Protokollierung mitCloudWatchProtokolle

Standard-Workflows zeichnen die Ausführungshistorie auf inAWS Step Functions, obwohl Sie optional die Protokollierung bei Amazon konfigurieren könnenCloudWatchProtokolle.

Anders als Standard-Workflows zeichnen Express-Workflows den Ausführungsverlauf nicht in AWS Step Functions auf. Um den Ausführungsverlauf und die Ergebnisse für einen Express-Workflow zu sehen, müssen Sie die Protokollierung bei Amazon konfigurierenCloudWatchProtokolle. Durch das Veröffentlichen von Protokollen werden die Ausführungen nicht blockiert oder verlangsamt.

Anmerkung

Wenn Sie die Protokollierung konfigurieren,CloudWatchLoggt Gebührenwird beantragt und Ihnen wird der Preis für verkaufte Logs in Rechnung gestellt. Weitere Informationen finden Sie unterVerkaufte Baumstämmeunter demProtokolleTab auf derCloudWatchSeite mit den Preisen.

Konfigurieren der -Protokollierung

Wenn Sie mit der Step Functions-Konsole einen Standard-Workflow erstellen, wird dieser nicht so konfiguriert, dass er die Protokollierung ermöglichtCloudWatchProtokolle. Ein mit der Step Functions-Konsole erstellter Express-Workflow wird standardmäßig so konfiguriert, dass er die Protokollierung ermöglichtCloudWatchProtokolle.

Für Express-Workflows kann Step Functions eine Rolle mit den erforderlichenAWS Identity and Access Management(IAM) -Richtlinie fürCloudWatchProtokolle. Wenn Sie einen Standard-Workflow oder einen Express-Workflow mithilfe der API, CLI oderAWS CloudFormation, Step Functions aktiviert die Protokollierung standardmäßig nicht, und Sie müssen sicherstellen, dass Ihre Rolle über die erforderlichen Berechtigungen verfügt.

Für jede von der Konsole aus gestartete Ausführung bietet Step Functions einen Link zuCloudWatchProtokolle, konfiguriert mit dem richtigen Filter, um Protokollereignisse abzurufen, die für diese Ausführung spezifisch sind.

Um die Protokollierung zu konfigurieren, können Sie dieLoggingConfigurationParameter bei VerwendungCreateStateMachineoderUpdateStateMachine. Sie können Ihre Daten weiter analysieren inCloudWatchLoggt mithilfe vonCloudWatchLoggt Einblicke. Weitere Informationen finden Sie unterAnalysieren von Protokolldaten mitCloudWatchLoggt Einblicke.

CloudWatchProtokolliert Payloads

Ereignisse in der Ausführungshistorie können in ihren Definitionen entweder Eingabe- oder Ausgabeeigenschaften enthalten. Wenn die Eingabe maskiert oder die Ausgabe maskiert wurde anCloudWatchLogs überschreiten 248 KB und werden aufgrund vonCloudWatchProtokolliert Kontingente.

• Sie können feststellen, ob eine Payload gekürzt wurde, indem Sie sich dieinputDetailsundoutputDetailsEigenschaften. Weitere Informationen finden Sie auf derHistoryEventExecutionDataDetailsDatentyp.

• Für Standard-Workflows können Sie den vollständigen Ausführungsverlauf einsehen, indem SieGetExecutionHistory.

• GetExecutionHistoryist nicht für Express Workflows verfügbar. Wenn Sie die vollständige Eingabe und Ausgabe sehen möchten, können Sie Amazon S3-ARNs verwenden. Weitere Informationen finden Sie unter Verwenden Sie Amazon S3 S3-ARNs, anstatt große Nutzlasten weiterzuleiten.

IAM-Richtlinien für die Anmeldung beiCloudWatchProtokolle

Sie müssen außerdem die Ausführungs-IAM-Rolle Ihres State-Computers konfigurieren, damit Sie über die erforderlichen Anmeldeberechtigungen verfügenCloudWatchLoggt, wie im folgenden Beispiel gezeigt.

Beispiel für eine IAM-Richtlinie

Im Folgenden finden Sie eine Beispielrichtlinie, mit der Sie Ihre Berechtigungen konfigurieren können. Wie im folgenden Beispiel gezeigt, müssen Sie Folgendes angeben*in derResourceFeld weilCloudWatchAPI-Aktionen wie CreateLogDelivery und DescribeLogGroups, unterstütze nichtRessourcentypen definiert durchAmazon CloudWatch Logs. Weitere Informationen finden Sie unterAktionen definiert vonAmazon CloudWatch Logs.

• Für Informationen überCloudWatchRessourcen, sieheCloudWatch LogsRessourcen und Abläufein derAmazonasCloudWatchBenutzerleitfaden.

• Für Informationen zu den Berechtigungen müssen Sie das Senden von Protokollen einrichten anCloudWatchProtokolle, sieheBenutzerberechtigungenim Abschnitt mit dem TitelProtokolle gesendet anCloudWatch Logs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:CreateLogStream",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        }
    ]
}

Zugriff auf die nicht möglichCloudWatchProtokolle

Wenn Sie nicht auf die zugreifen könnenCloudWatchLogs, stellen Sie sicher, dass Sie Folgendes getan haben:

1. Die Execution-IAM-Rolle Ihres State Computers wurde so konfiguriert, dass Sie über die entsprechenden Anmeldeberechtigungen verfügenCloudWatchProtokolle.

   Wenn Sie das verwendenCreateStateMachineoderUpdateStateMachineAnfragen, stellen Sie sicher, dass Sie die IAM-Rolle in der angegeben habenroleArnParameter, der die Berechtigungen enthält, wie in dervorheriges Beispiel.

2. Habe das überprüftCloudWatchDie Ressourcenrichtlinie für Protokolle überschreitet nicht das Limit von 5120 Zeichen fürCloudWatchProtokolliert Ressourcenrichtlinien.

   Wenn Sie das Zeichenlimit überschritten haben, entfernen Sie unnötige Berechtigungen aus demCloudWatchProtokolliert die Ressourcenrichtlinie oder stellen Sie dem Namen der Protokollgruppe das Präfix/aws/vendedlogs, wodurch der Protokollgruppe Berechtigungen erteilt werden, ohne dass weitere Zeichen an die Ressourcenrichtlinie angehängt werden. Wenn Sie in der Step Functions-Konsole eine Protokollgruppe erstellen, erhalten die Protokollgruppennamen das Präfix/aws/vendedlogs/states. Weitere Informationen finden Sie unter Größenbeschränkungen der Amazon CloudWatch Logs-Ressourcenrichtlinie.