidak ada output jika perintah berhasil.

  2. Jalankan perintah berikut untuk menentukan grup log yang merupakan tujuan dari output tindakan yang ingin Anda kirimkan.

    Linux & macOS
    aws ssm update-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name \
    --setting-value my-log-group
    Windows
    aws ssm update-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name ^
    --setting-value my-log-group
    PowerShell
    Update-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name" `
    -SettingValue "my-log-group"

    Tidak ada output jika perintah berhasil.

  3. Jalankan perintah berikut untuk melihat pengaturan layanan saat ini untuk preferensi pencatatan tindakan Otomasi saat ini Akun AWS dan Wilayah AWS.

    Linux & macOS
    aws ssm get-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
    Windows
    aws ssm get-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
    PowerShell
    Get-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination"

    Perintah tersebut mengembalikan informasi seperti berikut.

    {
    "ServiceSetting": {
        "Status": "Customized",
        "LastModifiedDate": 1613758617.036,
        "SettingId": "/ssm/automation/customer-script-log-destination",
        "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
        "SettingValue": "CloudWatch",
        "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/automation/customer-script-log-destination"
    }
}