启用和禁用会话日志记录 - AWS Systems Manager

启用和禁用会话日志记录

会话日志记录在 Systems Manager 控制台中记录有关当前会话和已完成会话的信息。您还可以在 AWS 账户 中记录有关会话期间运行的命令的详细信息。会话日志记录允许您执行以下操作:

  • 创建和存储会话日志以用于存档目的。

  • 生成报告,显示过去 30 天内使用 Session Manager 对托管式节点进行的每个连接的详细信息。

  • 生成有关 AWS 账户 中的会话活动的通知,例如 Amazon Simple Notification Service(Amazon SNS)通知。

  • 作为会话期间所执行操作的结果,在 AWS 资源上自动启动另一个操作,例如运行 AWS Lambda 功能、启动 AWS CodePipeline 管道或运行 AWS Systems Manager Run Command 文档。

重要

请注意Session Manager的以下要求和限制:

  • Session Manager 根据您的会话首选项,记录您在会话期间输入的命令及其输出。为了防止敏感数据(如密码)在会话日志中被查看,建议您在会话期间输入敏感数据时使用以下命令。

    Linux & macOS
    stty -echo; read passwd; stty echo;
    Windows
    $Passwd = Read-Host -AsSecureString
  • 如果使用的是 Windows Server 2012 或更早版本,则日志中的数据可能无法以最佳方式进行格式化。建议使用 Windows Server 2012 R2 及更高版本以获得最佳的日志格式。

  • 如果使用的是 Linux 或 macOS 托管式节点,请确保已安装 screen 实用工具。否则,日志数据可能会被截断。在 Amazon Linux 1、Amazon Linux 2、AL2023 和 Ubuntu Server 上,默认会安装屏幕实用程序。要手动安装 screen,请根据您的 Linux 版本,运行 sudo yum install screensudo apt-get install screen

  • 日志记录不可用于通过端口转发或 SSH 连接的 Session Manager 会话。这是因为 SSH 会加密所有会话数据,而 Session Manager 仅充当 SSH 连接的隧道。

有关使用 Amazon S3 或 Amazon CloudWatch Logs 记录会话数据所需权限的更多信息,请参阅 创建具有 Session Manager、Amazon S3 和 CloudWatch Logs 权限的 IAM 角色(控制台)

有关 Session Manager 的日志记录选项的更多信息,请参阅以下主题。