Habilitar e desabilitar o registro em log de sessão - AWS Systems Manager

Habilitar e desabilitar o registro em log de sessão

O registro em log de sessão registra informações sobre sessões atuais e concluídas no console do Systems Manager. Você também pode registrar detalhes sobre os comandos executados durante as sessões na sua Conta da AWS. O registro em log de sessão permite que você:

  • Criar e armazenar logs de sessão para fins de arquivamento.

  • Gere um relatório que mostre detalhes de cada conexão feita para os nós gerenciados usando o Session Manager nos últimos 30 dias.

  • Gere notificações de registro em log de sessão na Conta da AWS, como notificações do Amazon Simple Notification Service (Amazon SNS).

  • Inicie automaticamente outra ação em um recurso da AWS como resultado das ações realizadas durante uma sessão, como executar uma função AWS Lambda, iniciar um pipeline do AWS CodePipeline ou executar um documento do AWS Systems Manager Run Command.

Importante

Anote os seguintes requisitos e limitações para o Session Manager:

  • O Session Manager registra os comandos inseridos e o resultados deles durante uma sessão, dependendo das suas preferências para a sessão. Para evitar que dados confidenciais, como senhas, sejam exibidos em seus logs de sessão, recomendamos usar os seguintes comandos ao inserir dados confidenciais durante uma sessão.

    Linux & macOS
    stty -echo; read passwd; stty echo;
    Windows
    $Passwd = Read-Host -AsSecureString
  • Se você estiver usando o Windows Server 2012 ou versões anteriores, os dados em seus logs poderão não ser formatados corretamente. Recomendamos usar o Windows Server 2012 R2 e posterior para formatos de log ideais.

  • Se você estiver usando nós gerenciados do Linux ou do macOS, instale o utilitário de tela. Se não estiver, seus dados de log podem ser truncados. No Amazon Linux 1, Amazon Linux 2, AL2023 e Ubuntu Server, o utilitário de tela é instalado por padrão. Para instalar a tela manualmente, dependendo da versão do Linux, execute sudo yum install screen ou sudo apt-get install screen.

  • O registro em log não está disponível para sessões do Session Manager que se conectam por meio de encaminhamento de portas ou SSH. Isso ocorre porque o SSH criptografa todos os dados da sessão e o Session Manager serve apenas como um túnel para conexões SSH.

Para obter mais informações sobre as permissões necessárias para usar o Amazon S3 ou o Amazon CloudWatch Logs para registrar dados da sessão em log, consulte Crie uma função do IAM com permissões para o Session Manager, Amazon S3 e CloudWatch Logs (console).

Consulte os tópicos a seguir para obter mais informações sobre as opções de registro do Session Manager.