• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Registrazione e monitoraggio AWS Systems Manager
Il monitoraggio è un elemento importante per mantenere l'affidabilità, la disponibilità e le prestazioni delle AWS Systems Manager AWS soluzioni esistenti. È necessario raccogliere i dati di monitoraggio da tutte le parti della AWS soluzione in modo da poter eseguire il debug di un errore multipunto, se si verifica. Tuttavia, prima di iniziare il monitoraggio di Systems Manager, è opportuno creare un piano di monitoraggio che includa le risposte alle seguenti domande:
+ Quali sono gli obiettivi del monitoraggio?
+ Di quali risorse si intende eseguire il monitoraggio?
+ Con quale frequenza sarà eseguito il monitoraggio di queste risorse?
+ Quali strumenti di monitoraggio verranno utilizzati?
+ Chi esegue le attività di monitoraggio?
+ Chi deve ricevere una notifica quando si verifica un problema?
Dopo avere definito gli obiettivi del monitoraggio e aver creato il piano di monitoraggio, la fase successiva consiste nello stabilire una baseline per le normali prestazioni di Systems Manager nel proprio ambiente. È necessario misurare le prestazioni di Systems Manager in diversi orari e in diverse condizioni di carico. Durante il monitoraggio di Systems Manager è necessario archiviare una cronologia dei dati di monitoraggio raccolti. Puoi confrontare le prestazioni correnti di Systems Manager con questi dati storici per aiutarti a identificare i modelli di prestazioni normali e le anomalie prestazionali, oltre a creare metodi per affrontarle.
Ad esempio, è possibile monitorare l'esito positivo o l'errore di operazioni quali i flussi di lavoro di automazione, l'applicazione delle linee di base delle patch, gli eventi della finestra di manutenzione e la conformità alla configurazione. L’automazione è uno strumento di AWS Systems Manager.
È inoltre possibile monitorare l'utilizzo della CPU, del disco o ridurre il I/O, and network utilization of your managed nodes. When performance falls outside your established baseline, you might need to reconfigure or optimize the node to reduce CPU utilization, improve disk I/O traffico di rete. Per ulteriori informazioni sul monitoraggio delle EC2 istanze, consulta [Monitor Amazon EC2 nella Amazon EC2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring_ec2.html) *User Guide*.
**Topics**
+ [Strumenti di monitoraggio](#monitoring-tools)
+ [Invio dei log dei nodi a CloudWatch registri unificati (agente) CloudWatch](monitoring-cloudwatch-agent.md)
+ [Invio di SSM Agent log a CloudWatch Logs](monitoring-ssm-agent.md)
+ [Monitoraggio degli eventi della richiesta di modifica](monitoring-change-request-events.md)
+ [Monitoraggio delle automazioni](monitoring-automation-metrics.md)
+ [Monitoraggio delle Run Command metriche tramite Amazon CloudWatch](monitoring-cloudwatch-metrics.md)
+ [Registrazione delle chiamate AWS Systems Manager API con AWS CloudTrail](monitoring-cloudtrail-logs.md)
+ [Registrazione dell'output dell'azione di automazione con CloudWatch Logs](automation-action-logging.md)
+ [Configurazione di Amazon CloudWatch Logs per Run Command](sysman-rc-setting-up-cwlogs.md)
+ [Monitoraggio degli eventi di Systems Manager con Amazon EventBridge](monitoring-eventbridge-events.md)
+ [Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS](monitoring-sns-notifications.md)
## Strumenti di monitoraggio
Il contenuto di questo capitolo fornisce informazioni sull'utilizzo degli strumenti disponibili per il monitoraggio del Systems Manager e di altre AWS risorse. Per un elenco più completo degli strumenti, consulta [Registrazione e monitoraggio in AWS Systems Manager](logging-and-monitoring.md).
# Invio dei log dei nodi a CloudWatch registri unificati (agente) CloudWatch
Puoi configurare e utilizzare l' CloudWatch agente Amazon per raccogliere metriche e log dai tuoi nodi invece di utilizzare AWS Systems Manager Agent (SSM Agent) per queste attività. L' CloudWatch agente ti consente di raccogliere più metriche sulle istanze EC2 di quelle disponibili. SSM Agent Inoltre, puoi raccogliere metriche dai server locali utilizzando l'agente. CloudWatch
È inoltre possibile memorizzare le impostazioni di configurazione dell'agente in Systems Manager Parameter Store per utilizzarle con l' CloudWatch agente. Parameter Storeè uno strumento in AWS Systems Manager.
**Nota**
AWS Systems Manager supporta la migrazione dall' CloudWatch agente unificato SSM Agent per la raccolta di log e metriche solo nelle versioni a 64 bit di Windows. *[Per informazioni sulla configurazione dell' CloudWatch agente unificato su altri sistemi operativi e per informazioni complete sull'utilizzo dell' CloudWatch agente, consulta [Raccolta di metriche e log da istanze Amazon EC2 e server locali con l'agente CloudWatch nella Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) User Guide. CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)*
È possibile utilizzare l' CloudWatch agente su altri sistemi operativi supportati, ma non sarà possibile utilizzare Systems Manager per eseguire una migrazione degli strumenti.
SSM Agent scrive informazioni su esecuzioni, operazioni pianificate, errori e stati di integrità in file di log per ogni nodo. La connessione manuale a un nodo per visualizzare i file di log e risolvere un problema con SSM Agent è dispendiosa in termini di tempo. Per un monitoraggio più efficiente dei nodi, puoi configurare te SSM Agent stesso o l' CloudWatch agente per inviare questi dati di log ad Amazon CloudWatch Logs.
**Importante**
L' CloudWatch agente unificato è stato sostituito SSM Agent come strumento per l'invio dei dati di log ad Amazon CloudWatch Logs. Il plugin aws:cloudWatch SSM Agent non è supportato. Ti consigliamo di utilizzare solo l' CloudWatch agente unificato per i processi di raccolta dei log. Per ulteriori informazioni, consulta i seguenti argomenti:
[Invio dei log dei nodi a CloudWatch registri unificati (agente) CloudWatch](#monitoring-cloudwatch-agent)
[Esegui la migrazione della raccolta di log dei nodi di Windows Server all'agente CloudWatch](#monitoring-cloudwatch-agent-migrate)
[Raccolta di metriche, log e tracce con l' CloudWatch agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) nella *Amazon CloudWatch User* Guide.
Utilizzando CloudWatch Logs, puoi monitorare i dati di registro in tempo reale, cercare e filtrare i dati di registro creando uno o più filtri metrici e archiviare e recuperare i dati storici quando ne hai bisogno. Per ulteriori informazioni sui CloudWatch log, consulta la *[Amazon CloudWatch Logs User](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)* Guide.
La configurazione di un agente per l'invio di dati di log ad Amazon CloudWatch Logs offre i seguenti vantaggi:
+ Archiviazione centralizzata di tutti i file di log di SSM Agent.
+ Accesso più rapido ai file per esaminare gli errori
+ Conservazione indefinita (configurabile) dei file di log
+ Log gestibili e accessibili indipendentemente dallo stato del nodo.
+ Accesso ad altre CloudWatch funzionalità come metriche e allarmi.
Per informazioni sul monitoraggio delle attività di Session Manager, consulta [Attività di registrazione delle sessioni](session-manager-auditing.md) e [Abilitazione e disabilitazione della registrazione di sessione](session-manager-logging.md).
## Esegui la migrazione della raccolta di log dei nodi di Windows Server all'agente CloudWatch
Se utilizzi SSM Agent Windows Server nodi supportati per inviare file di SSM Agent log ad Amazon CloudWatch Logs, puoi utilizzare Systems Manager per migrare dall' CloudWatch agente SSM Agent all'agente come strumento di raccolta dei log e migrare le impostazioni di configurazione.
L' CloudWatch agente non è supportato nelle versioni a 32 bit di. Windows Server
Per le istanze EC2 a 64 bit perWindows Server, è possibile eseguire la migrazione all' CloudWatch agente automaticamente o manualmente. Per server on-premises e macchine virtuali (VM), il processo deve essere eseguito manualmente.
**Nota**
Durante il processo di migrazione, i dati inviati CloudWatch potrebbero essere interrotti o duplicati. I parametri e i dati di log verranno registrati di nuovo accuratamente in CloudWatch al termine della migrazione.
Consigliamo di testare la migrazione su un numero limitato di nodi prima di migrare un'intera flotta verso l'agente. CloudWatch Se dopo la migrazione si preferisce la raccolta di log con SSM Agent, è possibile tornare a utilizzarla.
**Importante**
Nei seguenti casi, non sarà possibile effettuare la migrazione all' CloudWatch agente utilizzando la procedura descritta in questo argomento:
La configurazione esistente per SSM Agent specifica più Regioni.
La configurazione esistente di SSM Agent specifica più set di credenziali access/secret chiave.
In questi casi, sarà necessario disattivare la raccolta dei registri SSM Agent e installare l' CloudWatch agente senza un processo di migrazione. Per ulteriori informazioni, consulta i seguenti argomenti nella *Amazon CloudWatch User Guide*:
[Installazione dell' CloudWatch agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html)
[Installazione dell' CloudWatch agente su server locali](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-premise.html)
**Prima di iniziare**
Prima di iniziare la migrazione verso l' CloudWatch agente per la raccolta dei log, assicuratevi che i nodi su cui eseguirete la migrazione soddisfino i seguenti requisiti:
+ Il sistema operativo è una versione a 64 bit di Windows Server.
+ Nel nodo è installato SSM Agent 2.2.93.0 o una versione successiva.
+ SSM Agent è configurato per il monitoraggio sul nodo.
**Topics**
+ [Migrazione automatica verso l'agente CloudWatch](#monitoring-cloudwatch-agent-migrate-auto)
+ [Migrazione manuale all'agente CloudWatch](#monitoring-cloudwatch-agent-migrate-manual)
### Migrazione automatica verso l'agente CloudWatch
Windows ServerSolo per le istanze EC2, puoi utilizzare la AWS Systems Manager console o il AWS Command Line Interface (AWS CLI) per migrare automaticamente all' CloudWatch agente come strumento di raccolta dei log.
**Nota**
AWS Systems Manager supporta la migrazione dall' CloudWatch agente unificato SSM Agent per la raccolta di log e metriche solo nelle versioni a 64 bit di Windows. *[Per informazioni sulla configurazione dell' CloudWatch agente unificato su altri sistemi operativi e per informazioni complete sull'utilizzo dell' CloudWatch agente, consulta [Raccolta di metriche e log da istanze Amazon EC2 e server locali con l'agente CloudWatch nella Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) User Guide. CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)*
È possibile utilizzare l' CloudWatch agente su altri sistemi operativi supportati, ma non sarà possibile utilizzare Systems Manager per eseguire una migrazione degli strumenti.
Una volta completata la migrazione, controlla i risultati CloudWatch per assicurarti di ricevere le metriche, i log o i registri degli eventi di Windows che ti aspetti. Se ottieni i risultati desiderati, puoi facoltativamente [CloudWatch Memorizza le impostazioni di configurazione dell'agente in Parameter Store](#monitoring-cloudwatch-agent-store-config). Se la migrazione ha esito negativo o i risultati non sono quelli previsti, puoi tentare [Rollback alla raccolta di log con SSM Agent](#monitoring-cloudwatch-agent-roll-back).
**Nota**
Se desideri eseguire la migrazione di un file di configurazione di origine contenente una voce `{hostname}`, tieni presente che la voce `{hostname}` può modificare il valore del campo al termine della migrazione. *Ad esempio, supponiamo che la `"LogStream": "{hostname}"` voce seguente sia mappata a un server denominato 001. MyLogServer*
```
{
"Id": "CloudWatchIISLogs",
"FullName": "AWS.EC2.Windows.CloudWatch.CloudWatchLogsOutput,AWS.EC2.Windows.CloudWatch",
"Parameters": {
"AccessKey": "",
"SecretKey": "",
"Region": "us-east-1",
"LogGroup": "Production-Windows-IIS",
"LogStream": "{hostname}"
}
}
```
Dopo la migrazione, questa voce viene mappata a un dominio, ad esempio ip-11-1-1-11.production. ExampleCompany.com. Per mantenere il nome host locale come valore, specifica `{local_hostname}` anziché `{hostname}`.
**Per migrare automaticamente all' CloudWatch agente (console)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel riquadro di navigazione scegliere **Run Command** e quindi **Esegui comando**.
1. Nell'elenco **Documento comando**, scegli `AmazonCloudWatch-MigrateCloudWatchAgent`.
1. In **Status (Stato)**, scegliere **Enabled (Abilitato)**.
1. Nella sezione **Destinazioni**, identifica i nodi in cui si desidera eseguire questa operazione specificando i tag, selezionando manualmente le istanze, i dispositivi edge o indicando un gruppo di risorse.
**Suggerimento**
Se un nodo gestito che ti aspetti di vedere non è presente nell'elenco, consulta [Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti](fleet-manager-troubleshooting-managed-nodes.md) per suggerimenti sulla risoluzione dei problemi.
1. In **Controllo velocità**:
+ In **Simultaneità**, specifica un numero o una percentuale di nodi gestiti su cui eseguire contemporaneamente il comando.
**Nota**
Se hai selezionato le destinazioni specificando i tag applicati ai nodi gestiti o specificando i gruppi di AWS risorse e non sei sicuro del numero di nodi gestiti come target, limita il numero di destinazioni che possono eseguire il documento contemporaneamente specificando una percentuale.
+ Per **Soglia di errore**, specificare quando interrompere l'esecuzione del comando sulle altri nodi gestiti dopo un errore su un numero o una percentuale di nodi. Se, ad esempio, si specificano tre errori, Systems Manager interrompe l'invio del comando quando riceve il quarto errore. Anche i nodi gestiti che stanno ancora elaborando il comando potrebbero inviare errori.
1. (Facoltativo) Nella sezione **Opzioni di output**, per salvare l'output del comando in un file, seleziona la casella **Scrivi l'output del comando in un bucket S3**. Digita i nomi del bucket e del prefisso (cartella) nelle caselle.
**Nota**
Le autorizzazioni S3 che danno la possibilità di scrivere dati in un bucket S3 sono quelle del profilo dell'istanza (per istanze EC2) o del ruolo di servizio IAM (in macchine attivate da sistemi ibridi) assegnate all'istanza, non quelle dell'utente IAM che esegue questo processo. Per ulteriori informazioni, consulta le pagine [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md) oppure [Creazione di un ruolo di servizio IAM per un ambiente ibrido](hybrid-multicloud-service-role.md). Inoltre, se il bucket S3 specificato si trova su un Account AWS diverso, assicurarsi che il profilo dell'istanza o il ruolo di servizio IAM associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.
1. Se vuoi che vengano inviate notifiche sullo stato dell'esecuzione del comando, nella sezione **Notifiche SNS** selezionara la casella di controllo **Abilita notifiche SNS**.
Per ulteriori informazioni sulla configurazione delle notifiche Amazon SNS per Run Command, consulta [Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS](monitoring-sns-notifications.md).
1. Scegli **Esegui**.
**Per migrare automaticamente all'agente () CloudWatch AWS CLI**
+ Eseguire il seguente comando seguente.
```
aws ssm send-command --document-name AmazonCloudWatch-MigrateCloudWatchAgent --targets Key=instanceids,Values=ID1,ID2,ID3
```
*ID1**ID2*, e *ID3* rappresentano i nodi che si IDs desidera aggiornare, ad esempio *I-02573CAFCFExample*.
### Migrazione manuale all'agente CloudWatch
Per Windows Server i nodi locali o le istanze EC2 perWindows Server, segui questi passaggi per migrare manualmente la raccolta di log all'agente Amazon. CloudWatch
**Nota**
Se desideri eseguire la migrazione di un file di configurazione di origine contenente una voce `{hostname}`, tieni presente che la voce `{hostname}` può modificare il valore del campo al termine della migrazione. *Ad esempio, supponiamo che la `"LogStream": "{hostname}"` voce seguente sia mappata a un server denominato 001. MyLogServer*
```
{
"Id": "CloudWatchIISLogs",
"FullName": "AWS.EC2.Windows.CloudWatch.CloudWatchLogsOutput,AWS.EC2.Windows.CloudWatch",
"Parameters": {
"AccessKey": "",
"SecretKey": "",
"Region": "us-east-1",
"LogGroup": "Production-Windows-IIS",
"LogStream": "{hostname}"
}
}
```
Dopo la migrazione, questa voce viene mappata a un dominio, ad esempio ip-11-1-1-11.production. ExampleCompany.com. Per mantenere il nome host locale come valore, specifica `{local_hostname}` anziché `{hostname}`.
**Uno: installare l' CloudWatch agente (console)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel riquadro di navigazione scegliere **Run Command** e quindi **Esegui comando**.
1. Nell'elenco **Documento comando**, scegli `AWS-ConfigureAWSPackage`.
1. Per **Action (Operazione)**, scegliere `Install`.
1. In **Nome**, inserisci **AmazonCloudWatchAgent**.
1. In **Version** (Versione), inserire **latest**, se non è già specificata per impostazione predefinita.
1. Nella sezione **Destinazioni**, identifica i nodi in cui si desidera eseguire questa operazione specificando i tag, selezionando manualmente le istanze, i dispositivi edge o indicando un gruppo di risorse.
**Suggerimento**
Se un nodo gestito che ti aspetti di vedere non è presente nell'elenco, consulta [Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti](fleet-manager-troubleshooting-managed-nodes.md) per suggerimenti sulla risoluzione dei problemi.
1. In **Controllo velocità**:
+ In **Simultaneità**, specifica un numero o una percentuale di nodi gestiti su cui eseguire contemporaneamente il comando.
**Nota**
Se hai selezionato le destinazioni specificando i tag applicati ai nodi gestiti o specificando i gruppi di AWS risorse e non sei sicuro del numero di nodi gestiti come target, limita il numero di destinazioni che possono eseguire il documento contemporaneamente specificando una percentuale.
+ Per **Soglia di errore**, specificare quando interrompere l'esecuzione del comando sulle altri nodi gestiti dopo un errore su un numero o una percentuale di nodi. Se, ad esempio, si specificano tre errori, Systems Manager interrompe l'invio del comando quando riceve il quarto errore. Anche i nodi gestiti che stanno ancora elaborando il comando potrebbero inviare errori.
1. (Facoltativo) Nella sezione **Opzioni di output**, per salvare l'output del comando in un file, seleziona la casella **Scrivi l'output del comando in un bucket S3**. Digita i nomi del bucket e del prefisso (cartella) nelle caselle.
**Nota**
Le autorizzazioni S3 che danno la possibilità di scrivere dati in un bucket S3 sono quelle del profilo dell'istanza (per istanze EC2) o del ruolo di servizio IAM (in macchine attivate da sistemi ibridi) assegnate all'istanza, non quelle dell'utente IAM che esegue questo processo. Per ulteriori informazioni, consulta le pagine [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md) oppure [Creazione di un ruolo di servizio IAM per un ambiente ibrido](hybrid-multicloud-service-role.md). Inoltre, se il bucket S3 specificato si trova su un Account AWS diverso, assicurarsi che il profilo dell'istanza o il ruolo di servizio IAM associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.
1. Se vuoi che vengano inviate notifiche sullo stato dell'esecuzione del comando, nella sezione **Notifiche SNS** selezionara la casella di controllo **Abilita notifiche SNS**.
Per ulteriori informazioni sulla configurazione delle notifiche Amazon SNS per Run Command, consulta [Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS](monitoring-sns-notifications.md).
1. Scegli **Esegui**.
**Due: per aggiornare il formato JSON dei dati di configurazione**
+ Per aggiornare la formattazione JSON delle impostazioni di configurazione esistenti per l' CloudWatch agente **Run Command**, utilizza uno strumento o accedi al nodo direttamente con una connessione RDP per eseguire i seguenti PowerShell comandi di Windows sul nodo, uno alla volta. AWS Systems Manager
```
cd ${Env:ProgramFiles}\\Amazon\\AmazonCloudWatchAgent
```
```
.\\amazon-cloudwatch-agent-config-wizard.exe --isNonInteractiveWindowsMigration
```
*\$1Env:ProgramFiles\$1*rappresenta la posizione in cui è possibile trovare, in genere, la directory Amazon contenente l' CloudWatch agente`C:\Program Files`.
**Tre: configurare e avviare l' CloudWatch agente (console)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel riquadro di navigazione scegliere **Run Command** e quindi **Esegui comando**.
1. Nell'elenco **Documento comando**, scegli `AWS-RunPowerShellScript`.
1. In **Commands** (Comandi) inserire i due comandi seguenti.
```
cd ${Env:ProgramFiles}\Amazon\AmazonCloudWatchAgent
```
```
.\amazon-cloudwatch-agent-ctl.ps1 -a fetch-config -m ec2 -c file:config.json -s
```
*\$1Env:ProgramFiles\$1*rappresenta la posizione in cui è possibile trovare, in genere, la directory Amazon contenente l' CloudWatch agente`C:\Program Files`.
1. Nella sezione **Destinazioni**, identifica i nodi in cui si desidera eseguire questa operazione specificando i tag, selezionando manualmente le istanze, i dispositivi edge o indicando un gruppo di risorse.
**Suggerimento**
Se un nodo gestito che ti aspetti di vedere non è presente nell'elenco, consulta [Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti](fleet-manager-troubleshooting-managed-nodes.md) per suggerimenti sulla risoluzione dei problemi.
1. In **Controllo velocità**:
+ In **Simultaneità**, specifica un numero o una percentuale di nodi gestiti su cui eseguire contemporaneamente il comando.
**Nota**
Se hai selezionato le destinazioni specificando i tag applicati ai nodi gestiti o specificando i gruppi di AWS risorse e non sei sicuro del numero di nodi gestiti come target, limita il numero di destinazioni che possono eseguire il documento contemporaneamente specificando una percentuale.
+ Per **Soglia di errore**, specificare quando interrompere l'esecuzione del comando sulle altri nodi gestiti dopo un errore su un numero o una percentuale di nodi. Se, ad esempio, si specificano tre errori, Systems Manager interrompe l'invio del comando quando riceve il quarto errore. Anche i nodi gestiti che stanno ancora elaborando il comando potrebbero inviare errori.
1. (Facoltativo) Nella sezione **Opzioni di output**, per salvare l'output del comando in un file, seleziona la casella **Scrivi l'output del comando in un bucket S3**. Digita i nomi del bucket e del prefisso (cartella) nelle caselle.
**Nota**
Le autorizzazioni S3 che danno la possibilità di scrivere dati in un bucket S3 sono quelle del profilo dell'istanza (per istanze EC2) o del ruolo di servizio IAM (in macchine attivate da sistemi ibridi) assegnate all'istanza, non quelle dell'utente IAM che esegue questo processo. Per ulteriori informazioni, consulta le pagine [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md) oppure [Creazione di un ruolo di servizio IAM per un ambiente ibrido](hybrid-multicloud-service-role.md). Inoltre, se il bucket S3 specificato si trova su un Account AWS diverso, assicurarsi che il profilo dell'istanza o il ruolo di servizio IAM associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.
1. Se vuoi che vengano inviate notifiche sullo stato dell'esecuzione del comando, nella sezione **Notifiche SNS** selezionara la casella di controllo **Abilita notifiche SNS**.
Per ulteriori informazioni sulla configurazione delle notifiche Amazon SNS per Run Command, consulta [Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS](monitoring-sns-notifications.md).
1. Scegli **Esegui**.
**Quattro: per disattivare la raccolta di log in SSM Agent (console)**
1. Apri la console all' AWS Systems Manager indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel riquadro di navigazione scegliere **Run Command** e quindi **Esegui comando**.
1. Nell'elenco **Documento comando**, scegli `AWS-ConfigureCloudWatch`.
1. In **Status** (Stato), scegliere **Enabled** (Abilitato).
1. Nella sezione **Destinazioni**, identifica i nodi in cui si desidera eseguire questa operazione specificando i tag, selezionando manualmente le istanze, i dispositivi edge o indicando un gruppo di risorse.
**Suggerimento**
Se un nodo gestito che ti aspetti di vedere non è presente nell'elenco, consulta [Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti](fleet-manager-troubleshooting-managed-nodes.md) per suggerimenti sulla risoluzione dei problemi.
1. Per **Status** (Stato), scegli `Disabled`.
1. In **Controllo velocità**:
+ In **Simultaneità**, specifica un numero o una percentuale di nodi gestiti su cui eseguire contemporaneamente il comando.
**Nota**
Se hai selezionato le destinazioni specificando i tag applicati ai nodi gestiti o specificando i gruppi di AWS risorse e non sei sicuro del numero di nodi gestiti come target, limita il numero di destinazioni che possono eseguire il documento contemporaneamente specificando una percentuale.
+ Per **Soglia di errore**, specificare quando interrompere l'esecuzione del comando sulle altri nodi gestiti dopo un errore su un numero o una percentuale di nodi. Se, ad esempio, si specificano tre errori, Systems Manager interrompe l'invio del comando quando riceve il quarto errore. Anche i nodi gestiti che stanno ancora elaborando il comando potrebbero inviare errori.
1. (Facoltativo) Nella sezione **Opzioni di output**, per salvare l'output del comando in un file, seleziona la casella **Scrivi l'output del comando in un bucket S3**. Digita i nomi del bucket e del prefisso (cartella) nelle caselle.
**Nota**
Le autorizzazioni S3 che danno la possibilità di scrivere dati in un bucket S3 sono quelle del profilo dell'istanza (per istanze EC2) o del ruolo di servizio IAM (in macchine attivate da sistemi ibridi) assegnate all'istanza, non quelle dell'utente IAM che esegue questo processo. Per ulteriori informazioni, consulta le pagine [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md) oppure [Creazione di un ruolo di servizio IAM per un ambiente ibrido](hybrid-multicloud-service-role.md). Inoltre, se il bucket S3 specificato si trova su un Account AWS diverso, assicurarsi che il profilo dell'istanza o il ruolo di servizio IAM associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.
1. Se vuoi che vengano inviate notifiche sullo stato dell'esecuzione del comando, nella sezione **Notifiche SNS** selezionara la casella di controllo **Abilita notifiche SNS**.
Per ulteriori informazioni sulla configurazione delle notifiche Amazon SNS per Run Command, consulta [Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS](monitoring-sns-notifications.md).
1. Scegli **Esegui**.
Dopo aver completato questi passaggi, controlla gli accessi CloudWatch per verificare di ricevere le metriche, i registri o i registri degli eventi di Windows che ti aspetti. Se ottieni i risultati desiderati, puoi facoltativamente [CloudWatch Memorizza le impostazioni di configurazione dell'agente in Parameter Store](#monitoring-cloudwatch-agent-store-config). Se la migrazione ha esito negativo o i risultati non sono quelli previsti, puoi [Rollback alla raccolta di log con SSM Agent](#monitoring-cloudwatch-agent-roll-back).
## CloudWatch Memorizza le impostazioni di configurazione dell'agente in Parameter Store
È possibile memorizzare il contenuto di un file di configurazione CloudWatch dell'agente inParameter Store. Gestendo questi dati di configurazione in un parametro, più nodi potranno ottenere le rispettive impostazioni di configurazione dal parametro e non sarà necessario creare o aggiornare manualmente i file di configurazione sui tuoi nodi. Ad esempio, è possibile utilizzare Run Command per scrivere il contenuto del parametro nei file di configurazione su più nodi oppure utilizzare State Manager uno strumento per evitare variazioni della configurazione nelle impostazioni di configurazione dell' CloudWatch agente su un parco di nodi. AWS Systems Manager
Quando si esegue la procedura guidata di configurazione dell' CloudWatch agente, è possibile scegliere di lasciare che la procedura guidata salvi le impostazioni di configurazione come nuovo parametro. Parameter Store Per informazioni sull'esecuzione della procedura guidata di configurazione dell' CloudWatch agente, consulta [Creare il file di configurazione dell' CloudWatch agente con la procedura guidata](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/create-cloudwatch-agent-configuration-file-wizard.html) nella *Amazon CloudWatch User* Guide.
Se hai eseguito la procedura guidata ma non hai scelto l'opzione per salvare le impostazioni come parametro o hai creato il file di configurazione dell' CloudWatch agente manualmente, puoi recuperare i dati da salvare come parametro sul tuo nodo nel file seguente.
```
${Env:ProgramFiles}\Amazon\AmazonCloudWatchAgent\config.json
```
*\$1Env:ProgramFiles\$1*rappresenta la posizione in cui è possibile trovare, in genere, la directory Amazon contenente l' CloudWatch agente`C:\Program Files`.
È consigliabile mantenere un backup del testo JSON di questo file in una posizione diversa dal nodo stesso.
Per informazioni sulla creazione di un parametro, consulta [Creazione di parametri Parameter Store in Systems Manager](sysman-paramstore-su-create.md).
*Per ulteriori informazioni sull' CloudWatch agente, consulta [Raccolta di metriche e log da istanze Amazon EC2 e server locali con l' CloudWatch agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) nella Amazon User Guide. CloudWatch *
## Rollback alla raccolta di log con SSM Agent
Se desideri tornare a utilizzare SSM Agent per la raccolta di log, segui questa procedura.
**Uno: per recuperare i dati di configurazione da SSM Agent**
1. Nel nodo in cui si desidera tornare a raccogliere i log con SSM Agent, individuare il contenuto del file di configurazione di SSM Agent. Tale file JSON si trova in genere nel percorso seguente:
`${Env:ProgramFiles}\\Amazon\\SSM\\Plugins\\awsCloudWatch\\AWS.EC2.Windows.CloudWatch.json`
*\$1Env:ProgramFiles\$1*rappresenta la posizione in cui è possibile trovare la `Amazon` directory, in genere. `C:\Program Files`
1. Copiare i dati in un file di testo per utilizzarli in un secondo momento.
È consigliabile archiviare un backup del testo JSON in una posizione diversa dal nodo stesso.
**Due: disinstallare l' CloudWatch agente (console)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel riquadro di navigazione scegliere **Run Command** e quindi **Esegui comando**.
1. Nell'elenco **Documento comando**, scegli `AWS-ConfigureAWSPackage`.
1. In **Action (Operazione)**, scegliere **Uninstall (Disinstalla)**.
1. In **Nome**, inserisci **AmazonCloudWatchAgent**.
1. Nella sezione **Destinazioni**, identifica i nodi in cui si desidera eseguire questa operazione specificando i tag, selezionando manualmente le istanze, i dispositivi edge o indicando un gruppo di risorse.
**Suggerimento**
Se un nodo gestito che ti aspetti di vedere non è presente nell'elenco, consulta [Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti](fleet-manager-troubleshooting-managed-nodes.md) per suggerimenti sulla risoluzione dei problemi.
1. In **Controllo velocità**:
+ In **Simultaneità**, specifica un numero o una percentuale di nodi gestiti su cui eseguire contemporaneamente il comando.
**Nota**
Se hai selezionato le destinazioni specificando i tag applicati ai nodi gestiti o specificando i gruppi di AWS risorse e non sei sicuro del numero di nodi gestiti come target, limita il numero di destinazioni che possono eseguire il documento contemporaneamente specificando una percentuale.
+ Per **Soglia di errore**, specificare quando interrompere l'esecuzione del comando sulle altri nodi gestiti dopo un errore su un numero o una percentuale di nodi. Se, ad esempio, si specificano tre errori, Systems Manager interrompe l'invio del comando quando riceve il quarto errore. Anche i nodi gestiti che stanno ancora elaborando il comando potrebbero inviare errori.
1. (Facoltativo) Nella sezione **Opzioni di output**, per salvare l'output del comando in un file, seleziona la casella **Scrivi l'output del comando in un bucket S3**. Digita i nomi del bucket e del prefisso (cartella) nelle caselle.
**Nota**
Le autorizzazioni S3 che danno la possibilità di scrivere dati in un bucket S3 sono quelle del profilo dell'istanza (per istanze EC2) o del ruolo di servizio IAM (in macchine attivate da sistemi ibridi) assegnate all'istanza, non quelle dell'utente IAM che esegue questo processo. Per ulteriori informazioni, consulta le pagine [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md) oppure [Creazione di un ruolo di servizio IAM per un ambiente ibrido](hybrid-multicloud-service-role.md). Inoltre, se il bucket S3 specificato si trova su un Account AWS diverso, assicurarsi che il profilo dell'istanza o il ruolo di servizio IAM associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.
1. Se vuoi che vengano inviate notifiche sullo stato dell'esecuzione del comando, nella sezione **Notifiche SNS** selezionara la casella di controllo **Abilita notifiche SNS**.
Per ulteriori informazioni sulla configurazione delle notifiche Amazon SNS per Run Command, consulta [Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS](monitoring-sns-notifications.md).
1. Scegli **Esegui**.
**Tre: per riattivare la raccolta di log in SSM Agent (console)**
1. Apri la console all' AWS Systems Manager indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel riquadro di navigazione scegliere **Run Command** e quindi **Esegui comando**.
1. Nell'elenco **Documento comando**, scegli `AWS-ConfigureCloudWatch`.
1. Per **Status** (Stato), scegli `Enabled`.
1. In **Properties** (Proprietà), incollare il contenuto dei vecchi dati di configurazione salvati nel file di testo.
1. Nella sezione **Destinazioni**, identifica i nodi in cui si desidera eseguire questa operazione specificando i tag, selezionando manualmente le istanze, i dispositivi edge o indicando un gruppo di risorse.
**Suggerimento**
Se un nodo gestito che ti aspetti di vedere non è presente nell'elenco, consulta [Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti](fleet-manager-troubleshooting-managed-nodes.md) per suggerimenti sulla risoluzione dei problemi.
1. In **Controllo velocità**:
+ In **Simultaneità**, specifica un numero o una percentuale di nodi gestiti su cui eseguire contemporaneamente il comando.
**Nota**
Se hai selezionato le destinazioni specificando i tag applicati ai nodi gestiti o specificando i gruppi di AWS risorse e non sei sicuro del numero di nodi gestiti come target, limita il numero di destinazioni che possono eseguire il documento contemporaneamente specificando una percentuale.
+ Per **Soglia di errore**, specificare quando interrompere l'esecuzione del comando sulle altri nodi gestiti dopo un errore su un numero o una percentuale di nodi. Se, ad esempio, si specificano tre errori, Systems Manager interrompe l'invio del comando quando riceve il quarto errore. Anche i nodi gestiti che stanno ancora elaborando il comando potrebbero inviare errori.
1. (Facoltativo) Nella sezione **Opzioni di output**, per salvare l'output del comando in un file, seleziona la casella **Scrivi l'output del comando in un bucket S3**. Digita i nomi del bucket e del prefisso (cartella) nelle caselle.
**Nota**
Le autorizzazioni S3 che danno la possibilità di scrivere dati in un bucket S3 sono quelle del profilo dell'istanza (per istanze EC2) o del ruolo di servizio IAM (in macchine attivate da sistemi ibridi) assegnate all'istanza, non quelle dell'utente IAM che esegue questo processo. Per ulteriori informazioni, consulta le pagine [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md) oppure [Creazione di un ruolo di servizio IAM per un ambiente ibrido](hybrid-multicloud-service-role.md). Inoltre, se il bucket S3 specificato si trova su un Account AWS diverso, assicurarsi che il profilo dell'istanza o il ruolo di servizio IAM associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.
1. Se vuoi che vengano inviate notifiche sullo stato dell'esecuzione del comando, nella sezione **Notifiche SNS** selezionara la casella di controllo **Abilita notifiche SNS**.
Per ulteriori informazioni sulla configurazione delle notifiche Amazon SNS per Run Command, consulta [Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS](monitoring-sns-notifications.md).
1. Scegli **Esegui**.
# Invio di SSM Agent log a CloudWatch Logs
AWS Systems Manager Agent (SSM Agent) è un software Amazon che viene eseguito su EC2 istanze, dispositivi edge, server locali e macchine virtuali (VMs) configurati per Systems Manager. SSM Agentelabora le richieste dal servizio Systems Manager nel cloud e configura la macchina come specificato nella richiesta. Per ulteriori informazioni su SSM Agent, consultare [Utilizzo di SSM Agent](ssm-agent.md).
Inoltre, utilizzando i seguenti passaggi, puoi configurare l'invio SSM Agent di dati di log ad Amazon CloudWatch Logs.
**Prima di iniziare**
Crea un gruppo di log in CloudWatch Logs. Per ulteriori informazioni, consulta [Getting started with CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) nella *Amazon CloudWatch Logs User Guide.*
**Per configurare l'invio SSM Agent dei log a CloudWatch**
1. Accedi a un nodo e individua il seguente file:
**Linux**
Sulla maggior parte dei tipi di nodi Linux:`/etc/amazon/ssm/seelog.xml.template`.
Su Ubuntu Server 20.04, 18.04 e 16.04 LTS: `/snap/amazon-ssm-agent/current/seelog.xml.template`
**macOS**
`/opt/aws/ssm/seelog.xml.template`
**Windows**
`%ProgramFiles%\Amazon\SSM\seelog.xml.template`
1. Modificare il nome del file da `seelog.xml.template` a `seelog.xml`.
**Nota**
Su Ubuntu Server 20.04, 18.04 e 16.04 LTS, il file `seelog.xml` deve essere creato nella directory `/etc/amazon/ssm/`. È possibile creare questa directory e il file eseguendo i seguenti comandi.
```
sudo mkdir -p /etc/amazon/ssm
```
```
sudo cp -pr /snap/amazon-ssm-agent/current/* /etc/amazon/ssm
```
```
sudo cp -p /etc/amazon/ssm/seelog.xml.template /etc/amazon/ssm/seelog.xml
```
1. Aprire il file `seelog.xml` in un editor di testo e individuare la sezione seguente.
------
#### [ Linux and macOS ]
```
```
------
#### [ Windows ]
```
```
------
1. Modificare il file e aggiungere un elemento *nome personalizzato* dopo il tag di chiusura. Nell'esempio seguente, il nome personalizzato è stato specificato come `cloudwatch_receiver`.
------
#### [ Linux and macOS ]
```
```
------
#### [ Windows ]
```
```
------
1. Salvare le modifiche, quindi riavviare SSM Agent o il nodo.
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel riquadro di navigazione, scegliere **Log groups (Gruppi di log)**, quindi selezionare il nome del gruppo di log.
**Suggerimento**
Il flusso di log per i dati dei file di log di SSM Agent è organizzato per ID nodo.
# Monitoraggio degli eventi della richiesta di modifica
**Change Managermodifica della disponibilità**
AWS Systems ManagerChange Managernon sarà più aperto a nuovi clienti a partire dal 7 novembre 2025. Se desideri utilizzarloChange Manager, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [AWS Systems ManagerChange Managerla pagina Modifica della disponibilità](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html).
Dopo aver attivato l'integrazione con AWS CloudTrail Lake e aver creato un Event Data Store, puoi visualizzare dettagli verificabili sulle richieste di modifica eseguite nel tuo account o nella tua organizzazione. I dettagli includono le informazioni seguenti:
+ L'identità dell'utente che ha avviato la richiesta di modifica
+ Regioni AWS Dove sono state apportate le modifiche
+ L'indirizzo IP di origine della richiesta
+ La chiave di AWS accesso utilizzata per la richiesta
+ Le operazioni API eseguite per la richiesta di modifica
+ I parametri di richiesta inclusi per tali operazioni
+ Le risorse aggiornate durante il processo
Di seguito sono riportati alcuni esempi di dettagli sugli eventi che è possibile visualizzare per una richiesta di modifica dopo aver creato il data store degli eventi in AWS CloudTrail Lake.
------
#### [ Details ]
L'immagine seguente mostra le informazioni generali relative a una richiesta di modifica disponibili nella scheda **Dettagli**. Tali dettagli includono varie informazioni, come l'ora di inizio dell'operazione di richiesta di modifica, l'ID dell'utente che ha avviato la richiesta di modifica, la Regione AWS interessata, nonché i relativi ID dell'evento e ID della richiesta.
![\[Dettagli di una richiesta di modifica da CloudTrail Lake.\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/images/cm-event-details.png)
------
#### [ Event record ]
L'immagine seguente mostra la struttura del contenuto JSON fornito da CloudTrail Lake per un evento di richiesta di modifica. Questi dati vengono forniti nella scheda **Record di eventi** di una richiesta di modifica.
![\[Record JSON di una richiesta di modifica proveniente da CloudTrail Lake.\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/images/cm-event-record.png)
------
**Importante**
Se l'organizzazione utilizza Change Manager, puoi completare la seguente procedura dopo aver effettuato l'accesso all'account di gestione o all'account amministratore delegato di Change Manager.
Tuttavia, per utilizzare l'account amministratore delegato per completare questi passaggi, è necessario specificare lo stesso account amministratore delegato per entrambi e. CloudTrail Change Manager
[Quando accedi all'account di gestione diChange Manager, puoi aggiungere o modificare l'account amministratore delegato per nella CloudTrail CloudTrail pagina Impostazioni.](https://console.aws.amazon.com/cloudtrailv2/home#/settings) Questa operazione deve essere eseguita prima che l'account amministratore delegato possa creare un archivio dati degli eventi per l'intera organizzazione.
**Per attivare il monitoraggio degli eventi di CloudTrail Lake da Change Manager**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Change Manager**.
1. Seleziona la scheda **Richieste**.
1. Scegli una richiesta di modifica esistente, quindi scegli la scheda **Eventi associati**.
1. Scegli **Enable CloudTrail Lake**.
1. Segui i passaggi descritti in [Creare un archivio dati di CloudTrail eventi per gli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html) nella *Guida per l'AWS CloudTrail utente*.
Per assicurarti che i dati degli eventi per le richieste di modifica vengano archiviati, effettua le seguenti selezioni quando completi la procedura:
+ **Per **Tipo di evento**, lascia selezionati gli **AWS eventi e CloudTrail gli eventi** predefiniti.**
+ Se utilizzi Change Manager con un'organizzazione, seleziona **Abilita per tutti gli account nella mia organizzazione**.
+ Per **Eventi di gestione** non deselezionare la casella di controllo **Scrittura**.
Le altre opzioni scelte durante la creazione dell'archivio dati degli eventi non influiscono sull'archiviazione dei dati per le richieste di modifica.
# Monitoraggio delle automazioni
I *parametri* sono i concetti fondamentali in Amazon CloudWatch. Un parametro rappresenta un set in ordine cronologico di punti dati pubblicati in CloudWatch. Pensa a un parametro come a una variabile da monitorare e ai punti di dati come i valori di questa variabile nel tempo.
L'automazione è uno strumento di AWS Systems Manager. Systems Manager pubblica i parametri sull'utilizzo di Automation in CloudWatch. Ciò consente di impostare gli allarmi in base a tali parametri.
**Per visualizzare i parametri di Automation nella console di CloudWatch**
1. Aprire la console CloudWatch all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel riquadro di navigazione, scegli **Parametri**.
1. Scegliere **SSM**.
1. Nella scheda **Metrics** (Parametri), scegli **Usage** (Utilizzo), quindi seleziona **By AWS Resource** (Per risorsa AWS).
1. Nella casella di ricerca vicino all'elenco dei parametri, inserisci **SSM**.
**Visualizzazione dei parametri di Automation utilizzando la AWS CLI**
Aprire un prompt dei comandi e usare il comando seguente.
```
aws cloudwatch list-metrics \
--namespace "AWS/Usage"
```
## Parametri di Automation
Systems Manager invia i seguenti parametri di Automation a CloudWatch.
| Parametro | Descrizione |
| --- | --- |
| ConcurrentAutomationUsage | Il numero di automazioni in esecuzione nello stesso momento nell'Account AWS e nella Regione AWS correnti. |
| QueuedAutomationUsage | Il numero di automazioni attualmente in coda che non sono state avviate e hanno lo stato Pending. |
Per ulteriori informazioni sull'utilizzo dei parametri di CloudWatch, consulta i seguenti argomenti nella*Guida per l'utente di Amazon CloudWatch*:
+ [Metriche](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Metric)
+ [Uso di parametri di Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Utilizzo di allarmi Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
# Monitoraggio delle Run Command metriche tramite Amazon CloudWatch
Le *metriche* sono il concetto fondamentale in Amazon CloudWatch. Una metrica rappresenta un insieme di punti dati ordinati nel tempo su cui vengono pubblicati. CloudWatch Pensa a un parametro come a una variabile da monitorare e ai punti di dati come i valori di questa variabile nel tempo.
AWS Systems Manager pubblica metriche sullo stato dei Run Command comandi di CloudWatch, consentendoti di impostare allarmi in base a tali metriche. Run Commandè uno strumento in. AWS Systems Manager Queste statistiche vengono registrate per un periodo prolungato in modo da poter accedere alle informazioni storiche e ottenere una migliore prospettiva sulla percentuale di successo dei comandi eseguiti nel proprio Account AWS.
I valori di stato terminale relativi ai comandi per i quali è possibile monitorare i parametri includono `Success`, `Failed` e `Delivery Timed Out`. Per esempio, affinché un set di documenti di comando SSM venga eseguito ogni ora, è possibile configurare un allarme per avvisare l'utente quando uno stato `Success` non viene segnalato per una di queste ore. Per ulteriori informazioni sui valori di stato dei comandi, consulta [Informazioni sugli stati dei comandi](monitor-commands.md).
**Per visualizzare le metriche nella console CloudWatch**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel riquadro di navigazione, seleziona **Parametri**.
1. Nell'area **Allarmi per AWS servizio**, per **Servizi**, scegli **SSM-. Run Command**
**Per visualizzare le metriche utilizzando il AWS CLI**
Aprire un prompt dei comandi e usare il comando seguente.
```
aws cloudwatch list-metrics --namespace "AWS/SSM-RunCommand"
```
Per visualizzare un elenco di tutti i parametri disponibili, usare il comando seguente.
```
aws cloudwatch list-metrics
```
## Parametri e dimensioni di Systems Manager Run Command
Systems Manager invia le metriche dei Run Command comandi CloudWatch una volta al minuto.
Systems Manager invia le seguenti metriche di comando a CloudWatch.
**Nota**
Questi parametri utilizzano `Count` come unità, quindi `Sum` e `SampleCount` sono le statistiche più utili.
| Metrica | Description |
| --- | --- |
| CommandsDeliveryTimedOut | Il numero di comandi con lo stato terminale di Delivery Timed Out. |
| CommandsFailed | Il numero di comandi con lo stato terminale di Failed. |
| CommandsSucceeded | Il numero di comandi con lo stato terminale di Success. |
Per ulteriori informazioni sull'utilizzo CloudWatch delle metriche, consulta i seguenti argomenti nella *Amazon CloudWatch User Guide*:
+ [Parametri](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Metric)
+ [Utilizzo dei CloudWatch parametri di Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Utilizzo degli CloudWatch allarmi Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
# Registrazione delle chiamate AWS Systems Manager API con AWS CloudTrail
AWS Systems Manager è integrato con [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o un Servizio AWS. CloudTrail acquisisce tutte le chiamate API Systems Manager come eventi. Le chiamate acquisite includono le chiamate dalla console di Systems Manager e le chiamate di codice alle operazioni delle API Systems Manager. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare a quale richiesta è stata effettuataSystems Manager, l'indirizzo IP da cui è stata effettuata la richiesta, quando è stata effettuata e dettagli aggiuntivi.
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con le credenziali utente root o utente.
+ Se la richiesta è stata effettuata per conto di un utente del Centro identità IAM.
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro Servizio AWS.
CloudTrail è attivo nel tuo account Account AWS quando crei l'account e hai automaticamente accesso alla **cronologia degli CloudTrail eventi**. La **cronologia CloudTrail degli eventi** fornisce un record visualizzabile, ricercabile, scaricabile e immutabile degli ultimi 90 giorni di eventi di gestione registrati in un. Regione AWS*Per ulteriori informazioni, consulta [Lavorare con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella Guida per l'utente.AWS CloudTrail * Non sono CloudTrail previsti costi per la visualizzazione della **cronologia degli eventi**.
Per una registrazione continua degli eventi degli Account AWS ultimi 90 giorni, crea un trail o un data store di eventi [CloudTrailLake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail sentieri**
Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Tutti i percorsi creati utilizzando il Console di gestione AWS sono multiregionali. È possibile creare un trail per una singola Regione o per più Regioni tramite AWS CLI. La creazione di un percorso multiregionale è consigliata in quanto consente di registrare l'intera attività del proprio Regioni AWS account. Se si crea un trail per una singola Regione, è possibile visualizzare solo gli eventi registrati nella Regione AWS del trail. Per ulteriori informazioni sui trail, consulta [Creating a trail for your Account AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) e [Creating a trail for an organization](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) nella *Guida per l'utente di AWS CloudTrail *.
Puoi inviare gratuitamente una copia dei tuoi eventi di gestione in corso al tuo bucket Amazon S3 CloudTrail creando un percorso, tuttavia ci sono costi di storage di Amazon S3. [Per ulteriori informazioni sui CloudTrail prezzi, consulta la pagina Prezzi.AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) Per informazioni sui prezzi di Amazon S3, consulta [Prezzi di Amazon S3](https://aws.amazon.com/s3/pricing/).
**CloudTrail Archivi di dati sugli eventi di Lake**
*CloudTrail Lake* ti consente di eseguire query basate su SQL sui tuoi eventi. CloudTrail [Lake converte gli eventi esistenti in formato JSON basato su righe in formato Apache ORC.](https://orc.apache.org/) ORC è un formato di archiviazione a colonne ottimizzato per il recupero rapido dei dati. Gli eventi vengono aggregati in *archivi di dati degli eventi*, che sono raccolte di eventi immutabili basate sui criteri selezionati applicando i [selettori di eventi avanzati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). I selettori applicati a un archivio di dati degli eventi controllano quali eventi persistono e sono disponibili per l'esecuzione della query. *Per ulteriori informazioni su CloudTrail Lake, consulta [Working with AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) nella Guida per l'utente.AWS CloudTrail *
CloudTrail Gli archivi e le richieste di dati sugli eventi di Lake comportano dei costi. Quando crei un datastore di eventi, scegli l'[opzione di prezzo](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. [Per ulteriori informazioni sui CloudTrail prezzi, consulta Prezzi.AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/)
## Eventi relativi ai dati di Systems Manager in CloudTrail
Gli [eventi di dati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) forniscono informazioni sulle operazioni delle risorse eseguite su o in una risorsa (ad esempio, creazione o apertura di un canale di controllo). Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati. Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati. La **cronologia CloudTrail degli eventi** non registra gli eventi relativi ai dati.
Per gli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni sui CloudTrail prezzi, consulta la sezione [AWS CloudTrail Prezzi](https://aws.amazon.com/cloudtrail/pricing/).
È possibile registrare gli eventi relativi ai dati per i tipi di risorse Systems Manager utilizzando la CloudTrail AWS CLI console o le operazioni CloudTrail API. Per ulteriori informazioni su come registrare gli eventi relativi ai dati, consulta [Registrazione di eventi relativi ai dati con Console di gestione AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console) e [Registrazione di eventi di dati con AWS Command Line Interface](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI) nella *Guida per l'utente AWS CloudTrail *.
La tabella seguente elenca i tipi di risorse Systems Manager per i quali è possibile registrare gli eventi di dati. La colonna **Data event type (console)** mostra il valore da scegliere dall'elenco **Data event type** (console) sulla CloudTrail console. La colonna del **valore resources.type** mostra il `resources.type` valore da specificare durante la configurazione dei selettori di eventi avanzati utilizzando o. AWS CLI CloudTrail APIs La CloudTrail colonna **Dati APIs registrati mostra le chiamate API registrate per** il tipo di risorsa. CloudTrail
| Tipo di evento di dati (console) | valore resources.type | Dati registrati APIs su CloudTrail |
| --- | --- | --- |
| Systems Manager | AWS::SSMMessages::ControlChannel | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html) Per ulteriori informazioni su queste operazioni, consulta la sezione [Operazioni definite da Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html#amazonmessagegatewayservice-actions-as-permissions) nella *Service Authorization Reference*. |
| Nodo gestito da Systems Manager | AWS::SSM::ManagedNode | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html)Per ulteriori informazioni sull'operazione `RequestManagedInstanceRoleToken`, consulta [Convalida di macchine attivate da sistemi tramite un'impronta digitale hardware](ssm-agent-technical-details.md#fingerprint-validation) |
È possibile configurare selettori di eventi avanzati per filtrare i campi `eventName`, `readOnly` e `resources.ARN` per registrare solo gli eventi importanti per l'utente. Per ulteriori informazioni su questi campi, consulta [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html) in *Riferimento API AWS CloudTrail *.
## Eventi di gestione di Systems Manager in CloudTrail
[Gli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) di gestione forniscono informazioni sulle operazioni di gestione eseguite sulle risorse di Account AWS. Queste operazioni sono definite anche operazioni del piano di controllo (control-plane). Per impostazione predefinita, CloudTrail registra gli eventi di gestione.
Systems Manager registra tutte le operazioni del piano di controllo CloudTrail come eventi di gestione. Le operazioni API di Systems Manager sono documentate nella [Documentazione di riferimento API AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/APIReference/Welcome.html). Ad esempio, le chiamate a`CreateMaintenanceWindows`, `PutInventory``SendCommand`, e `StartSession` le azioni generano voci nei file di CloudTrail registro. Per un esempio di configurazione CloudTrail per il monitoraggio di una chiamata all'API Systems Manager, vedere[Monitoraggio dell'attività della sessione tramite Amazon EventBridge (console)](session-manager-auditing.md#session-manager-auditing-eventbridge-events).
## Esempi di eventi Systems Manager
Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'operazione API richiesta, la data e l'ora dell'operazione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia stack ordinata delle chiamate API pubbliche, quindi gli eventi non vengono visualizzati in un ordine specifico.
**Topics**
+ [Esempi di eventi di gestione](#monitoring-cloudtrail-logs-log-entries-example-mgmt)
+ [Esempi di eventi di dati](#monitoring-cloudtrail-logs-log-entries-example-data)
### Esempi di eventi di gestione
**Esempio 1: `DeleteDocument`**
L'esempio seguente mostra un CloudTrail evento che dimostra l'`DeleteDocument`operazione su un documento denominato `example-Document` nella regione Stati Uniti orientali (Ohio) (us-east-2).
```
{
"eventVersion": "1.04",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:203.0.113.11",
"arn": "arn:aws:sts::123456789012:assumed-role/example-role/203.0.113.11",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-03-06T20:19:16Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/example-role",
"accountId": "123456789012",
"userName": "example-role"
}
}
},
"eventTime": "2018-03-06T20:30:12Z",
"eventSource": "ssm.amazonaws.com",
"eventName": "DeleteDocument",
"awsRegion": "us-east-2",
"sourceIPAddress": "203.0.113.11",
"userAgent": "example-user-agent-string",
"requestParameters": {
"name": "example-Document"
},
"responseElements": null,
"requestID": "86168559-75e9-11e4-8cf8-75d18EXAMPLE",
"eventID": "832b82d5-d474-44e8-a51d-093ccEXAMPLE",
"resources": [
{
"ARN": "arn:aws:ssm:us-east-2:123456789012:document/example-Document",
"accountId": "123456789012"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```
**Esempio 2: `StartConnection`**
L'esempio seguente mostra un CloudTrail evento per un utente che avvia una connessione RDP utilizzando Fleet Manager la regione Stati Uniti orientali (Ohio) (us-east-2). L'azione API sottostante è `StartConnection`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
"accountId": "123456789012",
"userName": "exampleRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-12-13T14:57:05Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2021-12-13T16:50:41Z",
"eventSource": "ssm-guiconnect.amazonaws.com",
"eventName": "StartConnection",
"awsRegion": "us-east-2",
"sourceIPAddress": "34.230.45.60",
"userAgent": "example-user-agent-string",
"requestParameters": {
"AuthType": "Credentials",
"Protocol": "RDP",
"ConnectionType": "SessionManager",
"InstanceId": "i-02573cafcfEXAMPLE"
},
"responseElements": {
"ConnectionArn": "arn:aws:ssm-guiconnect:us-east-2:123456789012:connection/fcb810cd-241f-4aae-9ee4-02d59EXAMPLE",
"ConnectionKey": "71f9629f-0f9a-4b35-92f2-2d253EXAMPLE",
"ClientToken": "49af0f92-d637-4d47-9c54-ea51aEXAMPLE",
"requestId": "d466710f-2adf-4e87-9464-055b2EXAMPLE"
},
"requestID": "d466710f-2adf-4e87-9464-055b2EXAMPLE",
"eventID": "fc514f57-ba19-4e8b-9079-c2913EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```
### Esempi di eventi di dati
**Esempio 1: `CreateControlChannel`**
L'esempio seguente mostra un CloudTrail evento che dimostra l'operazione. `CreateControlChannel`
```
{
"eventVersion":"1.08",
"userIdentity":{
"type":"AssumedRole",
"principalId":"AKIAI44QH8DHBEXAMPLE",
"arn":"arn:aws:sts::123456789012:assumed-role/exampleRole",
"accountId":"123456789012",
"accessKeyId":"AKIAI44QH8DHBEXAMPLE",
"sessionContext":{
"sessionIssuer":{
"type":"Role",
"principalId":"AKIAI44QH8DHBEXAMPLE",
"arn":"arn:aws:iam::123456789012:role/exampleRole",
"accountId":"123456789012",
"userName":"exampleRole"
},
"attributes":{
"creationDate":"2023-05-04T23:14:50Z",
"mfaAuthenticated":"false"
}
}
},
"eventTime":"2023-05-04T23:53:55Z",
"eventSource":"ssm.amazonaws.com",
"eventName":"CreateControlChannel",
"awsRegion":"us-east-1",
"sourceIPAddress":"192.0.2.0",
"userAgent":"example-agent",
"requestParameters":{
"channelId":"44295c1f-49d2-48b6-b218-96823EXAMPLE",
"messageSchemaVersion":"1.0",
"requestId":"54993150-0e8f-4142-aa54-3438EXAMPLE",
"userAgent":"example-agent"
},
"responseElements":{
"messageSchemaVersion":"1.0",
"tokenValue":"Value hidden due to security reasons.",
"url":"example-url"
},
"requestID":"54993150-0e8f-4142-aa54-3438EXAMPLE",
"eventID":"a48a28de-7996-4ca1-a3a0-a51fEXAMPLE",
"readOnly":false,
"resources":[
{
"accountId":"123456789012",
"type":"AWS::SSMMessages::ControlChannel",
"ARN":"arn:aws:ssmmessages:us-east-1:123456789012:control-channel/44295c1f-49d2-48b6-b218-96823EXAMPLE"
}
],
"eventType":"AwsApiCall",
"managementEvent":false,
"recipientAccountId":"123456789012",
"eventCategory":"Data"
}
```
**Esempio 2: `RequestManagedInstanceRoleToken`**
L'esempio seguente mostra un CloudTrail evento che dimostra l'`RequestManagedInstanceRoleToken`operazione.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "123456789012:aws:ec2-instance:i-02854e4bEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/aws:ec2-instance/i-02854e4bEXAMPLE",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "123456789012:aws:ec2-instance",
"arn": "arn:aws:iam::123456789012:role/aws:ec2-instance",
"accountId": "123456789012",
"userName": "aws:ec2-instance"
},
"attributes": {
"creationDate": "2023-08-27T03:34:46Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2023-08-27T03:37:15Z",
"eventSource": "ssm.amazonaws.com",
"eventName": "RequestManagedInstanceRoleToken",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Apache-HttpClient/UNAVAILABLE (Java/1.8.0_362)",
"requestParameters": {
"fingerprint": "i-02854e4bf85EXAMPLE"
},
"responseElements": null,
"requestID": "2582cced-455b-4189-9b82-7b48EXAMPLE",
"eventID": "7f200508-e547-4c27-982d-4da0EXAMLE",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::SSM::ManagedNode",
"ARN": "arn:aws:ec2:us-east-1:123456789012:instance/i-02854e4bEXAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "123456789012",
"eventCategory": "Data"
}
```
Per informazioni sul contenuto dei CloudTrail record, consultate il [contenuto dei CloudTrail record](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) nella *Guida per l'AWS CloudTrail utente*.
# Registrazione dell'output dell'azione di automazione con CloudWatch Logs
Automation, uno strumento in AWS Systems Manager, si integra con Amazon CloudWatch Logs. È possibile inviare l'output dalle operazioni `aws:executeScript` nei propri runbook al gruppo di log specificato. Systems Manager non crea un gruppo di log o flussi di log per i documenti che non utilizzano le operazioni di `aws:executeScript`. Se il documento viene utilizzato`aws:executeScript`, l'output inviato a CloudWatch Logs riguarda solo quelle azioni. È possibile utilizzare l'output delle `aws:executeScript` azioni memorizzato nel gruppo di log CloudWatch Logs per scopi di debug e risoluzione dei problemi. Se scegli un gruppo di log crittografato, anche l'output dell'azione `aws:executeScript` è crittografato. Il log dell'output delle azioni di `aws:executeScript` è un'impostazione a livello di account.
Per inviare l'output dell'azione ai runbook di proprietà di CloudWatch Logs for Amazon, l'utente o il ruolo che esegue l'automazione deve disporre delle autorizzazioni per le seguenti operazioni:
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:PutLogEvents`
Per i runbook di tua proprietà, devi aggiungere le stesse autorizzazioni al ruolo del servizio IAM (o AssumeRole) che usi per eseguire il runbook.
**Per inviare l'output dell'azione a CloudWatch Logs (console)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Automazione**.
1. Scegli la scheda **Preferenze**, quindi seleziona **Modifica**.
1. Seleziona la casella di controllo accanto a **Invia output ai CloudWatch registri.**
1. (Consigliato) Seleziona la casella di controllo accanto a **Crittografare i dati di log**. Se questa opzione è attivata, i dati di log vengono crittografati utilizzando la chiave di crittografia lato server specificata per il gruppo di log. Se non desideri crittografare i dati di registro inviati ai CloudWatch registri, deseleziona la casella di controllo. Deselezionare la casella di controllo se la crittografia non è consentita nel gruppo di log.
1. Per il **gruppo di log CloudWatch Logs**, per specificare il gruppo di log CloudWatch Logs esistente nel gruppo a Account AWS cui si desidera inviare l'output dell'azione, selezionate una delle seguenti opzioni:
+ **Invia l'output al gruppo di log predefinito**: se il gruppo di log predefinito non esiste (`/aws/ssm/automation/executeScript`), l'automazione lo crea automaticamente.
+ **Choose from the list of log groups (Scegli un gruppo dall'elenco dei gruppi di log)**: selezionare un gruppo di log che è già stato creato nel proprio account per archiviare i risultati delle operazioni.
+ **Enter a bucket name in the text box (Immetti un nome di bucket nella casella di testo)**: immettere il nome di un gruppo di log che è già stato creato nell'account per archiviare i risultati delle operazioni.
1. Scegli **Save** (Salva).
**Per inviare l'output dell'azione a CloudWatch Logs (riga di comando)**
1. Aprire lo strumento di riga di comando preferito ed eseguire il comando seguente per aggiornare la destinazione del risultato dell'azione.
------
#### [ Linux & macOS ]
```
aws ssm update-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination \
--setting-value CloudWatch
```
------
#### [ Windows ]
```
aws ssm update-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination ^
--setting-value CloudWatch
```
------
#### [ PowerShell ]
```
Update-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination" `
-SettingValue "CloudWatch"
```
------
Se il comando va a buon fine, non viene generato output.
1. Eseguire il comando seguente per specificare il gruppo di log a cui inviare il risultato dell'azione.
------
#### [ Linux & macOS ]
```
aws ssm update-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name \
--setting-value my-log-group
```
------
#### [ Windows ]
```
aws ssm update-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name ^
--setting-value my-log-group
```
------
#### [ PowerShell ]
```
Update-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name" `
-SettingValue "my-log-group"
```
------
Se il comando va a buon fine, non viene generato output.
1. Esegui il comando seguente per visualizzare le impostazioni correnti del servizio per le preferenze di registrazione delle azioni di automazione nella versione corrente Account AWS e. Regione AWS
------
#### [ Linux & macOS ]
```
aws ssm get-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
```
------
#### [ Windows ]
```
aws ssm get-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
```
------
#### [ PowerShell ]
```
Get-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination"
```
------
Il comando restituisce informazioni simili alle seguenti.
```
{
"ServiceSetting": {
"Status": "Customized",
"LastModifiedDate": 1613758617.036,
"SettingId": "/ssm/automation/customer-script-log-destination",
"LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
"SettingValue": "CloudWatch",
"ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/automation/customer-script-log-destination"
}
}
```
# Configurazione di Amazon CloudWatch Logs per Run Command
Quando invii un comando utilizzandoRun Command, a tool in AWS Systems Manager, puoi specificare dove vuoi inviare l'output del comando. Per impostazione predefinita, Systems Manager restituisce solo i primi 24.000 caratteri dell'output del comando. Se si desidera visualizzare i dettagli completi del risultato del comando, è possibile specificare un bucket Amazon Simple Storage Service (Amazon S3). Oppure puoi specificare Amazon CloudWatch Logs. Se CloudWatch specifichi Logs, invia Run Command periodicamente tutti gli output dei comandi e i log degli errori a Logs. CloudWatch È possibile monitorare i log di output in tempo quasi reale, cercare locuzioni, valori o modelli specifici e creare allarmi in base alla ricerca.
Se hai configurato il nodo gestito per utilizzare le policy gestite AWS Identity and Access Management (IAM) `AmazonSSMManagedInstanceCore` e `CloudWatchAgentServerPolicy` il nodo non richiede alcuna configurazione aggiuntiva per inviare l'output ai registri. CloudWatch Scegli questa opzione se invii comandi dalla console o aggiungi la `cloud-watch-output-config` sezione e il `CloudWatchOutputEnabled` parametro se usi AWS Command Line Interface (AWS CLI) o un'operazione API. AWS Tools for Windows PowerShell La sezione `cloud-watch-output-config` e il parametro `CloudWatchOutputEnabled` sono descritti in dettaglio più avanti in questo argomento.
Per informazioni sull'aggiunta di policy a un profilo dell'istanza per le istanze EC2, consulta la pagina [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md). Per informazioni sull'aggiunta di policy a un ruolo di servizio per server on-premises e macchine virtuali che si prevede di utilizzare come nodi gestiti, si veda [Creazione di un ruolo di servizio IAM richiesto per System Manager in ambiente ibrido e multicloud](hybrid-multicloud-service-role.md).
Se utilizzi una policy personalizzata sui tuoi nodi, aggiorna la policy su ogni nodo per consentire a Systems Manager di inviare output e log a CloudWatch Logs. Aggiungere i seguenti oggetti di policy alla policy personalizzata. Per informazioni sull'aggiornamento di una policy IAM, si veda [Editing IAM policies (Modifica di policy IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) nella *Guida per l'utente di IAM*.
```
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect":"Allow",
"Action":[
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource":"arn:aws:logs:*:*:log-group:/aws/ssm/*"
},
```
## Specificare i CloudWatch log quando si inviano i comandi
Per specificare CloudWatch Logs come output quando inviate un comando da Console di gestione AWS, scegliete **CloudWatch Output nella sezione Opzioni di** **output**. Facoltativamente, è possibile specificare il nome del gruppo CloudWatch Logs a cui si desidera inviare l'output del comando. Se non si specifica il nome di un gruppo, Systems Manager crea automaticamente un gruppo di log. Il gruppo di log utilizza il seguente formato di nomi: `/aws/ssm/SystemsManagerDocumentName`
Se esegui comandi utilizzando il AWS CLI, specifica la `cloud-watch-output-config` sezione nel comando. Questa sezione consente di specificare il parametro `CloudWatchOutputEnabled` e, facoltativamente, il parametro `CloudWatchLogGroupName`. Ecco un esempio.
------
#### [ Linux & macOS ]
```
aws ssm send-command \
--instance-ids "instance ID" \
--document-name "AWS-RunShellScript" \
--parameters "commands=echo helloWorld" \
--cloud-watch-output-config "CloudWatchOutputEnabled=true,CloudWatchLogGroupName=log group name"
```
------
#### [ Windows ]
```
aws ssm send-command ^
--document-name "AWS-RunPowerShellScript" ^
--parameters commands=["echo helloWorld"] ^
--targets "Key=instanceids,Values=an instance ID” ^
--cloud-watch-output-config '{"CloudWatchLogGroupName":"log group name","CloudWatchOutputEnabled":true}'
```
------
## Visualizzazione dell'output del comando nei CloudWatch registri
Non appena il comando inizia a essere eseguito, Systems Manager invia l'output a CloudWatch Logs in tempo quasi reale. L'output in CloudWatch Logs utilizza il seguente formato:
`CommandID/InstanceID/PluginID/stdout`
`CommandID/InstanceID/PluginID/stderr`
Il risultato dell'esecuzione viene caricato ogni 30 secondi o quando il buffer supera i 200 KB, a seconda di quale condizione si verifica prima.
**Nota**
I flussi di log vengono creati solo quando sono disponibili dati di output. Per esempio, se per un'esecuzione non sono presenti dati con errori, il flusso stderr non viene creato.
Di seguito è riportato un esempio dell'output del comando visualizzato nei CloudWatch registri.
```
Group - /aws/ssm/AWS-RunShellScript
Streams –
1234-567-8910/i-abcd-efg-hijk/AWS-RunPowerShellScript/stdout
24/1234-567-8910/i-abcd-efg-hijk/AWS-RunPowerShellScript/stderr
```
# Monitoraggio degli eventi di Systems Manager con Amazon EventBridge
Amazon EventBridge è un servizio di bus eventi senza server che ti consente di connettere le tue applicazioni con dati provenienti da una varietà di fonti. EventBridge fornisce un flusso di dati in tempo reale dalle tue applicazioni software-as-a-service (SaaS) Servizi AWS e indirizza tali dati verso destinazioni come. AWS LambdaÈ possibile impostare regole di routing per determinare dove inviare i dati per creare architetture applicative che reagiscano in tempo reale a tutte le fonti di dati. EventBridge consente di creare architetture basate sugli eventi, che sono liberamente accoppiate e distribuite.
EventBridge in precedenza si chiamava Amazon CloudWatch Events. EventBridge include nuove funzionalità che consentono di ricevere eventi dai partner SaaS e dalle proprie applicazioni. Gli utenti esistenti di CloudWatch Events possono accedere al bus, alle regole e agli eventi predefiniti esistenti nella nuova EventBridge console e nella console CloudWatch Events. EventBridge utilizza la stessa API CloudWatch Events, quindi tutto l'utilizzo dell'API CloudWatch Events esistente rimane lo stesso.
EventBridge puoi aggiungere Servizi AWS alle tue regole gli eventi di decine di utenti e gli obiettivi scelti tra più di 20 Servizi AWS.
EventBridge fornisce supporto sia per AWS Systems Manager gli eventi che per gli obiettivi Systems Manager.
**Tipi di eventi supportati da Systems Manager**
Tra i molti tipi di eventi Systems Manager che è EventBridge possibile rilevare ci sono:
+ Aggiornamento dello stato di una richiesta di accesso al just-in-time nodo per le approvazioni manuali.
+ Una richiesta di accesso al just-in-time nodo non riuscita.
+ La disattivazione della finestra di manutenzione.
+ Un flusso di lavoro di Automation completato in modo corretto. L’automazione è uno strumento di AWS Systems Manager.
+ Un nodo gestito non rientra nella conformità delle patch.
+ Valore del parametro in fase di aggiornamento.
EventBridge supporta gli eventi dei seguenti AWS Systems Manager strumenti:
+ Just-in-time accesso al nodo (gli eventi vengono emessi con la massima diligenza possibile).
+ Automation (gli eventi vengono emessi sulla base del miglior tentativo).
+ Change Calendar (Gli eventi vengono emessi nel miglior modo possibile.)
+ Conformità
+ Inventario (Gli eventi vengono emessi nel miglior modo possibile).
+ Maintenance Windows (Gli eventi vengono emessi nel miglior modo possibile.)
+ Parameter Store (Gli eventi vengono emessi nel miglior modo possibile.)
+ Run Command (Gli eventi vengono emessi nel miglior modo possibile.)
+ State Manager (Gli eventi vengono emessi nel miglior modo possibile.)
Per informazioni dettagliate sui tipi di evento di Systems Manager supportati, vedere [Riferimento: modelli e tipi di EventBridge eventi Amazon per Systems Manager](reference-eventbridge-events.md) e [Esempi di EventBridge eventi Amazon per Systems Manager](monitoring-systems-manager-event-examples.md).
**Tipi di target supportati da Systems Manager**
EventBridge supporta i seguenti tre strumenti di Systems Manager come obiettivi di una regola di evento:
+ Esecuzione di un flusso di lavoro di Automation
+ Esecuzione di un documento di comando Run Command (Gli eventi vengono emessi nel miglior modo possibile).
+ Creazione di un OpsCenter OpsItem
Per le modalità suggerite in cui è possibile utilizzare queste destinazioni, vedere [Scenari di esempio: obiettivi di Systems Manager nelle EventBridge regole di Amazon](monitoring-systems-manager-targets.md).
Per ulteriori informazioni su come iniziare EventBridge e configurare le regole, consulta la sezione Guida [introduttiva ad Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html) nella *Amazon EventBridge User Guide*. Per informazioni complete su come lavorare con EventBridge, consulta la [https://docs.aws.amazon.com/eventbridge/latest/userguide/](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
**Topics**
+ [Configurazione EventBridge per gli eventi di Systems Manager](monitoring-systems-manager-events.md)
+ [Esempi di EventBridge eventi Amazon per Systems Manager](monitoring-systems-manager-event-examples.md)
+ [Scenari di esempio: obiettivi di Systems Manager nelle EventBridge regole di Amazon](monitoring-systems-manager-targets.md)
# Configurazione EventBridge per gli eventi di Systems Manager
Puoi utilizzare Amazon EventBridge per eseguire un evento target quando si verificano cambiamenti di AWS Systems Manager stato supportati, cambiamenti di stato o altre condizioni. Puoi scegliere di creare una regola che venga eseguita ogni volta che si verifica una transizione di stato o status, o quando si verifica una transizione verso uno o più stati di interesse.
La procedura seguente fornisce i passaggi generali per la creazione di una EventBridge regola che si attiva quando un evento specificato viene emesso da Systems Manager. Per un elenco delle procedure in questa guida per l'utente relative a scenari specifici, vedere **Ulteriori informazioni** alla fine di questo argomento.
**Nota**
Quando un tuo servizio Account AWS emette un evento, questo passa sempre al bus eventi predefinito del tuo account. Per scrivere una regola che risponde agli eventi provenienti dagli Servizi AWS nel tuo account, associala al router di eventi predefinito. Puoi creare una regola su un bus di eventi personalizzato che cerca eventi da Servizi AWS, ma questa regola si attiva solo quando ricevi un evento di questo tipo da un altro account tramite la distribuzione di eventi tra account. Per ulteriori informazioni, consulta [Invio e ricezione di EventBridge eventi Amazon tra due Account AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html) nella *Amazon EventBridge User Guide*.
**EventBridge Per configurare gli eventi di Systems Manager**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Nel pannello di navigazione, scegli **Regole**.
1. Scegli **Crea regola**.
1. Inserisci un nome e una descrizione per la regola.
Una regola non può avere lo stesso nome di un'altra regola nello stesso Regione AWS e sullo stesso bus di eventi.
1. Per **Router di eventi**, scegli quello che desideri associare a questa regola. Se desideri che questa regola risponda agli eventi corrispondenti generati dai tuoi Account AWS, seleziona **Predefinito**. Quando un Servizio AWS utente del tuo account emette un evento, questo passa sempre al bus eventi predefinito del tuo account.
1. Per **Tipo di regola**, scegli **Regola con un modello di eventi**.
1. Scegli **Next (Successivo)**.
1. Per **Event source**, scegli **AWS eventi o eventi EventBridge partner**.
1. Nella sezione **Modello di eventi**, scegli **Modulo di modello di eventi**.
1. Per **Origine evento**, scegli **Servizi AWS **.
1. Per **AWS **, scegli **Systems Manager**.
1. Per **Tipo di evento**, procedere in uno dei seguenti modi:
+ Scegli **Tutti gli eventi**.
Se scegli **Tutti gli eventi**, quelli emessi da Systems Manager corrisponderanno alla regola. Tieni presente che questa opzione può comportare molte operazioni di destinazione evento.
+ Scegli il tipo di evento Systems Manager da utilizzare per questa regola. EventBridge supporta gli eventi dei seguenti AWS Systems Manager strumenti:
+ Automazione
+ Change Calendar
+ Conformità
+ Inventory
+ Maintenance Windows
+ Parameter Store
+ Run Command
+ State Manager
**Nota**
Per le azioni di Systems Manager che non sono supportate da EventBridge, è possibile scegliere una chiamata AWS API CloudTrail per creare una regola di evento basata su una chiamata API, che viene registrata da CloudTrail. Per vedere un esempio, consulta [Monitoraggio dell'attività della sessione tramite Amazon EventBridge (console)](session-manager-auditing.md#session-manager-auditing-eventbridge-events).
1. (Facoltativo) Per rendere la regola più specifica, aggiungi i valori del filtro. Ad esempio, se hai scelto **State Manager** e vuoi limitare la regola allo stato di una singola istanza gestita a cui è destinata un'associazione, per **Tipi specifici**, scegli **Modifica dello stato dell'associazione dell’istanza del gestore di stato EC2**.
Per informazioni complete sui tipi di dettagli supportati, consulta [Riferimento: modelli e tipi di EventBridge eventi Amazon per Systems Manager](reference-eventbridge-events.md).
Alcuni tipi di dettaglio hanno altre opzioni supportate, come lo stato. Le opzioni disponibili dipendono dallo strumento selezionato.
1. Scegli **Next (Successivo)**.
1. Per **Tipi di destinazione**, scegli **servizio AWS **.
1. Per **Seleziona una destinazione**, scegli una destinazione come un argomento o AWS Lambda una funzione di Amazon SNS. La destinazione viene attivata quando viene ricevuto un evento che corrisponde al modello di evento definito nella regola.
1. Per molti tipi di target, EventBridge sono necessarie le autorizzazioni per inviare eventi alla destinazione. In questi casi, EventBridge può creare il ruolo AWS Identity and Access Management (IAM) necessario per l'esecuzione della regola:
+ Per creare un ruolo IAM automaticamente, seleziona **Crea un nuovo ruolo per questa risorsa specifica**.
+ Per utilizzare un ruolo IAM creato in precedenza, seleziona **Utilizza un ruolo esistente**.
1. (Facoltativo) Scegli **Aggiungi destinazione** per aggiungere un’altra destinazione per questa regola.
1. Scegli **Next (Successivo)**.
1. (Facoltativo) Inserire uno o più tag per la regola. Per ulteriori informazioni, consulta i [ EventBridge tag Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) nella *Amazon EventBridge User Guide*.
1. Scegli **Next (Successivo)**.
1. Rivedi i dettagli della regola e scegli **Crea regola**.
**Ulteriori informazioni**
+ [Creazione di un EventBridge evento che utilizza un runbook (console)](running-automations-event-bridge.md#automation-cwe-target-console)
+ [Trasmissione dei dati ad Automazione tramite trasformatori di input](automation-tutorial-eventbridge-input-transformers.md)
+ [Risoluzione dei problemi di conformità mediante EventBridge](compliance-fixing.md)
+ [Visualizzazione delle azioni di eliminazione dell'inventario in EventBridge](inventory-custom.md#delete-custom-inventory-cwe)
+ [Configura EventBridge le regole per creare OpsItems](OpsCenter-automatically-create-OpsItems-2.md)
+ [Configurazione delle EventBridge regole per i parametri e le politiche relative ai parametri](sysman-paramstore-cwe.md#cwe-parameter-changes)
# Esempi di EventBridge eventi Amazon per Systems Manager
Di seguito sono riportati alcuni esempi, in formato JSON, di EventBridge eventi supportati per. AWS Systems Manager
**Topics**
+ [AWS Systems Manager Eventi di automazione](#SSM-Automation-event-types)
+ [AWS Systems Manager EventiChange Calendar](#SSM-Change-Management-event-types)
+ [AWS Systems Manager EventiChange Manager](#SSM-Change-Manager-event-types)
+ [AWS Systems Manager Eventi di conformità](#SSM-Configuration-Compliance-event-types)
+ [AWS Systems Manager EventiMaintenance Windows](#EC2_maintenance_windows_event_types)
+ [AWS Systems Manager EventiParameter Store](#SSM-Parameter-Store-event-types)
+ [AWS Systems Manager EventiOpsCenter](#SSM-OpsCenter-event-types)
+ [AWS Systems Manager EventiRun Command](#SSM-Run-Command-event-types)
+ [AWS Systems Manager EventiState Manager](#SSM-State-Manager-event-types)
## AWS Systems Manager Eventi di automazione
**Notifica della modifica dello stato della fase di automazione**
```
{
"version": "0",
"id": "eeca120b-a321-433e-9635-dab369006a6b",
"detail-type": "EC2 Automation Step Status-change Notification",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-11-29T19:43:35Z",
"region": "us-east-1",
"resources": ["arn:aws:ssm:us-east-2:123456789012:automation-execution/333ba70b-2333-48db-b17e-a5e69c6f4d1c",
"arn:aws:ssm:us-east-2:123456789012:automation-definition/runcommand1:1"],
"detail": {
"ExecutionId": "333ba70b-2333-48db-b17e-a5e69c6f4d1c",
"Definition": "runcommand1",
"DefinitionVersion": 1.0,
"Status": "Success",
"EndTime": "Nov 29, 2024 7:43:25 PM",
"StartTime": "Nov 29, 2024 7:43:23 PM",
"Time": 2630.0,
"StepName": "runFixedCmds",
"Action": "aws:runCommand"
}
}
```
**Notifica della modifica dello stato dell'esecuzione dell'automazione**
```
{
"version": "0",
"id": "d290ece9-1088-4383-9df6-cd5b4ac42b99",
"detail-type": "EC2 Automation Execution Status-change Notification",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-11-29T19:43:35Z",
"region": "us-east-2",
"resources": ["arn:aws:ssm:us-east-2:123456789012:automation-execution/333ba70b-2333-48db-b17e-a5e69c6f4d1c",
"arn:aws:ssm:us-east-2:123456789012:automation-definition/runcommand1:1"],
"detail": {
"ExecutionId": "333ba70b-2333-48db-b17e-a5e69c6f4d1c",
"Definition": "runcommand1",
"DefinitionVersion": 1.0,
"Status": "Success",
"StartTime": "Nov 29, 2024 7:43:20 PM",
"EndTime": "Nov 29, 2024 7:43:26 PM",
"Time": 5753.0,
"ExecutedBy": "arn:aws:iam::123456789012:user/userName"
}
}
```
## AWS Systems Manager EventiChange Calendar
Utilizza le informazioni contenute in questo argomento per pianificare e comprendere il comportamento degli EventBridge eventi per AWS Systems ManagerChange Calendar.
**Nota**
Le modifiche di stato per i calendari condivisi da altri non Account AWS sono attualmente supportate.
### Change Calendarintegrazione con Amazon EventBridge
AWS Systems Manager Change Calendarsi integra con Amazon EventBridge per notificarti le modifiche allo stato del calendario. Tieni presente i seguenti comportamenti relativi all'architettura di pianificazione sottostante:
Tempistica e affidabilità degli eventi
+ EventBridge invia notifiche con la massima diligenza possibile con una tolleranza di pianificazione fino a 15 minuti.
+ Gli eventi di modifica dello stato riflettono le transizioni generali dello stato del calendario, non i singoli eventi di quest'ultimo.
+ Quando si verificano più eventi del calendario contemporaneamente, EventBridge genera un solo evento per ogni modifica effettiva dello stato del calendario.
+ EventBridge attiva gli eventi solo quando le transizioni di stato generali del calendario (ad esempio, da CHIUSO a APERTO), non per singoli eventi del calendario che non comportano una modifica dello stato.
+ Gli eventi di avviso che non modificano lo stato del calendario non attivano le notifiche. EventBridge
Modifiche agli eventi e considerazioni sulla tempistica
+ Se modifichi gli eventi del calendario entro 15 minuti dall'ora di inizio o di fine pianificata, è EventBridge possibile che vengano generate notifiche duplicate o mancate.
+ Questo comportamento si verifica, perché il sistema di pianificazione potrebbe non avere tempo sufficiente per aggiornare o annullare correttamente le notifiche precedentemente pianificate.
+ Per gli eventi ricorrenti, questo comportamento influisce in genere solo sulla prima occorrenza dopo la modifica.
Eventi adiacenti e sovrapposti
+ Quando gli eventi del calendario sono programmati a distanza di cinque minuti l'uno dall'altro, è possibile che si verifichino o meno eventi di transizione di stato, a seconda dell'effettivo cambiamento di stato.
+ La creazione di eventi sovrapposti in determinati ordini potrebbe generare EventBridge eventi aggiuntivi anche quando non si verifica alcun cambiamento di stato effettivo.
+ Per garantire un comportamento prevedibile, evita di creare o modificare eventi del calendario in prossimità dei tempi di esecuzione.
Best practice
+ Progetta EventBridge le tue regole e l'automazione a valle per gestire potenziali eventi duplicati.
+ Implementa l'idempotenza nei flussi di lavoro di automazione, per evitare problemi dovuti alla duplicazione delle notifiche.
+ Concedi un tempo di consegna sufficiente (almeno 15 minuti) quando crei o modifichi gli eventi del calendario.
+ Testa a fondo EventBridge le tue integrazioni con i modelli di eventi specifici del calendario.
**Calendario APERTO**
```
{
"version": "0",
"id": "47a3f03a-f30d-1011-ac9a-du3bdEXAMPLE",
"detail-type": "Calendar State Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-09-19T18:00:07Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:document/MyCalendar"
],
"detail": {
"state": "OPEN",
"atTime": "2024-09-19T18:00:07Z",
"nextTransitionTime": "2024-10-11T18:00:07Z"
}
}
```
**Calendario CHIUSO**
```
{
"version": "0",
"id": "f30df03a-1011-ac9a-47a3-f761eEXAMPLE",
"detail-type": "Calendar State Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-09-17T21:40:02Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:document/MyCalendar"
],
"detail": {
"state": "CLOSED",
"atTime": "2024-08-17T21:40:00Z",
"nextTransitionTime": "2024-09-19T18:00:07Z"
}
}
```
## AWS Systems Manager EventiChange Manager
**Notifica di aggiornamento dello stato della richiesta di modifica - Esempio 1**
```
{
"version": "0",
"id": "feab80c1-a8ff-c721-b8b1-96ce70939696",
"detail-type": "Change Request Status Update",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-10-24T10:51:52Z",
"region": "us-east-1",
"resources": [
"arn:aws:ssm:us-west-2:123456789012:opsitem/oi-12345abcdef",
"arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1"
],
"detail": {
"change-request-id": "d0585556-80f6-4522-8dad-dada6d45b67d",
"change-request-title": "A change request title",
"ops-item-id": "oi-12345abcdef",
"ops-item-created-by": "arn:aws:iam::123456789012:user/JohnDoe",
"ops-item-created-time": "2024-10-24T10:50:33.180334Z",
"ops-item-modified-by": "arn:aws:iam::123456789012:user/JohnDoe",
"ops-item-modified-time": "2024-10-24T10:50:33.180340Z",
"ops-item-status": "InProgress",
"change-template-document-name": "MyChangeTemplate",
"runbook-document-arn": "arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1",
"runbook-document-version": "1",
"auto-approve": true,
"approvers": [
"arn:aws:iam::123456789012:user/JaneDoe"
]
}
}
```
**Notifica di aggiornamento dello stato della richiesta di modifica - Esempio 2**
```
{
"version": "0",
"id": "25ce6b03-2e4e-1a2b-2a8f-6c9de8d278d2",
"detail-type": "Change Request Status Update",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-10-24T10:51:52Z",
"region": "us-east-1",
"resources": [
"arn:aws:ssm:us-west-2:123456789012:opsitem/oi-abcdef12345",
"arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1"
],
"detail": {
"change-request-id": "d0585556-80f6-4522-8dad-dada6d45b67d",
"change-request-title": "A change request title",
"ops-item-id": "oi-abcdef12345",
"ops-item-created-by": "arn:aws:iam::123456789012:user/JohnDoe",
"ops-item-created-time": "2024-10-24T10:50:33.180334Z",
"ops-item-modified-by": "arn:aws:iam::123456789012:user/JohnDoe",
"ops-item-modified-time": "2024-10-24T10:50:33.997163Z",
"ops-item-status": "Rejected",
"change-template-document-name": "MyChangeTemplate",
"runbook-document-arn": "arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1",
"runbook-document-version": "1",
"auto-approve": true,
"approvers": [
"arn:aws:iam::123456789012:user/JaneDoe"
]
}
}
```
## AWS Systems Manager Eventi di conformità
Di seguito sono riportati alcuni esempi di eventi relativi alla AWS Systems Manager conformità.
**Associazione conforme**
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "Configuration Compliance State Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-07-17T19:03:26Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
],
"detail": {
"last-runtime": "2024-01-01T10:10:10Z",
"compliance-status": "compliant",
"resource-type": "managed-instance",
"resource-id": "i-01234567890abcdef",
"compliance-type": "Association"
}
}
```
**Associazione non conforme**
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "Configuration Compliance State Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-07-17T19:02:31Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
],
"detail": {
"last-runtime": "2024-01-01T10:10:10Z",
"compliance-status": "non_compliant",
"resource-type": "managed-instance",
"resource-id": "i-01234567890abcdef",
"compliance-type": "Association"
}
}
```
**Patch conforme**
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "Configuration Compliance State Change",
"source": "aws.123456789012",
"account": "123456789012",
"time": "2024-07-17T19:03:26Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
],
"detail": {
"resource-type": "managed-instance",
"resource-id": "i-01234567890abcdef",
"compliance-status": "compliant",
"compliance-type": "Patch",
"patch-baseline-id": "PB789",
"severity": "critical"
}
}
```
**Patch non conforme**
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "Configuration Compliance State Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-07-17T19:02:31Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
],
"detail": {
"resource-type": "managed-instance",
"resource-id": "i-01234567890abcdef",
"compliance-status": "non_compliant",
"compliance-type": "Patch",
"patch-baseline-id": "PB789",
"severity": "critical"
}
}
```
## AWS Systems Manager EventiMaintenance Windows
Di seguito sono elencati alcuni esempi di eventi per Systems Manager Maintenance Windows.
**Registrazione di un target**
I valori validi dello stato includono `REGISTERED` e `DEREGISTERED`.
```
{
"version":"0",
"id":"01234567-0123-0123-0123-0123456789ab",
"detail-type":"Maintenance Window Target Registration Notification",
"source":"aws.ssm",
"account":"123456789012",
"time":"2024-11-16T00:58:37Z",
"region":"us-east-2",
"resources":[
"arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0ed7251d3fcf6e0c2",
"arn:aws:ssm:us-east-2:123456789012:windowtarget/e7265f13-3cc5-4f2f-97a9-7d3ca86c32a6"
],
"detail":{
"window-target-id":"e7265f13-3cc5-4f2f-97a9-7d3ca86c32a6",
"window-id":"mw-0ed7251d3fcf6e0c2",
"status":"REGISTERED"
}
}
```
**Tipo di esecuzione della finestra**
I valori validi dello stato includono i seguenti elementi:
+ `CANCELLED`
+ `CANCELLING`
+ `FAILED`
+ `IN_PROGRESS`
+ `PENDING`
+ `SKIPPED_OVERLAPPING`
+ `SUCCESS TIMED_OUT`
```
{
"version":"0",
"id":"01234567-0123-0123-0123-0123456789ab",
"detail-type":"Maintenance Window Execution State-change Notification",
"source":"aws.ssm",
"account":"123456789012",
"time":"2025-06-02T14:52:18Z",
"region":"us-east-2",
"resources":[
"arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
],
"detail":{
"start-time":"2025-06-02T14:48:28.039273Z",
"end-time":"2025-06-02T14:52:18.083773Z",
"window-id":"mw-0ed7251d3fcf6e0c2",
"window-execution-id":"14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE",
"status":"SUCCESS"
}
}
```
**Tipo di esecuzione dell'attività**
I valori validi dello stato includono `IN_PROGRESS`, `SUCCESS`, `FAILED` e `TIMED_OUT`.
```
{
"version":"0",
"id":"01234567-0123-0123-0123-0123456789ab",
"detail-type":"Maintenance Window Task Execution State-change Notification",
"source":"aws.ssm",
"account":"123456789012",
"time":"2025-06-02T14:52:18Z",
"region":"us-east-2",
"resources":[
"arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
],
"detail":{
"start-time":"2025-06-02T14:48:28.039273Z",
"task-execution-id":"6417e808-7f35-4d1a-843f-123456789012",
"end-time":"2025-06-02T14:52:18.083773Z",
"window-id":"mw-0ed7251d3fcf6e0c2",
"window-execution-id":"14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE",
"status":"SUCCESS"
}
}
```
**Attività del target elaborata**
I valori validi dello stato includono `IN_PROGRESS`, `SUCCESS`, `FAILED` e `TIMED_OUT`.
```
{
"version":"0",
"id":"01234567-0123-0123-0123-0123456789ab",
"detail-type":"Maintenance Window Task Target Invocation State-change Notification",
"source":"aws.ssm",
"account":"123456789012",
"time":"2025-06-02T14:52:18Z",
"region":"us-east-2",
"resources":[
"arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-123456789012345678"
],
"detail":{
"start-time":"2025-06-02T14:48:28.039273Z",
"end-time":"2025-06-02T14:52:18.083773Z",
"window-id":"mw-0ed7251d3fcf6e0c2",
"window-execution-id":"791b72e0-f0da-4021-8b35-f95dfEXAMPLE",
"task-execution-id":"c9b05aba-197f-4d8d-be34-e73fbEXAMPLE",
"window-target-id":"e32eecb2-646c-4f4b-8ed1-205fbEXAMPLE",
"status":"SUCCESS",
"owner-information":"Owner"
}
}
```
**Modifica dello stato della finestra**
I valori validi dello stato includono `ENABLED` e `DISABLED`.
```
{
"version":"0",
"id":"01234567-0123-0123-0123-0123456789ab",
"detail-type":"Maintenance Window State-change Notification",
"source":"aws.ssm",
"account":"123456789012",
"time":"2024-11-16T00:58:37Z",
"region":"us-east-2",
"resources":[
"arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
],
"detail":{
"window-id":"mw-0c50858d01EXAMPLE",
"status":"DISABLED"
}
}
```
## AWS Systems Manager EventiParameter Store
Di seguito sono elencati alcuni esempi di eventi per Systems Manager Parameter Store.
**Creazione di un parametro**
```
{
"version": "0",
"id": "6a7e4feb-b491-4cf7-a9f1-bf3703497718",
"detail-type": "Parameter Store Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-05-22T16:43:48Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:parameter/MyExampleParameter"
],
"detail": {
"operation": "Create",
"name": "MyExampleParameter",
"type": "String",
"description": "Sample Parameter"
}
}
```
**Aggiornamento di un parametro**
```
{
"version": "0",
"id": "9547ef2d-3b7e-4057-b6cb-5fdf09ee7c8f",
"detail-type": "Parameter Store Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-05-22T16:44:48Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:parameter/MyExampleParameter"
],
"detail": {
"operation": "Update",
"name": "MyExampleParameter",
"type": "String",
"description": "Sample Parameter"
}
}
```
**Eliminazione di parametro**
```
{
"version": "0",
"id": "80e9b391-6a9b-413c-839a-453b528053af",
"detail-type": "Parameter Store Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-05-22T16:45:48Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:parameter/MyExampleParameter"
],
"detail": {
"operation": "Delete",
"name": "MyExampleParameter",
"type": "String",
"description": "Sample Parameter"
}
}
```
## AWS Systems Manager EventiOpsCenter
**Notifica di creazione di OpsCenter OpsItem**
```
{
"version": "0",
"id": "aae66adc-7aac-f0c0-7854-7691e8c079b8",
"detail-type": "OpsItem Create",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-10-19T02:48:11Z",
"region": "us-east-1",
"resources": [
"arn:aws:ssm:us-west-2:123456789012:opsitem/oi-123456abcdef"
],
"detail": {
"created-by": "arn:aws:iam::123456789012:user/JohnDoe",
"created-time": "2024-10-19T02:46:53.629361Z",
"source": "aws.ssm",
"status": "Open",
"ops-item-id": "oi-123456abcdef",
"title": "An issue title",
"ops-item-type": "/aws/issue",
"description": "A long description may appear here"
}
}
```
**Notifica di aggiornamento di OpsCenter OpsItem**
```
{
"version": "0",
"id": "2fb5b168-b725-41dd-a890-29311200089c",
"detail-type": "OpsItem Update",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-10-19T02:48:11Z",
"region": "us-east-1",
"resources": [
"arn:aws:ssm:us-west-2:123456789012:opsitem/oi-123456abcdef"
],
"detail": {
"created-by": "arn:aws:iam::123456789012:user/JohnDoe",
"created-time": "2024-10-19T02:46:54.049271Z",
"modified-by": "arn:aws:iam::123456789012:user/JohnDoe",
"modified-time": "2024-10-19T02:46:54.337354Z",
"source": "aws.ssm",
"status": "Open",
"ops-item-id": "oi-123456abcdef",
"title": "An issue title",
"ops-item-type": "/aws/issue",
"description": "A long description may appear here"
}
}
```
## AWS Systems Manager EventiRun Command
**Run Command Notifica della modifica dello stato**
```
{
"version": "0",
"id": "51c0891d-0e34-45b1-83d6-95db273d1602",
"detail-type": "EC2 Command Status-change Notification",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-07-10T21:51:32Z",
"region": "us-east-2",
"resources": ["arn:aws:ec2:us-east-2:123456789012:instance/i-02573cafcfEXAMPLE"],
"detail": {
"command-id": "e8d3c0e4-71f7-4491-898f-c9b35bee5f3b",
"document-name": "AWS-RunPowerShellScript",
"expire-after": "2024-07-14T22:01:30.049Z",
"parameters": {
"executionTimeout": ["3600"],
"commands": ["date"]
},
"requested-date-time": "2024-07-10T21:51:30.049Z",
"status": "Success"
}
}
```
**Run CommandNotifica della modifica dello stato della chiamata**
```
{
"version": "0",
"id": "4780e1b8-f56b-4de5-95f2-95dbEXAMPLE",
"detail-type": "EC2 Command Invocation Status-change Notification",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-07-10T21:51:32Z",
"region": "us-east-2",
"resources": ["arn:aws:ec2:us-east-2:123456789012:instance/i-02573cafcfEXAMPLE"],
"detail": {
"command-id": "e8d3c0e4-71f7-4491-898f-c9b35bee5f3b",
"document-name": "AWS-RunPowerShellScript",
"instance-id": "i-02573cafcfEXAMPLE",
"requested-date-time": "2024-07-10T21:51:30.049Z",
"status": "Success"
}
}
```
## AWS Systems Manager EventiState Manager
**State Manager Modifica dello stato dell'associazione**
```
{
"version":"0",
"id":"db839caf-6f6c-40af-9a48-25b2ae2b7774",
"detail-type":"EC2 State Manager Association State Change",
"source":"aws.ssm",
"account":"123456789012",
"time":"2024-05-16T23:01:10Z",
"region":"us-east-2",
"resources":[
"arn:aws:ssm:us-east-2::document/AWS-RunPowerShellScript"
],
"detail":{
"association-id":"6e37940a-23ba-4ab0-9b96-5d0a1a05464f",
"document-name":"AWS-RunPowerShellScript",
"association-version":"1",
"document-version":"Optional.empty",
"targets":"[{\"key\":\"InstanceIds\",\"values\":[\"i-12345678\"]}]",
"creation-date":"2024-02-13T17:22:54.458Z",
"last-successful-execution-date":"2024-05-16T23:00:01Z",
"last-execution-date":"2024-05-16T23:00:01Z",
"last-updated-date":"2024-02-13T17:22:54.458Z",
"status":"Success",
"association-status-aggregated-count":"{\"Success\":1}",
"schedule-expression":"cron(0 */30 * * * ? *)",
"association-cwe-version":"1.0"
}
}
```
**State Manager Modifica dello stato di associazione dell'istanza**
```
{
"version":"0",
"id":"6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type":"EC2 State Manager Instance Association State Change",
"source":"aws.ssm",
"account":"123456789012",
"time":"2024-02-23T15:23:48Z",
"region":"us-east-2",
"resources":[
"arn:aws:ec2:us-east-2:123456789012:instance/i-12345678",
"arn:aws:ssm:us-east-2:123456789012:document/my-custom-document"
],
"detail":{
"association-id":"34fcb7e0-9a14-4984-9989-0e04e3f60bd8",
"instance-id":"i-02573cafcfEXAMPLE",
"document-name":"my-custom-document",
"document-version":"1",
"targets":"[{\"key\":\"instanceids\",\"values\":[\"i-02573cafcfEXAMPLE\"]}]",
"creation-date":"2024-02-23T15:23:48Z",
"last-successful-execution-date":"2024-02-23T16:23:48Z",
"last-execution-date":"2024-02-23T16:23:48Z",
"status":"Success",
"detailed-status":"",
"error-code":"testErrorCode",
"execution-summary":"testExecutionSummary",
"output-url":"sampleurl",
"instance-association-cwe-version":"1"
}
}
```
# Scenari di esempio: obiettivi di Systems Manager nelle EventBridge regole di Amazon
Quando specifichi l'obiettivo da richiamare in una EventBridge regola Amazon, puoi scegliere tra oltre 20 tipi di target e aggiungere fino a cinque destinazioni a ciascuna regola.
Tra i vari obiettivi, puoi scegliere tra Automation e OpsCenterRun Command, che sono strumenti AWS Systems Manager, come azioni mirate quando si verifica un EventBridge evento.
Di seguito sono riportati alcuni esempi di modi in cui è possibile utilizzare questi strumenti come obiettivo di una EventBridge regola.
**Esempi di automazione**
È possibile configurare una EventBridge regola per avviare i flussi di lavoro di automazione quando si verificano eventi come i seguenti:
+ Quando un CloudWatch allarme Amazon segnala che un nodo gestito non ha superato un controllo di stato (`StatusCheckFailed_Instance=1`), esegui il runbook di `AWSSupport-ExecuteEC2Rescue` automazione sul nodo.
+ Quando un evento `EC2 Instance State-change Notification` si verifica perché è in esecuzione una nuova istanza Amazon Elastic Compute Cloud (Amazon EC2), eseguire il `AWS-AttachEBSVolume` Runbook di automazione sull'istanza.
+ Quando viene creato e disponibile un volume Amazon Elastic Block Store (Amazon EBS), eseguire `AWS-CreateSnapshot` runbook Automation sul volume.
**Esempi di OpsCenter**
Puoi configurare una EventBridge regola per crearne una nuova OpsItem quando si verificano incidenti come i seguenti:
+ Problemi di prestazioni, ad esempio un evento di limitazione (della larghezza di banda della rete) per Amazon DynamoDB o prestazioni di volume ridotte di Amazon EBS.
+ Un gruppo di Amazon EC2 Auto Scaling non riesce a lanciare un nodo o un flusso di lavoro di Systems Manager Automation non riesce.
+ Un'istanza EC2 modifica lo stato da `Running` a `Stopped`.
**Run Command Esempi di**
È possibile configurare una EventBridge regola per eseguire un documento Systems Manager Command Run Command quando si verificano eventi come i seguenti:
+ Quando un gruppo Auto Scaling sta per terminare, uno script Run Command potrebbe acquisire i file di log dal nodo prima che venga terminato.
+ Quando un nuovo nodo viene creato in un gruppo Auto Scaling, un'azione di destinazione Run Command può attivare il ruolo server Web o installare software sul nodo.
+ Quando si scopre che un nodo gestito non è conforme, un'azione target Run Command potrebbe aggiornare le patch sul nodo eseguendo il documento `AWS-RunPatchBaseline`.
# Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS
Puoi configurare Amazon Simple Notification Service (Amazon SNS) per inviare notifiche sullo stato dei comandi inviati utilizzando Run Command o Maintenance Windows, che sono strumenti di AWS Systems Manager. Amazon SNS coordina e gestisce l'invio e la consegna delle notifiche ai clienti o agli endpoint che sono iscritti agli argomenti di Amazon SNS. È possibile ricevere una notifica ogni volta che un comando cambia di stato o passa a uno stato specifico, ad esempio *Failed (Non riuscito)* o *Timed Out (Sottoposto a timeout)*. Quando si invia un comando a più nodi, è possibile ricevere una notifica per ciascuna copia del comando inviato a un determinato nodo. Ogni copia è denominata *invocazione*.
Amazon SNS può consegnare notifiche come HTTP o HTTPS POST, e-mail (SMTP, in testo normale o in formato JSON) oppure come messaggio inviato a una coda Amazon Simple Queue Service (Amazon SQS). Per ulteriori informazioni, consulta [Che cos'è Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*. Per esempi della struttura dei dati JSON inclusi nella notifica Amazon SNS fornita da Run Command e Maintenance Windows, si veda [Esempi di notifiche Amazon SNS per AWS Systems Manager](monitoring-sns-examples.md).
**Importante**
Prendi nota delle seguenti informazioni importanti.
Gli argomenti FIFO di Amazon Simple Notification Service non sono supportati.
Amazon Q Developer nelle applicazioni di chat non è supportato per il monitoraggio di Systems Manager con Amazon SNS. Se desideri utilizzare Amazon Q Developer nelle applicazioni di chat per monitorare Systems Manager, devi utilizzarlo con Amazon EventBridge. Per informazioni sul monitoraggio tramite Systems Manager EventBridge, vedere[Monitoraggio degli eventi di Systems Manager con Amazon EventBridge](monitoring-eventbridge-events.md). Per informazioni su Amazon EventBridge e Amazon Q Developer nelle applicazioni di chat, consulta [Tutorial: Creazione di una EventBridge regola che invia notifiche a Amazon Q Developer nelle applicazioni di chat nella](https://docs.aws.amazon.com/chatbot/latest/adminguide/create-eventbridge-rule.html) *Guida per amministratori delle applicazioni di chat di Amazon Q Developer in chat*.
## Configurare le notifiche Amazon SNS per AWS Systems Manager
Le attività di Run Command e Maintenance Windows registrate in una finestra di manutenzione possono inviare notifiche Amazon SNS relative alle attività del comando che passano negli stati seguenti:
+ In Progress (In corso)
+ Completato
+ Non riuscito
+ Timed Out (Timeout)
+ Annullato
Per informazioni sulle condizioni che determinano il passaggio di un comando a uno di questi stati, si veda [Informazioni sugli stati dei comandi](monitor-commands.md).
**Nota**
I comandi inviati mediante Run Command indicano anche gli stati In fase di eliminazione e In attesa. Questi stati non vengono acquisiti dalle notifiche Amazon SNS.
### Riepilogo dei comandi delle notifiche Amazon SNS
Se si configura Run Command o un'attività Run Command nella finestra di manutenzione per le notifiche Amazon SNS, Amazon SNS invia messaggi di riepilogo che includono le informazioni seguenti.
****
| Campo | Tipo | Description |
| --- | --- | --- |
| eventTime | Stringa | Ora di inizio dell'evento. Il timestamp è importante perché Amazon SNS non garantisce l'ordine di recapito dei messaggi. Esempio: 2016-04-26T13:15:30Z |
| documentName | Stringa | Il nome del documento SSM usato per eseguire il comando. |
| commandId | Stringa | L'ID generato da Run Command dopo l'invio del comando. |
| expiresAfter | Data | Se si raggiunge questo istante prima che inizi l'esecuzione del comando, il comando non viene eseguito. |
| Uscite 3 BucketName | Stringa | Il bucket Amazon Simple Storage Service (Amazon S3) in cui devono essere archiviate le risposte all'esecuzione del comando. |
| Uscite S3 KeyPrefix | Stringa | Il percorso della directory di Amazon S3 all'interno del bucket in cui devono essere archiviate le risposte all'esecuzione del comando. |
| requestedDateTime | Stringa | Data e ora di invio della richiesta a questo nodo specifico. |
| instanceIds | StringList | I nodi a cui è destinato il comando. IDs Le istanze sono incluse nel messaggio di riepilogo solo se l'Run Commandattività ha come obiettivo diretto l'istanza. IDs IDs Le istanze non sono incluse nel messaggio di riepilogo se l'Run Commandattività è stata emessa utilizzando il targeting basato su tag. |
| status | Stringa | Lo stato del comando. |
### Notifiche Amazon SNS basate su chiamata
Se si invia un comando a più nodi, Amazon SNS può inviare messaggi relativi a ogni copia o chiamata del comando. I messaggi includono le informazioni riportate di seguito.
****
| Campo | Tipo | Description |
| --- | --- | --- |
| eventTime | Stringa | Ora di inizio dell'evento. Il timestamp è importante perché Amazon SNS non garantisce l'ordine di recapito dei messaggi. Esempio: 2016-04-26T13:15:30Z |
| documentName | Stringa | Il nome del documento Systems Manager (documento SSM) usato per eseguire il comando. |
| requestedDateTime | Stringa | Data e ora di invio della richiesta a questo nodo specifico. |
| commandId | Stringa | L'ID generato da Run Command dopo l'invio del comando. |
| instanceId | Stringa | L'istanza di destinazione per il comando. |
| status | Stringa | Lo stato del comando per questa invocazione. |
Per configurare le notifiche di Amazon SNS quando un comando cambia di stato, eseguire le attività seguenti.
**Nota**
Se non si sta configurando le notifiche Amazon SNS per la finestra di manutenzione, è possibile saltare l'attività 5 più avanti in questo argomento.
**Topics**
+ [Riepilogo dei comandi delle notifiche Amazon SNS](#monitoring-sns-configure-summary)
+ [Notifiche Amazon SNS basate su chiamata](#monitoring-sns-configure-invocation)
+ [Attività 1: Creazione e iscrizione a un argomento Amazon SNS](#monitoring-configure-sns)
+ [Attività 2: creazione di una policy IAM per le notifiche di Amazon SNS](#monitoring-iam-policy)
+ [Attività 3: creazione di un ruolo IAM per le notifiche di Amazon SNS](#monitoring-iam-notifications)
+ [Attività 4: configurazione dell'accesso utente](#monitoring-sns-passpolicy)
+ [Attività 5: allega la PassRole policy iam: al ruolo della finestra di manutenzione](#monitoring-sns-passpolicy-mw)
### Attività 1: Creazione e iscrizione a un argomento Amazon SNS
Un*Argomento* Amazon SNS è un canale di comunicazione che le attività Run Command e Run Command, registrate in una finestra di manutenzione, usano per inviare notifiche sullo stato dei comandi. Amazon SNS supporta diversi protocolli di comunicazione, tra cui HTTP/S, e-mail e altri Servizi AWS come Amazon Simple Queue Service (Amazon SQS). Per iniziare rapidamente, consigliamo di scegliere il protocollo e-mail. Per ulteriori informazioni su come creare un argomento, consulta la pagina [Creazione di un argomento Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*.
**Nota**
Dopo aver creato l'argomento, copiare o prendere nota del valore dell'**ARN dell' argomento)**. Questo ARN dovrà essere specificato quando si invia un comando configurato per restituire le notifiche di stato.
Dopo aver creato l'argomento, effettuare la sottoscrizione specificando un **Endpoint**. Se si sceglie il protocollo e-mail, l'endpoint è l'indirizzo e-mail a cui si desidera ricevere le notifiche. Per ulteriori informazioni su come effettuare la sottoscrizione a un argomento, consultare [Sottoscrizione a un argomento di Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) nella *Guida per sviluppatori di Amazon Simple Notification Service*.
Amazon SNS invia una e-mail di conferma da *Notifiche AWS * all'indirizzo e-mail specificato. Aprire la e-mail e selezionare il collegamento **Confirm subscription (Conferma sottoscrizione)**.
Riceverai un messaggio di conferma da. AWS Amazon SNS è ora configurato per ricevere notifiche e inviare la notifica come e-mail all'indirizzo specificato.
### Attività 2: creazione di una policy IAM per le notifiche di Amazon SNS
Utilizza la seguente procedura per creare una policy personalizzata AWS Identity and Access Management (IAM) che fornisca le autorizzazioni per avviare le notifiche di Amazon SNS.
**Per creare una policy IAM personalizzata per le notifiche di Amazon SNS**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Policies (Policy)** e **Create Policy (Crea policy)**. (Se viene visualizzato il pulsante **Get Started (Inizia)**, sceglierlo, quindi scegliere **Create Policy (Crea policy)**).
1. Scegliere la scheda **JSON**.
1. Sostituisci il contenuto predefinito con uno dei seguenti, a seconda che l'argomento Amazon SNS utilizzi AWS KMS la crittografia:
------
#### [ SNS topic not encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:sns-topic-name"
}
]
}
```
------
*region*rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio `us-east-2` per la regione Stati Uniti orientali (Ohio). Per un elenco dei *region* valori supportati, vedere la colonna **Regione** negli [endpoint del servizio Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) in. *Riferimenti generali di Amazon Web Services*
**account-id**rappresenta l'identificatore a 12 cifre del tuo Account AWS, nel formato. `123456789012`
*sns-topic-name*rappresenta il nome dell'argomento Amazon SNS che desideri utilizzare per la pubblicazione delle notifiche.
------
#### [ SNS topic encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:sns-topic-name"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
}
]
}
```
------
*region*rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio `us-east-2` per la regione Stati Uniti orientali (Ohio). Per un elenco dei *region* valori supportati, vedere la colonna **Regione** negli [endpoint del servizio Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) in. *Riferimenti generali di Amazon Web Services*
**account-id**rappresenta l'identificatore a 12 cifre del tuo Account AWS, nel formato. `123456789012`
*sns-topic-name*rappresenta il nome dell'argomento Amazon SNS che desideri utilizzare per la pubblicazione delle notifiche.
*kms-key-id*rappresenta l'ID della chiave KMS di crittografia simmetrica AWS KMS da utilizzare per crittografare e decrittografare l'argomento, nel formato. `1234abcd-12ab-34cd-56ef-12345EXAMPLE`
**Nota**
L'utilizzo della crittografia è a pagamento. AWS KMS Per ulteriori informazioni, consulta [Gestire le chiavi e i costi di crittografia di Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
------
1. Scegli **Successivo: Tag**.
1. (Facoltativo) Aggiungere una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questa policy.
1. Scegli **Prossimo: Rivedi**.
1. Nella pagina **Rivedi policy**, per **Nome** inserisci un nome per la policy in linea. Ad esempio: **my-sns-publish-permissions**.
1. (Facoltativo) In **Description (Descrizione)**, inserire una descrizione per la policy.
1. Scegliere **Create Policy (Crea policy)**.
### Attività 3: creazione di un ruolo IAM per le notifiche di Amazon SNS
La seguente procedura consente di creare un ruolo IAM per le notifiche di Amazon SNS. Questo ruolo di servizio viene utilizzato da Systems Manager per avviare le notifiche Amazon SNS. In tutte le procedure successive, questo ruolo viene chiamato ruolo IAM Amazon SNS.
**Per creare un ruolo di servizio IAM per le notifiche di Amazon SNS**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione della console IAM, scegliere **Ruoli** e quindi **Crea ruolo**.
1. Scegli il tipo di ruolo **Servizio AWS**, quindi scegli Systems Manager.
1. Scegli il caso d'uso Systems Manager. Quindi, seleziona **Successivo**.
1. Nella pagina **Attach permissions policies (Collega policy di autorizzazioni)**, selezionare la casella a sinistra del nome della policy personalizzata creata nell'attività 2. Ad esempio: **my-sns-publish-permissions**.
1. (Facoltativo) Impostare un [limite delle autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Questa è una funzionalità avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.
Apri la sezione **Permissions boundary** (Limite delle autorizzazioni) e scegli **Use a permissions boundary to control the maximum role permissions** (Usa un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo). IAM include un elenco delle politiche AWS gestite e gestite dai clienti nel tuo account. Selezionare la policy da utilizzare per il limite delle autorizzazioni o scegliere **Crea policy** per aprire una nuova scheda del browser e creare una nuova policy da zero. Per ulteriori informazioni, consulta [Creating IAM policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) nella *Guida per l’utente di IAM*. Dopo aver creato la politica, chiudi la scheda e torna alla scheda originale per selezionare la politica da utilizzare per il limite delle autorizzazioni.
1. Scegli **Next (Successivo)**.
1. Se possibile, specifica un nome del ruolo o un suffisso del nome del ruolo per facilitare l'identificazione dello scopo del ruolo. I nomi dei ruoli devono essere univoci all'interno dell' Account AWS. Non vengono distinti per caso. Ad esempio, non è possibile creare ruoli denominati sia **PRODROLE** che **prodrole**. Poiché varie entità possono fare riferimento al ruolo, non è possibile modificare il nome del ruolo dopo averlo creato.
1. (Facoltativo) In **Descrizione**, inserisci una descrizione per il nuovo ruolo.
1. Scegli **Modifica** nelle sezioni **Fase 1: seleziona le entità attendibili** o **Fase 2: seleziona autorizzazioni** per modificare i casi d'uso e le autorizzazioni per il ruolo.
1. (Facoltativo) Aggiungi metadati all'utente collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo di tag in IAM, consulta la sezione [Applicazione di tag alle risorse IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *Guida per l'utente di IAM*.
1. Rivedere il ruolo e scegliere **Crea ruolo**.
1. Selezionare il nome del ruolo, quindi copiare o annotare quanto indicato in **Role ARN (ARN ruolo)**. Questo Amazon Resource Name (ARN) per il ruolo viene utilizzato quando si invia un comando configurato per restituire le notifiche Amazon SNS.
1. Tenere aperta la pagina **Riepilogo**.
### Attività 4: configurazione dell'accesso utente
Se a un'entità IAM (utente, ruolo o gruppo) vengono assegnate le autorizzazioni di amministratore, l'utente o il ruolo hanno l'accesso a Run Command e Maintenance Windows, strumenti di AWS Systems Manager.
Per le entità senza autorizzazioni di amministratore, un amministratore deve concedere le seguenti autorizzazioni all'entità IAM:
+ La policy gestita `AmazonSSMFullAccess` o una policy che fornisce autorizzazioni analoghe.
+ Le autorizzazioni `iam:PassRole` per il ruolo creato in [Attività 3: creazione di un ruolo IAM per le notifiche di Amazon SNS](#monitoring-iam-notifications). Esempio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/sns-role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
}
]
}
```
------
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
**Per configurare l'accesso utente e collegare la policy `iam:PassRole` a un account utente**
1. Nel riquadro di navigazione IAM, selezionare **Utenti**, quindi selezionare l'account utente che si desidera configurare.
1. Nella scheda **Autorizzazioni** dell'elenco delle policy, verificare che sia presente la policy **AmazonSSMFullAccess** o una policy equivalente che assegni all'account le autorizzazioni di accesso a Systems Manager.
1. Scegliere **Add inline policy** (Aggiungi policy inline).
1. Nella pagina **Create Policy** (Crea policy), scegliere la scheda **Visual editor (Editor visivo)**.
1. Selezionare **Choose a service (Scegli un servizio)** e quindi **IAM**..
1. Per **Azioni**, nella casella di testo **Filtro azioni****PassRole**, immettete e quindi selezionate la casella di controllo accanto a **PassRole**.
1. Per **Resources (Risorse)**, verificare che l'opzione **Specific (Specifico)** sia selezionata, quindi scegliere **Add ARN (Aggiungi ARN)**.
1. Nel campo **Specify ARN for role (Specifica ARN per il ruolo)**, incollare l'ARN del ruolo IAM Amazon SNS copiato alla fine dell'attività 3. Il sistema popola automaticamente i campi **Account** e **Role name with path (Nome ruolo con percorso)**.
1. Scegliere **Add (Aggiungi)**.
1. Scegliere **Review policy** (Rivedi policy).
1. Nella pagina **Review Policy (Rivedi policy)**, inserire un nome, quindi scegliere **Create Policy (Crea policy)**.
### Attività 5: allega la PassRole policy iam: al ruolo della finestra di manutenzione
Quando si registra un'attività Run Command con una finestra di manutenzione, occorre specificare un Amazon Resource Name (ARN) del ruolo di servizio. Questo ruolo di servizio viene utilizzato da Systems Manager per l'esecuzione di attività registrate nella finestra di manutenzione. Per configurare le notifiche Amazon SNS per un'attività registrata Run Command, collegare una policy `iam:PassRole` al ruolo di servizio della finestra specificato. Se non si intende configurare l'attività registrata per le notifiche Amazon SNS, questa attività può essere ignorata.
La policy `iam:PassRole` consente al ruolo di servizio Maintenance Windows di passare il ruolo IAM Amazon SNS creato nell'attività 3 al servizio Amazon SNS. La procedura seguente mostra come collegare la policy `iam:PassRole` al ruolo di servizio Maintenance Windows.
**Nota**
Per inviare notifiche correlate alle attività Run Command registrate, occorre utilizzare un ruolo di servizio personalizzato per la finestra di manutenzione. Per informazioni, consultare [Configurazione di Maintenance Windows](setting-up-maintenance-windows.md).
Se hai bisogno di creare un ruolo di servizio personalizzato per le attività della finestra di manutenzione, consulta la sezione [Configurazione di Maintenance Windows](setting-up-maintenance-windows.md).
**Per collegare la policy `iam:PassRole` al proprio ruolo Maintenance Windows**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, selezionare **Roles (Ruoli)** e selezionare il ruolo IAM Amazon SNS creato nell'attività 3.
1. Copiare o annotare l'**ARN del ruolo** e tornare alla sezione **Roles (Ruoli)** della console IAM.
1. Selezionare il ruolo di servizio personalizzato Maintenance Windows creato dall'elenco **Nome ruolo**.
1. Nella scheda **Autorizzazioni**, verifica che la policy `AmazonSSMMaintenanceWindowRole` sia elencata o che ce ne sia una analoga che conceda l'autorizzazione alle finestre di manutenzione per l'API di Systems Manager. In caso contrario, scegli **Aggiungi autorizzazioni, Collega policy** per collegarla.
1. Scegli **Add permissions, Create inline policy** (Aggiungi autorizzazioni, Crea policy inline).
1. Scegliere la scheda **Visual Editor (Editor visivo)**.
1. In **Service (Servizio)** scegliere **IAM**.
1. Per **Azioni**, nella casella di testo **Filtra azioni**, inserisci**PassRole**, quindi seleziona la casella di controllo accanto a **PassRole**.
1. Per **Resources (Risorse)**, scegliere **Specific (Specifico)**, quindi scegliere **Add ARN (Aggiungi ARN)**.
1. Nella casella **Specify ARN for role (Specifica ARN per ruolo)**, incollare l'ARN del ruolo IAM Amazon SNS creato nell'attività 3 e quindi scegliere **Add (Aggiungi)**.
1. Scegliere **Esamina policy**.
1. Nella pagina **Rivedi policy**, specifica un nome per la policy `PassRole`, quindi scegli **Crea policy**.
# Esempi di notifiche Amazon SNS per AWS Systems Manager
Puoi configurare Amazon Simple Notification Service (Amazon SNS) per inviare notifiche sullo stato dei comandi inviati utilizzando Run Command o Maintenance Windows, che sono strumenti di AWS Systems Manager.
**Nota**
In questa guida non viene spiegato come configurare le notifiche per Run Command o la Maintenance Windows. Per ulteriori informazioni sulla configurazione di Run Command o della Maintenance Windows per inviare notifiche Amazon SNS sullo stato dei comandi, consultare [Configurare le notifiche Amazon SNS per AWS Systems Manager](monitoring-sns-notifications.md#monitoring-sns-configure).
Gli esempi seguenti illustrano la struttura dell'output JSON restituito dalle notifiche Amazon SNS quando sono configurate per Run Command o la Maintenance Windows.
**Esempio di output JSON per i messaggi di riepilogo dei comandi che utilizzano la definizione dell'ID di istanza**
```
{
"commandId": "a8c7e76f-15f1-4c33-9052-0123456789ab",
"documentName": "AWS-RunPowerShellScript",
"instanceIds": [
"i-1234567890abcdef0",
"i-9876543210abcdef0"
],
"requestedDateTime": "2019-04-25T17:57:09.17Z",
"expiresAfter": "2019-04-25T19:07:09.17Z",
"outputS3BucketName": "amzn-s3-demo-bucket",
"outputS3KeyPrefix": "runcommand",
"status": "InProgress",
"eventTime": "2019-04-25T17:57:09.236Z"
}
```
**Esempio di output JSON per i messaggi di riepilogo dei comandi che utilizzano la definizione delle destinazioni con tag**
```
{
"commandId": "9e92c686-ddc7-4827-b040-0123456789ab",
"documentName": "AWS-RunPowerShellScript",
"instanceIds": [],
"requestedDateTime": "2019-04-25T18:01:03.888Z",
"expiresAfter": "2019-04-25T19:11:03.888Z",
"outputS3BucketName": "",
"outputS3KeyPrefix": "",
"status": "InProgress",
"eventTime": "2019-04-25T18:01:05.825Z"
}
```
**Esempio di output JSON per i messaggi di chiamata**
```
{
"commandId": "ceb96b84-16aa-4540-91e3-925a9a278b8c",
"documentName": "AWS-RunPowerShellScript",
"instanceId": "i-1234567890abcdef0",
"requestedDateTime": "2019-04-25T18:06:05.032Z",
"status": "InProgress",
"eventTime": "2019-04-25T18:06:05.099Z"
}
```
# Utilizzo di Run Command per inviare un comando che restituisce notifiche di stato
Le seguenti procedure mostrano come utilizzare AWS Command Line Interface (AWS CLI) o la AWS Systems Manager console per inviare un comando tramiteRun Command, uno strumento in AWS Systems Manager, configurato per restituire notifiche di stato.
## Invio di un comando Run Command che restituisce le notifiche (console)
Utilizzare la procedura seguente per inviare un comando tramite Run Command, configurato per restituire le notifiche di stato con la console del Systems Manager.
**Per inviare un comando che restituisca le notifiche (console)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Run Command**.
1. Seleziona **Esegui comando**.
1. Nell'elenco **Command document (Documento comando)**, scegliere un documento di Systems Manager.
1. Nella sezione **Command parameters (Parametri di comando)** specificare i valori per i parametri necessari.
1. In **Destinazioni**, scegli i nodi gestiti in cui si desidera eseguire questa operazione specificando i tag, selezionando le istanze o i dispositivi edge manualmente o indicando un gruppo di risorse.
**Suggerimento**
Se un nodo gestito che ti aspetti di vedere non è presente nell'elenco, consulta [Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti](fleet-manager-troubleshooting-managed-nodes.md) per suggerimenti sulla risoluzione dei problemi.
1. In **Altri parametri**:
+ In **Commento**, digita le informazioni su questo comando.
+ In **Timeout (secondi)**, specifica il numero di secondi che il sistema dovrà attendere prima di generare un errore per l'intera esecuzione del comando.
1. Per **Controllo velocità**:
+ In **Simultaneità**, specifica un numero o una percentuale di nodi gestiti su cui eseguire contemporaneamente il comando.
**Nota**
Se hai selezionato le destinazioni specificando i tag applicati ai nodi gestiti o specificando i gruppi di AWS risorse e non sei sicuro del numero di nodi gestiti come target, limita il numero di destinazioni che possono eseguire il documento contemporaneamente specificando una percentuale.
+ Per **Soglia di errore**, specificare quando interrompere l'esecuzione del comando sulle altri nodi gestiti dopo un errore su un numero o una percentuale di nodi. Se, ad esempio, si specificano tre errori, Systems Manager interrompe l'invio del comando quando riceve il quarto errore. Anche i nodi gestiti che stanno ancora elaborando il comando potrebbero inviare errori.
1. (Facoltativo) Nella sezione **Opzioni di output**, per salvare l'output del comando in un file, seleziona la casella **Scrivi l'output del comando in un bucket S3**. Digita i nomi del bucket e del prefisso (cartella) nelle caselle.
**Nota**
Le autorizzazioni S3 che danno la possibilità di scrivere dati in un bucket S3 sono quelle del profilo dell'istanza (per istanze EC2) o del ruolo di servizio IAM (in macchine attivate da sistemi ibridi) assegnate all'istanza, non quelle dell'utente IAM che esegue questo processo. Per ulteriori informazioni, consulta le pagine [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md) oppure [Creazione di un ruolo di servizio IAM per un ambiente ibrido](hybrid-multicloud-service-role.md). Inoltre, se il bucket S3 specificato si trova su un Account AWS diverso, assicurarsi che il profilo dell'istanza o il ruolo di servizio IAM associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.
1. Nella sezione **SNS Notifications (Notifiche SNS)** scegliere **Enable SNS notifications (Abilita le notifiche SNS)**.
1. In **IAM role (Ruolo IAM)**, scegliere l'ARN del ruolo IAM Amazon SNS creato nell'attività 3 in [Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS](monitoring-sns-notifications.md).
1. In **SNS topic (Argomento SNS)** immettere l'ARN dell'argomento Amazon SNS da utilizzare.
1. Nel campo **Event notifications (Notifiche eventi)** scegliere gli eventi per cui si vogliono ricevere le notifiche.
1. In **Notifiche di modifiche**, scegli di ricevere notifiche solo per il riepilogo del comando (**Modifica dello stato del comando**) o per ogni copia di un comando inviata a più nodi (**Modifica dello stato del comando su ogni istanza**).
1. Scegli **Esegui**.
1. Controllare la propria e-mail per verificare di aver ricevuto un messaggio da Amazon SNS e aprire il messaggio e-mail. Amazon SNS può richiedere diversi minuti per inviare il messaggio e-mail.
## Invio di un comando Run Command che restituisce notifiche (CLI)
Utilizzare la procedura seguente per inviare un comando tramite Run Command configurato per restituire le notifiche di stato con AWS CLI.
**Per inviare un comando che restituisca le notifiche (CLI)**
1. Aprire il. AWS CLI
1. Specificate i parametri nel comando seguente da indirizzare in base al nodo gestito IDs.
```
aws ssm send-command --instance-ids "ID-1, ID-2" --document-name "Name" --parameters '{"commands":["input"]}' --service-role "SNSRoleARN" --notification-config '{"NotificationArn":"SNSTopicName","NotificationEvents":["All"],"NotificationType":"Command"}'
```
Di seguito è riportato un esempio.
```
aws ssm send-command --instance-ids "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" --document-name "AWS-RunPowerShellScript" --parameters '{"commands":["Get-Process"]}' --service-role "arn:aws:iam::111122223333:role/SNS_Role" --notification-config '{"NotificationArn":"arn:aws:sns:us-east-1:111122223333:SNSTopic","NotificationEvents":["All"],"NotificationType":"Command"}'
```
**Comandi alternativi**
Specificare i parametri nel comando seguente per definire le destinazioni delle istanze gestite tramite i tag.
```
aws ssm send-command --targets "Key=tag:TagName,Values=TagKey" --document-name "Name" --parameters '{"commands":["input"]}' --service-role "SNSRoleARN" --notification-config '{"NotificationArn":"SNSTopicName","NotificationEvents":["All"],"NotificationType":"Command"}'
```
Di seguito è riportato un esempio.
```
aws ssm send-command --targets "Key=tag:Environment,Values=Dev" --document-name "AWS-RunPowerShellScript" --parameters '{"commands":["Get-Process"]}' --service-role "arn:aws:iam::111122223333:role/SNS_Role" --notification-config '{"NotificationArn":"arn:aws:sns:us-east-1:111122223333:SNSTopic","NotificationEvents":["All"],"NotificationType":"Command"}'
```
1. Premere **Invio**.
1. Controllare la propria e-mail per verificare di aver ricevuto un messaggio da Amazon SNS e aprire il messaggio e-mail. Amazon SNS può richiedere diversi minuti per inviare il messaggio e-mail.
Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) nella *documentazione di riferimento dei comandi della AWS CLI *.
# Utilizzare una finestra di manutenzione per inviare un comando che restituisca notifiche di stato
Le seguenti procedure mostrano come registrare un'Run Commandattività nella finestra di manutenzione utilizzando la AWS Systems Manager console o il AWS Command Line Interface (AWS CLI). Run Commandè uno strumento in AWS Systems Manager. Le procedure descrivono anche come configurare l'attività Run Command per restituire notifiche di stato.
**Prima di iniziare**
Se non sono state create una finestra di manutenzione o delle destinazioni registrate, consultare [Crea e gestisci finestre di manutenzione utilizzando la console](sysman-maintenance-working.md) per i passi su come creare una finestra di manutenzione e registrare le destinazioni.
Per ricevere notifiche dal servizio Amazon Simple Notification Service (Amazon SNS), occorre collegare una policy `iam:PassRole` al ruolo di servizio della Maintenance Windows specificato nell'attività registrata. Se non non si sono aggiunte autorizzazioni `iam:PassRole` al ruolo di servizio delle Maintenance Windows, consultare [Attività 5: allega la PassRole policy iam: al ruolo della finestra di manutenzione](monitoring-sns-notifications.md#monitoring-sns-passpolicy-mw).
## Registrazione di un'attività Run Command in una finestra di manutenzione che restituisce notifiche (console)
Utilizzare la procedura seguente per registrare un'attività Run Command configurata per restituire notifiche di stato nella finestra di manutenzione con la console di Systems Manager.
**Per registrare un'attività Run Command nella finestra di manutenzione che restituisce notifiche (console)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Maintenance Windows**.
1. Selezionare la finestra di manutenzione per la quale si desidera registrare un'attività Run Command configurata per inviare notifiche Amazon Simple Notification Service (Amazon SNS).
1. Scegliere **Actions (Operazioni)** e successivamente **Register Run command task (Registra attività di esecuzione comando)**.
1. (Facoltativo) Nel campo **Name (Nome)**, inserire un nome per l'attività.
1. (Facoltativo) Specificare una descrizione nel campo **Description (Descrizione)**.
1. In **Command document (Documento comando)**, scegliere un documento comando.
1. In **Task priority (Priorità attività)**, specificare una priorità per questa attività. Zero (`0`) indica la priorità più elevata. Le attività in una finestra di manutenzione sono programmate in ordine di priorità. Le attività con la stessa priorità vengono pianificate in parallelo.
1. Nella sezione **Targets**, selezionare un gruppo target registrato o selezionare target non registrati.
1. In **Controllo velocità**:
+ In **Simultaneità**, specifica un numero o una percentuale di nodi gestiti su cui eseguire contemporaneamente il comando.
**Nota**
Se hai selezionato le destinazioni specificando i tag applicati ai nodi gestiti o specificando i gruppi di AWS risorse e non sei sicuro del numero di nodi gestiti come target, limita il numero di destinazioni che possono eseguire il documento contemporaneamente specificando una percentuale.
+ Per **Soglia di errore**, specificare quando interrompere l'esecuzione del comando sulle altri nodi gestiti dopo un errore su un numero o una percentuale di nodi. Se, ad esempio, si specificano tre errori, Systems Manager interrompe l'invio del comando quando riceve il quarto errore. Anche i nodi gestiti che elaborano ancora il comando potrebbero inviare errori.
1. Nell'area **Ruolo di servizio IAM**, seleziona il ruolo di servizio Maintenance Windows che ha autorizzazioni `iam:PassRole` per il ruolo SNS.
**Nota**
Aggiungere autorizzazioni `iam:PassRole` al ruolo Maintenance Windows per consentire a Systems Manager di passare il ruolo SNS ad Amazon SNS. Se le autorizzazioni `iam:PassRole` non sono state aggiunte, consultare l'attività 5 nell'argomento [Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS](monitoring-sns-notifications.md).
1. (Facoltativo) In **Opzioni di output**, per salvare l'output del comando in un file, seleziona la casella **Abilita output di scrittura in S3**. Digita i nomi del bucket e del prefisso (cartella) nelle caselle.
**Nota**
Le autorizzazioni S3 che consentono di scrivere dati in un bucket S3 sono quelle del profilo dell'istanza assegnate al nodo gestito e non quelle dell'utente IAM che esegue questo processo. Per ulteriori informazioni, consulta le pagine [Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager](setup-instance-permissions.md) oppure [Creazione di un ruolo di servizio IAM per un ambiente ibrido](hybrid-multicloud-service-role.md). Inoltre, se il bucket S3 specificato si trova in un Account AWS diverso, assicurarsi che il profilo dell'istanza o il ruolo di servizio IAM associato all'istanza disponga delle autorizzazioni necessarie per scrivere su quel bucket.
1. Nella sezione **SNS notifications (Notifiche SNS)**, procedere come segue:
+ Scegliere **Enable SNS Notifications (Abilita notifiche SNS)**.
+ In **IAM role** (Ruolo IAM), scegliere l'Amazon Resource Name (ARN) del ruolo IAM Amazon SNS creato nell'attività 3 in [Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS](monitoring-sns-notifications.md) per avviare Amazon SNS.
+ In **SNS topic (Argomento SNS)** immettere l'ARN dell'argomento Amazon SNS da utilizzare.
+ In **Event type (Tipo di evento)**, scegliere gli eventi per i quali si desidera ricevere notifiche.
+ In **Change notifications (Cambia notifiche)** specificare se si vogliono ricevere notifiche per ogni copia di un comando inviato a più nodi (invocazioni) o il riepilogo del comando.
1. Nella sezione **Parameters (Parametri)**, immettere i parametri necessari in base al documento del comando scelto.
1. Scegliere **Register run command task (Registra attività di esecuzione comandi)**.
1. Dopo la successiva esecuzione della finestra di manutenzione, controllare la e-mail per verificare di aver ricevuto un messaggio da Amazon SNS e aprire il messaggio e-mail. Amazon SNS può richiedere diversi minuti per inviare il messaggio e-mail.
## Registrazione di un'attività Run Command in una finestra di manutenzione che restituisce notifiche (CLI)
Utilizzare la procedura seguente per registrare un'attività Run Command configurata per restituire le notifiche di stato alla finestra di manutenzione con AWS CLI.
**Come registrare un'attività Run Command nella finestra di manutenzione che restituisce le notifiche (CLI)**
**Nota**
Per gestire meglio le opzioni delle attività, questa procedura utilizza l'opzione di comando `--cli-input-json`, con i valori delle opzioni archiviati in un file JSON.
1. Nel computer locale, creare un file denominato `RunCommandTask.json`.
1. Incollare i contenuti seguenti nel file.
```
{
"Name": "Name",
"Description": "Description",
"WindowId": "mw-0c50858d01EXAMPLE",
"ServiceRoleArn": "arn:aws:iam::account-id:role/MaintenanceWindowIAMRole",
"MaxConcurrency": "1",
"MaxErrors": "1",
"Priority": 3,
"Targets": [
{
"Key": "WindowTargetIds",
"Values": [
"e32eecb2-646c-4f4b-8ed1-205fbEXAMPLE"
]
}
],
"TaskType": "RUN_COMMAND",
"TaskArn": "CommandDocumentName",
"TaskInvocationParameters": {
"RunCommand": {
"Comment": "Comment",
"TimeoutSeconds": 3600,
"NotificationConfig": {
"NotificationArn": "arn:aws:sns:region:account-id:SNSTopicName",
"NotificationEvents": [
"All"
],
"NotificationType": "Command"
},
"ServiceRoleArn": "arn:aws:iam::account-id:role/SNSIAMRole"
}
}
}
```
1. Sostituire i valori di esempio con le informazioni relative alle proprie risorse.
È anche possibile ripristinare le opzioni omesse in questo esempio se si desidera utilizzarle. Ad esempio, è possibile salvare l'output del comando in un bucket S3.
Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-task-with-maintenance-window.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-task-with-maintenance-window.html) nella *documentazione di riferimento dei comandi della AWS CLI *.
1. Salvare il file.
1. Nella directory sul computer locale in cui è stato salvato il file, eseguire questo comando.
```
aws ssm register-task-with-maintenance-window --cli-input-json file://RunCommandTask.json
```
**Importante**
Assicurarsi di includere `file://` prima del nome del file. Questo è obbligatorio in questo comando.
Se il comando viene eseguito correttamente, restituisce informazioni simili alle seguenti.
```
{
"WindowTaskId": "j2l8d5b5c-mw66-tk4d-r3g9-1d4d1EXAMPLE"
}
```
1. Dopo la successiva esecuzione della finestra di manutenzione, controllare la e-mail per verificare di aver ricevuto un messaggio da Amazon SNS e aprire il messaggio e-mail. Amazon SNS può richiedere diversi minuti per inviare il messaggio e-mail.
Per ulteriori informazioni sulla registrazione delle attività per una finestra di manutenzione dalla riga di comando, consultare [Register tasks with the maintenance window (Registrare le operazioni con la finestra di manutenzione)](mw-cli-tutorial-tasks.md).