Registrazione dell'output dell'azione di automazione con CloudWatch Logs - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione dell'output dell'azione di automazione con CloudWatch Logs

L'automazione, una funzionalità di AWS Systems Manager, si integra con Amazon CloudWatch Logs. È possibile inviare l'output dalle azioni aws:executeScript nei propri runbook al gruppo di log specificato. Systems Manager non crea un gruppo di log o flussi di log per i documenti che non utilizzano le azioni di aws:executeScript. Se il documento viene utilizzatoaws:executeScript, l'output inviato a CloudWatch Logs riguarda solo quelle azioni. È possibile utilizzare l'output delle aws:executeScript azioni memorizzato nel gruppo di log CloudWatch Logs per scopi di debug e risoluzione dei problemi. Se scegli un gruppo di log crittografato, anche l'output dell'azione aws:executeScript è crittografato. Il log dell'output delle azioni di aws:executeScript è un'impostazione a livello di account.

Per inviare l'output dell'azione ai runbook di proprietà di CloudWatch Logs for Amazon, l'utente o il ruolo che esegue l'automazione deve disporre delle autorizzazioni per le seguenti operazioni:

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

Per i runbook di tua proprietà, devi aggiungere le stesse autorizzazioni al ruolo (o AssumeRole) di IAM servizio che usi per eseguire il runbook.

Per inviare l'output dell'azione a CloudWatch Logs (console)

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione scegli Automation (Automazione).

  3. Scegli la scheda Preferences (Preferenze), quindi seleziona Edit (Modifica).

  4. Seleziona la casella di controllo accanto a Invia output ai CloudWatch registri.

  5. (Consigliato) Seleziona la casella di controllo accanto a Crittografare i dati di log. Se questa opzione è attivata, i dati di log vengono crittografati utilizzando la chiave di crittografia lato server specificata per il gruppo di log. Se non desideri crittografare i dati di registro inviati ai CloudWatch registri, deseleziona la casella di controllo. Deselezionare la casella di controllo se la crittografia non è consentita nel gruppo di log.

  6. Per il gruppo di log CloudWatch Logs, per specificare il gruppo di log CloudWatch Logs esistente nel gruppo a Account AWS cui si desidera inviare l'output dell'azione, selezionate una delle seguenti opzioni:

    • Invia l'output al gruppo di log predefinito: se il gruppo di log predefinito non esiste (/aws/ssm/automation/executeScript), l'automazione lo crea automaticamente.

    • Choose from the list of log groups (Scegli un gruppo dall'elenco dei gruppi di log): selezionare un gruppo di log che è già stato creato nel proprio account per archiviare i risultati delle azioni.

    • Enter a bucket name in the text box (Immetti un nome di bucket nella casella di testo): immettere il nome di un gruppo di log che è già stato creato nell'account per archiviare i risultati delle azioni.

  7. Seleziona Salva.

Per inviare l'output dell'azione a CloudWatch Logs (riga di comando)

  1. Aprire lo strumento di riga di comando preferito ed eseguire il comando seguente per aggiornare la destinazione del risultato dell'azione.

    Linux & macOS
    aws ssm update-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination \
    --setting-value CloudWatch
    Windows
    aws ssm update-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination ^
    --setting-value CloudWatch
    PowerShell
    Update-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination" `
    -SettingValue "CloudWatch"

    Se il comando va a buon fine, non viene generato output.

  2. Eseguire il comando seguente per specificare il gruppo di log a cui inviare il risultato dell'azione.

    Linux & macOS
    aws ssm update-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name \
    --setting-value my-log-group
    Windows
    aws ssm update-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name ^
    --setting-value my-log-group
    PowerShell
    Update-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name" `
    -SettingValue "my-log-group"

    Se il comando va a buon fine, non viene generato output.

  3. Esegui il comando seguente per visualizzare le impostazioni correnti del servizio per le preferenze di registrazione delle azioni di automazione nella versione corrente Account AWS e. Regione AWS

    Linux & macOS
    aws ssm get-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
    Windows
    aws ssm get-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
    PowerShell
    Get-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination"

    Il comando restituisce informazioni simili alle seguenti.

    {
    "ServiceSetting": {
        "Status": "Customized",
        "LastModifiedDate": 1613758617.036,
        "SettingId": "/ssm/automation/customer-script-log-destination",
        "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
        "SettingValue": "CloudWatch",
        "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/automation/customer-script-log-destination"
    }
}