Konfigurieren von Amazon CloudWatch Logs für Run Command - AWS Systems Manager
Angeben von CloudWatch Logs beim Senden von BefehlenAnzeigen von Befehlsausgaben in CloudWatch Logs

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von Amazon CloudWatch Logs für Run Command

Wenn Sie einen Befehl mit Run Command, einem Tool in AWS Systems Manager, senden, können Sie angeben, wohin Sie die Befehlsausgabe senden möchten. Standardmäßig gibt Systems Manager nur die ersten 24 000 Zeichen der Befehlsausgabe zurück. Wenn Sie alle Details der Befehlsausgabe anzeigen möchten, können Sie einen Amazon Simple Storage Service (Amazon S3)-Bucket angeben. Alternativ können Sie Amazon CloudWatch Logs angeben. Wenn Sie CloudWatch Logs angeben, sendet Run Command in regelmäßigen Abständen alle Befehlsausgabe- und Fehlerprotokolle an CloudWatch Logs. Sie können Ausgabeprotokolle nahezu in Echtzeit überwachen, nach bestimmten Ausdrücken, Werten oder Mustern suchen und Alarme basierend auf der Suche erstellen.

Wenn Sie Ihren verwalteten Knoten so konfiguriert haben, dass er die AWS Identity and Access Management (IAM)-verwalteten Richtlinien AmazonSSMManagedInstanceCore und CloudWatchAgentServerPolicy verwendet, dann benötigt Ihr Knoten keine zusätzliche Konfiguration, um Ausgaben an CloudWatch Logs zu senden. Wählen Sie diese Option, wenn Sie Befehle von der Konsole senden, oder den Abschnitt cloud-watch-output-config und den Parameter CloudWatchOutputEnabled hinzufügen, wenn Sie die AWS Command Line Interface (AWS CLI), AWS Tools for Windows PowerShell, oder einen API-Vorgang verwenden. Der cloud-watch-output-config-Abschnitt und der CloudWatchOutputEnabled-Parameter sind später in diesem Thema noch ausführlicher beschrieben.

Informationen zum Hinzufügen von Richtlinien zu einem Instance-Profil für EC2-Instances finden Sie unter Konfigurieren von erfordlichen Instance-Berechtigungen für Systems Manager. Informationen zum Hinzufügen von Richtlinien zu einer Servicerolle für On-Premises-Server und virtuelle Maschinen, die Sie als verwaltete Knoten verwenden möchten, finden Sie unter Erstellen der für Systems Manager in Hybrid- und Multi-Cloud-Umgebungen erforderlichen IAM-Servicerolle.

Wenn Sie eine benutzerdefinierte Richtlinie auf Ihren Knoten verwenden, aktualisieren Sie die Richtlinie auf jedem Knoten, damit Systems Manager Ausgaben und Protokolle an CloudWatch Logs sendet. Fügen Sie Ihrer benutzerdefinierten Richtlinie die folgenden Richtlinienobjekte hinzu. Weitere Informationen zum Aktualisieren einer IAM-Richtlinie finden Sie unter Editing IAM policies (Bearbeiten von IAM-Richtlinien) im IAM-Benutzerhandbuch.

{
    "Effect": "Allow",
    "Action": "logs:DescribeLogGroups",
    "Resource": "*"
},
{
   "Effect":"Allow",
   "Action":[
      "logs:CreateLogGroup",
      "logs:CreateLogStream",
      "logs:DescribeLogStreams",
      "logs:PutLogEvents"
   ],
   "Resource":"arn:aws:logs:*:*:log-group:/aws/ssm/*"
},

Angeben von CloudWatch Logs beim Senden von Befehlen

Um CloudWatch Logs als Ausgabe festzulegen, wenn Sie einen Befehl von der AWS-Managementkonsole senden, wählen Sie im Abschnitt Output Options (Ausgabeoptionen) die Option CloudWatch Output (CloudWatch-Ausgabe) aus. Optional können Sie den Namen der CloudWatch Logs-Gruppe angeben, an die Sie die Befehlsausgabe senden möchten. Wenn Sie keinen Gruppennamen angeben, erstellt Systems Manager automatisch eine Protokollgruppe für Sie. Die Protokollgruppe verwendet das folgende Bezeichnungsformat: /aws/ssm/SystemsManagerDocumentName

Wenn Sie Befehle über die AWS CLI ausführen, geben Sie den Abschnitt cloud-watch-output-config in Ihrem Befehl an. Dieser Abschnitt ermöglicht Ihnen, den CloudWatchOutputEnabled-Parameter und optional den CloudWatchLogGroupName-Parameter anzugeben. Ein Beispiel.

Linux & macOS
aws ssm send-command \
    --instance-ids "instance ID" \
    --document-name "AWS-RunShellScript" \
    --parameters "commands=echo helloWorld" \
    --cloud-watch-output-config "CloudWatchOutputEnabled=true,CloudWatchLogGroupName=log group name"
Windows
aws ssm send-command ^
    --document-name "AWS-RunPowerShellScript" ^
    --parameters commands=["echo helloWorld"] ^
    --targets "Key=instanceids,Values=an instance ID” ^
    --cloud-watch-output-config '{"CloudWatchLogGroupName":"log group name","CloudWatchOutputEnabled":true}'

Anzeigen von Befehlsausgaben in CloudWatch Logs

Sobald der Befehl ausgeführt wird, sendet Systems Manager beinahe in Echtzeit Ausgaben an CloudWatch Logs. Die Ausgabe in CloudWatch Logs verwendet das folgende Format:

CommandID/InstanceID/PluginID/stdout

CommandID/InstanceID/PluginID/stderr

Die Ausgabe der Ausführung wird alle 30 Sekunden hochgeladen, oder wenn der Puffer mehr als 200 KB umfasst (je nachdem, was eher eintritt).

Anmerkung

Log Streams werden nur erstellt, wenn Ausgabedaten verfügbar sind. Wenn es beispielsweise keine Fehlerdaten für eine Ausführung gibt, wird der stderr-Stream nicht erstellt.

Hier sehen Sie ein Beispiel für die Befehlsausgabe, wie sie in CloudWatch Logs angezeigt wird.

Group - /aws/ssm/AWS-RunShellScript
Streams – 
1234-567-8910/i-abcd-efg-hijk/AWS-RunPowerShellScript/stdout
24/1234-567-8910/i-abcd-efg-hijk/AWS-RunPowerShellScript/stderr