Output dell'azione automazione del logging con CloudWatch Logs - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Output dell'azione automazione del logging con CloudWatch Logs

Automazione, una funzionalità di AWS Systems Manager, si integra con Amazon CloudWatch Logs. È possibile inviare l'output dalle azioni aws:executeScript nei propri runbook al gruppo di log specificato. Systems Manager non crea un gruppo di log o flussi di log per i documenti che non utilizzano le azioni di aws:executeScript. Se il documento utilizza aws:executeScript, l'output inviato a CloudWatch Logs riguarda solo tali azioni. Puoi utilizzare l'output dell'azione aws:executeScript archiviata nel gruppo di log CloudWatch Logs a scopo di debug e risoluzione dei problemi. Se scegli un gruppo di log crittografato, anche l'output dell'azione aws:executeScript è crittografato. Il log dell'output delle azioni di aws:executeScript è un'impostazione a livello di account.

Per inviare l'output dell'operazione a File di log CloudWatch, per i runbook di proprietà di Amazon, l'utente o il ruolo che esegue l'automazione deve disporre delle autorizzazioni per le seguenti operazioni:

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

Per i runbook di tua proprietà, le stesse autorizzazioni devono essere aggiunte al ruolo di servizio IAM (o AssumeRole) che utilizzi per eseguire il runbook.

Per inviare l'output delle azioni alla (console) CloudWatch Logs

  1. Apri la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione scegli Automation (Automazione).

  3. Scegli la scheda Preferences (Preferenze), quindi seleziona Edit (Modifica).

  4. Seleziona la casella di controllo accanto a Invia output a CloudWatch Logs.

  5. (Consigliato) Seleziona la casella di controllo accanto a Crittografare i dati di log. Se questa opzione è attivata, i dati di log vengono crittografati utilizzando la chiave di crittografia lato server specificata per il gruppo di log. Se non si desidera crittografare i dati di log inviati a CloudWatch Logs, deselezionare la casella di controllo. Deselezionare la casella di controllo se la crittografia non è consentita nel gruppo di log.

  6. Per il gruppo di log di CloudWatch Logs, per specificare il gruppo di log di CloudWatch Logs esistente nella propria Account AWS a cui inviare l'output dell'azione, selezionare una delle opzioni seguenti:

    • Invia l'output al gruppo di log predefinito: se il gruppo di log predefinito non esiste (/aws/ssm/automation/executeScript), l'automazione lo crea automaticamente.

    • Choose from the list of log groups (Scegli un gruppo dall'elenco dei gruppi di log): selezionare un gruppo di log che è già stato creato nel proprio account per archiviare i risultati delle azioni.

    • Enter a bucket name in the text box (Immetti un nome di bucket nella casella di testo): immettere il nome di un gruppo di log che è già stato creato nell'account per archiviare i risultati delle azioni.

  7. Seleziona Salva.

Per inviare il risultato delle azioni CloudWatch Logs (riga di comando)

  1. Aprire lo strumento di riga di comando preferito ed eseguire il comando seguente per aggiornare la destinazione del risultato dell'azione.

    Linux & macOS
    aws ssm update-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination \
    --setting-value CloudWatch
    Windows
    aws ssm update-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination ^
    --setting-value CloudWatch
    PowerShell
    Update-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination" `
    -SettingValue "CloudWatch"

    Se il comando va a buon fine, non viene generato output.

  2. Eseguire il comando seguente per specificare il gruppo di log a cui inviare il risultato dell'azione.

    Linux & macOS
    aws ssm update-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name \
    --setting-value my-log-group
    Windows
    aws ssm update-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name ^
    --setting-value my-log-group
    PowerShell
    Update-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name" `
    -SettingValue "my-log-group"

    Se il comando va a buon fine, non viene generato output.

  3. Eseguire questo comando per visualizzare le impostazioni attuali delle preferenze di logging delle azioni di automazione negli attuali Account AWS e Regione AWS.

    Linux & macOS
    aws ssm get-service-setting \
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
    Windows
    aws ssm get-service-setting ^
    --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
    PowerShell
    Get-SSMServiceSetting `
    -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination"

    Il comando restituisce informazioni simili alle seguenti.

    {
    "ServiceSetting": {
        "Status": "Customized",
        "LastModifiedDate": 1613758617.036,
        "SettingId": "/ssm/automation/customer-script-log-destination",
        "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
        "SettingValue": "CloudWatch",
        "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/automation/customer-script-log-destination"
    }
}