Habilitar e desabilitar o registro em log de sessão
O registro em log de sessão registra informações sobre sessões atuais e concluídas no console do Systems Manager. Você também pode registrar detalhes sobre os comandos executados durante as sessões na sua Conta da AWS. O registro em log de sessão permite que você:
-
Criar e armazenar logs de sessão para fins de arquivamento.
-
Gere um relatório que mostre detalhes de cada conexão feita para os nós gerenciados usando o Session Manager nos últimos 30 dias.
-
Gere notificações de registro em log de sessão na Conta da AWS, como notificações do Amazon Simple Notification Service (Amazon SNS).
-
Inicie automaticamente outra ação em um recurso da AWS como resultado das ações realizadas durante uma sessão, como executar uma função AWS Lambda, iniciar um pipeline do AWS CodePipeline ou executar um documento do AWS Systems Manager Run Command.
Importante
Anote os seguintes requisitos e limitações para o Session Manager:
-
O Session Manager registra os comandos inseridos e o resultados deles durante uma sessão, dependendo das suas preferências para a sessão. Para evitar que dados confidenciais, como senhas, sejam exibidos em seus logs de sessão, recomendamos usar os seguintes comandos ao inserir dados confidenciais durante uma sessão.
-
Se você estiver usando o Windows Server 2012 ou versões anteriores, os dados em seus logs poderão não ser formatados corretamente. Recomendamos usar o Windows Server 2012 R2 e posterior para formatos de log ideais.
-
Se você estiver usando nós gerenciados do Linux ou do macOS, instale o utilitário de tela. Se não estiver, seus dados de log podem ser truncados. No Amazon Linux 1, Amazon Linux 2, AL2023 e Ubuntu Server, o utilitário de tela é instalado por padrão. Para instalar a tela manualmente, dependendo da versão do Linux, execute
sudo yum install screen
ousudo apt-get install screen
. O registro em log não está disponível para sessões do Session Manager que se conectam por meio de encaminhamento de portas ou SSH. Isso ocorre porque o SSH criptografa todos os dados da sessão e o Session Manager serve apenas como um túnel para conexões SSH.
Para obter mais informações sobre as permissões necessárias para usar o Amazon S3 ou o Amazon CloudWatch Logs para registrar dados da sessão em log, consulte Crie uma função do IAM com permissões para o Session Manager, Amazon S3 e CloudWatch Logs (console).
Consulte os tópicos a seguir para obter mais informações sobre as opções de registro do Session Manager.
Tópicos
Transmitir dados da sessão usando o Amazon CloudWatch Logs (console)
Você pode fazer uma transmissão contínua de logs de dados de sessão ao Amazon CloudWatch Logs. Detalhes essenciais, como os comandos que um usuário executou em uma sessão, o ID do usuário que executou os comandos e carimbos de data/hora para quando os dados da sessão são transmitidos para o CloudWatch Logs, são incluídos ao transmitir dados da sessão. Ao transmitir dados de sessão, os logs são formatados em JSON para ajudar você a integrar com suas soluções de log existentes. A transmissão de dados de sessão não é compatível com comandos interativos.
nota
Para transmitir dados de sessão dos nós gerenciados do Windows Server, você deve ter o PowerShell 5.1 ou posterior instalado. Por padrão, o Windows Server 2016 e versões posteriores têm a versão necessária do PowerShell instalada. No entanto, Windows Server 2012 e 2012 R2 não têm a versão necessária do PowerShell instalada por padrão. Se você ainda não tiver o PowerShell atualizado em seus nós gerenciados do Windows Server 2012 ou 2012 R2, poderá fazer isso usando o Run Command. Para obter informações sobre como atualizar o PowerShell usando o Run Command, consulte Atualização da PowerShell por meio de Run Command.
Importante
Se você tiver a configuração da política PowerShell Transcription definida em seus nós gerenciados do Windows Server, não será possível transmitir os dados da sessão.
Para transmitir dados da sessão usando o Amazon CloudWatch Logs (console)
Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. -
No painel de navegação, escolha Session Manager.
-
Escolha a guia Preferences (Preferências) e, em seguida, escolha Edit (Editar).
-
Marque a caixa de seleção ao lado de Enable (Habilitar) em CloudWatch logging (Registro em log do CloudWatch).
-
Selecione a opção Stream session logs (Transmitir logs da sessão).
-
(Recomendado) Marque a caixa de seleção ao lado de Allow only encrypted CloudWatch log groups (Permitir apenas grupos de logs criptografados do CloudWatch). Com essa opção ativada, os dados de log serão criptografados usando a chave de criptografia no lado do servidor especificada para o grupo de logs. Se não quiser criptografar os dados de log enviados ao CloudWatch Logs, desmarque a caixa de seleção. Você também deverá desmarcar a caixa de seleção se a criptografia não for permitida no grupo de logs.
-
Em CloudWatch logs (Logs do CloudWatch), para especificar o grupo de logs do CloudWatch Logs na Conta da AWS no qual carregar logs de sessão, selecione uma das seguintes opções:
-
Insira um nome do grupo de logs na caixa de texto que já tiver sido criada na conta para armazenar dados de log da sessão.
-
Escolha um grupo de logs: selecione um grupo de logs que já tenha sido criado na sua conta para armazenar dados de log da sessão.
-
-
Escolha Salvar.
Registrar dados da sessão em log usando o Amazon S3 (console)
Você pode optar por armazenar os dados de log da sessão em um bucket do Amazon Simple Storage Service (Amazon S3) de sua escolha para fins de depuração e solução de problemas. A opção padrão é que os logs sejam enviados para um bucket do Amazon S3 criptografado. A criptografia é feita usando a chave especificada para o bucket, uma chave do AWS KMS key ou uma chave de criptografia no lado do servidor (SSE) (AES-256) do Amazon S3.
Importante
Ao usar buckets hospedados virtualmente com Secure Sockets Layer (SSL), o certificado SSL curinga corresponde somente a buckets que não contenham pontos. Para contornar isso, use HTTP ou escreva a sua própria lógica de verificação do certificado. Recomendamos não usar pontos (".") em nomes de buckets ao usar buckets hospedados virtualmente.
Criptografia de bucket do Amazon S3
Para enviar logs ao seu bucket do Amazon S3 com criptografia, a mesma deve ser ativada no bucket. Para obter informações sobre a criptografia de buckets do Amazon S3, consulte Definir o comportamento padrão da criptografia para os buckets do Amazon S3.
Chave gerenciada pelo cliente
Se você estiver usando uma chave do KMS que você mesmo gerencia para criptografar o bucket, o perfil da instância do IAM anexado às suas instâncias deve ter permissões explícitas para ler a chave. Se você usar uma Chave gerenciada pela AWS, a instância não exigirá essa permissão explícita. Para obter mais informações sobre como fornecer o perfil da instância com acesso para usar a chave, consulte Permitir que os usuários de chaves usem a chave do KMS no Guia do desenvolvedor do AWS Key Management Service.
Siga estas etapas para configurar o Session Manager para armazenar logs de sessão em um bucket do Amazon S3.
nota
Você também pode usar o AWS CLI para especificar ou alterar o bucket do Amazon S3 para os quais os dados serão enviados. Para ter mais informações, consulte Atualizar preferências do Session Manager (linha de comando).
Para registrar dados da sessão em log usando o Amazon S3 (console)
Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. -
No painel de navegação, escolha Session Manager.
-
Escolha a guia Preferences (Preferências) e, em seguida, escolha Edit (Editar).
-
Marque a caixa de seleção ao lado de Enable (Habilitar) em S3 logging (Registro em log do S3).
-
(Recomendado) Marque a caixa de seleção ao lado de Allow only encrypted S3 buckets (Permitir apenas buckets do S3 criptografados). Com essa opção ativada, os dados de log serão criptografados usando a chave de criptografia no lado do servidor especificada para o bucket. Se não quiser criptografar os dados de log enviados ao Amazon S3, desmarque a caixa de seleção. Você também deverá desmarcar a caixa de seleção se a criptografia não for permitida no bucket do S3.
-
Para S3 bucket name (Nome do bucket do S3), selecione uma das seguintes opções:
nota
Recomendamos não usar pontos (".") em nomes de buckets ao usar buckets hospedados virtualmente. Para obter informações sobre as convenções para nomear buckets do Amazon S3, consulte Restrições e limitações de buckets no guia do usuário do Amazon Simple Storage Service.
-
Escolha um nome de bucket na lista: selecione um bucket do Amazon S3 que já tenha sido criado na sua conta para armazenar dados de log de sessão.
-
Insira um nome de bucket na caixa de texto: insira o nome de um bucket do Amazon S3 que já tenha sido criado na conta para armazenar os dados de log da sessão.
-
-
(Opcional) Para prefixo de chaves do S3, insira o nome de uma pasta existente ou uma nova pasta para armazenar logs no bucket selecionado.
-
Escolha Salvar.
Para obter mais informações sobre como trabalhar com o Amazon S3 e com buckets do Amazon S3, consulte o Guia do usuário do Amazon Simple Storage Service e o Guia do usuário do Amazon Simple Storage Service.
Registrar dados da sessão em log usando o Amazon CloudWatch Logs (console)
Com o Amazon CloudWatch Logs, é possível monitorar, armazenar e acessar os arquivos de log de vários Serviços da AWS. Você pode enviar dados de log da sessão a um grupo de logs do CloudWatch Logs para fins de depuração e solução de problemas. A opção padrão é que os dados de log sejam enviados com criptografia usando sua chave do KMS, mas é possível enviar esses dados ao grupo de logs com ou sem criptografia.
Siga estas etapas para configurar AWS Systems Manager Session Manager para enviar dados de log da sessão a um grupo de logs do CloudWatch Logs no final das sessões.
nota
Você também pode usar a AWS CLI para especificar ou alterar o grupo de logs do CloudWatch Logs ao qual os dados de sessão serão enviados. Para ter mais informações, consulte Atualizar preferências do Session Manager (linha de comando).
Para registrar dados da sessão em log usando o Amazon CloudWatch Logs (console)
Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. -
No painel de navegação, escolha Session Manager.
-
Escolha a guia Preferences (Preferências) e, em seguida, escolha Edit (Editar).
-
Marque a caixa de seleção ao lado de Enable (Habilitar) em CloudWatch logging (Registro em log do CloudWatch).
-
Selecione a opção Upload session logs (Carregar os logs da sessão).
-
(Recomendado) Marque a caixa de seleção ao lado de Allow only encrypted CloudWatch log groups (Permitir apenas grupos de logs criptografados do CloudWatch). Com essa opção ativada, os dados de log serão criptografados usando a chave de criptografia no lado do servidor especificada para o grupo de logs. Se não quiser criptografar os dados de log enviados ao CloudWatch Logs, desmarque a caixa de seleção. Você também deverá desmarcar a caixa de seleção se a criptografia não for permitida no grupo de logs.
-
Em CloudWatch logs (Logs do CloudWatch), para especificar o grupo de logs do CloudWatch Logs na Conta da AWS no qual carregar logs de sessão, selecione uma das seguintes opções:
-
Choose a log group from the list (Escolha um grupo de logs na lista): selecione um grupo de logs que já tenha sido criado na sua conta para armazenar dados de log de sessão.
-
Enter a log group name in the text box (Insira um nome de grupo de logs na caixa de texto): insira o nome de um grupo de logs que já tenha sido criado na sua conta para armazenar dados de log de sessão.
-
-
Escolha Salvar.
Para obter mais informações sobre o CloudWatch Logs, consulte Guia do usuário do Amazon CloudWatch Logs.
Desabilitar o registro em log do Session Manager no CloudWatch Logs e no Amazon S3
Você pode usar o console do Systems Manager ou a AWS CLI para desabilitar o registro em log de sessão em sua conta.
Para desabilitar o registro em log de sessão (console)
Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. -
No painel de navegação, escolha Session Manager.
-
Escolha a guia Preferences (Preferências) e, em seguida, escolha Edit (Editar).
-
Para desabilitar o registro em log do CloudWatch, na seção Registro em log do CloudWatch, desmarque a caixa de seleção Habilitar.
-
Para desabilitar o registro em log do S3, na seção Registro em log do S3, desmarque a caixa de seleção Habilitar.
-
Escolha Salvar.
Para desabilitar o registro em log de sessão (AWS CLI)
Para desabilitar o registro em log de sessão usando a AWS CLI, siga as instruções em Atualizar preferências do Session Manager (linha de comando).
No arquivo JSON, certifique-se de que as entradas s3BucketName
e cloudWatchLogGroupName
não contenham valores. Por exemplo:
"inputs": {
"s3BucketName": "",
...
"cloudWatchLogGroupName": "",
...
}
Se preferir, você pode remover todas as entradas S3*
e cloudWatch*
do arquivo JSON para desabilitar o registro em log.