Registro de saída de ações do Automation em log com o CloudWatch Logs
Automação, um recurso do AWS Systems Manager, integra-se ao Amazon CloudWatch Logs. Você pode enviar o resultado das ações do aws:executeScript
nos runbooks para o grupo de logs especificado. O Systems Manager não cria um grupo de logs ou quaisquer fluxos de log para documentos que não usam ações aws:executeScript
. Se o documento usar aws:executeScript
, a saída enviada ao CloudWatch Logs pertence somente a essas ações. Você pode usar a ação aws:executeScript
armazenada no grupo de logs do CloudWatch Logs para fins de depuração e solução de problemas. Se você escolher um grupo de logs criptografado, a ação aws:executeScript
também é criptografada. O registro em log de saída de ações aws:executeScript
é uma configuração no nível da conta.
Para enviar saídas de ação ao CloudWatch Logs para runbooks de propriedade da Amazon, o usuário ou o perfil que executa a automação deve ter permissões para as operações a seguir:
-
logs:CreateLogGroup
-
logs:CreateLogStream
-
logs:DescribeLogGroups
-
logs:DescribeLogStreams
-
logs:PutLogEvents
Para runbooks de sua propriedade, permissões semelhantes devem ser adicionadas ao perfil de serviço do IAM (ou AssumeRole) utilizado para executar o runbook.
Para enviar a saída de ação para o CloudWatch Logs (console)
Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. -
No painel de navegação à esquerda, escolha Automation (Automação).
-
Escolha a guia Preferences (Preferências) e, em seguida, escolha Edit (Editar).
-
Marque a caixa de seleção ao lado de Send output to CloudWatch Logs (Enviar saída ao CloudWatch Logs).
-
(Recomendado) Marque a caixa de seleção ao lado de Encrypt log data (Criptografar dados de log). Com essa opção ativada, os dados de log serão criptografados usando a chave de criptografia no lado do servidor especificada para o grupo de logs. Se você não quiser criptografar os dados de log que são enviados ao CloudWatch Logs, desmarque a caixa de seleção. Desmarque a caixa de seleção se a criptografia não for permitida no grupo de logs.
-
Em CloudWatch Logs, para especificar o grupo de logs existente do CloudWatch Logs no Conta da AWS, para o qual você quer enviar o resultado da ação, selecione uma das seguintes opções:
-
Send output to the default log group (Enviar saída para o grupo de logs padrão): se o grupo de logs padrão não existir (
/aws/ssm/automation/executeScript
), o Automation o criará para você. -
Escolha um grupo de logs na lista: selecione um grupo de logs que já tenha sido criado na sua conta para armazenar resultados práticos.
-
Insira um nome de grupo de logs na caixa de texto: insira o nome de um grupo de logs na caixa de texto que já tenha sido criado na conta para armazenar os resultados da ação.
-
-
Escolha Salvar.
Para enviar a saída de ação para o CloudWatch Logs (linha de comando)
-
Abra sua ferramenta da linha de comando preferencial e execute o comando a fim de atualizar o destino de saída da ação.
Não haverá saída se o comando for bem-sucedido.
-
Execute o comando a seguir a fim de especificar o grupo de logs para o qual você deseja enviar a saída de ação.
Não haverá saída se o comando for bem-sucedido.
-
Execute o comando a seguir para visualizar as configurações do serviço para as preferências de registro em log de ações do Automation na Conta da AWS e Região da AWS atuais.
O comando retorna informações como as seguintes.
{ "ServiceSetting": { "Status": "Customized", "LastModifiedDate": 1613758617.036, "SettingId": "/ssm/automation/customer-script-log-destination", "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1", "SettingValue": "CloudWatch", "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/automation/customer-script-log-destination" } }