• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Registro y monitorización en AWS Systems Manager
<a name="monitoring"></a>

La supervisión es un aspecto importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de AWS Systems Manager y sus soluciones de AWS. Debe recopilar los datos de monitoreo de todas las partes de la solución de AWS para que pueda depurar un error que se produce en distintas partes del código, en caso de que ocurra. Antes de comenzar a monitorear Systems Manager, cree un plan de monitoreo que incluya respuestas a las siguientes preguntas: 
+ ¿Cuáles son los objetivos de la supervisión?
+ ¿Qué recursos va a supervisar?
+ ¿Con qué frecuencia va a supervisar estos recursos?
+ ¿Qué herramientas de supervisión va a utilizar?
+ ¿Quién se encarga de realizar las tareas de monitorización?
+ ¿Quién debería recibir una notificación cuando surjan problemas?

Después de definir los objetivos y de crear el plan de monitoreo, el paso siguiente consiste en establecer un punto de referencia para el rendimiento normal de Systems Manager en el entorno. Conviene medir el rendimiento de Systems Manager en varias ocasiones y con diferentes condiciones de carga. A medida que monitorea Systems Manager, guarde un historial de los datos de monitoreo que recopila. Puede comparar el rendimiento actual de Systems Manager con los datos históricos para identificar patrones de rendimiento normal y anomalías en el desempeño, así como crear métodos para solucionarlos.

Por ejemplo, puede monitorizar si se llevan a cabo correctamente o no operaciones como los flujos de trabajo de Automation, la aplicación de líneas de base de revisiones, los eventos de periodos de mantenimiento o la conformidad de la configuración. Automatización es una herramienta de AWS Systems Manager.

También puede monitorear la utilización de la CPU, las E/S de disco y la utilización de la red de los nodos administrados. Si el rendimiento no alcanza los valores del punto de referencia establecido, es posible que deba volver a configurar u optimizar el nodo para reducir la utilización de la CPU, mejorar la E/S de disco o reducir el tráfico de red. Para obtener más información sobre el monitoreo de instancias de EC2, consulte [Monitoreo de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring_ec2.html) en la *Guía del usuario de Amazon EC2*.

**Topics**
+ [Herramientas de supervisión](#monitoring-tools)
+ [Envío de registros de nodos a los Registros de CloudWatch (agente de CloudWatch) unificado](monitoring-cloudwatch-agent.md)
+ [Envío de registros de SSM Agent a CloudWatch Logs](monitoring-ssm-agent.md)
+ [Supervisión de los eventos de las solicitudes de cambio](monitoring-change-request-events.md)
+ [Monitoreo de las automatizaciones](monitoring-automation-metrics.md)
+ [Monitoreo de métricas de Run Command con Amazon CloudWatch](monitoring-cloudwatch-metrics.md)
+ [Registro de llamadas a la API de AWS Systems Manager con AWS CloudTrail](monitoring-cloudtrail-logs.md)
+ [Registro de salida de acción de Automation con CloudWatch Logs](automation-action-logging.md)
+ [Configuración de Registros de Amazon CloudWatch para Run Command](sysman-rc-setting-up-cwlogs.md)
+ [Cómo monitorear eventos de Systems Manager con Amazon EventBridge](monitoring-eventbridge-events.md)
+ [Cómo monitorear los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS](monitoring-sns-notifications.md)

## Herramientas de supervisión
<a name="monitoring-tools"></a>

El contenido de este capítulo proporciona información sobre el uso de las herramientas disponibles para monitorear sus recursos de Systems Manager y otros recursos de AWS. Para obtener una lista más completa de herramientas, consulte [Registro y monitorización en AWS Systems Manager](logging-and-monitoring.md).

# Envío de registros de nodos a los Registros de CloudWatch (agente de CloudWatch) unificado
<a name="monitoring-cloudwatch-agent"></a>

Puede configurar y utilizar el agente de Amazon CloudWatch para recopilar las métricas y los registros de los nodos en lugar de utilizar el agente de AWS Systems Manager (SSM Agent) para estas tareas. El agente de CloudWatch le permite reunir más métricas de las instancias EC2 que las que están disponibles con SSM Agent. Además, puede reunir las métricas de servidores locales mediante el agente de CloudWatch. 

También puede almacenar opciones de configuración del agente en Parameter Store de Systems Manager para utilizarlas con el agente de CloudWatch. Parameter Store es una herramienta de AWS Systems Manager.

**nota**  
AWS Systems Manager admite la migración de SSM Agent al agente de CloudWatch unificado para recopilar registros y métricas solo en versiones de 64 bits de Windows. Para obtener información acerca de la configuración del agente de CloudWatch unificado en otros sistemas operativos e información completa sobre su uso, consulte [Recopilación de métricas y registros de instancias Amazon EC2 y en los servidores en las instalaciones con el agente de CloudWatch.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) en la *[Guía del usuario de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)*.  
Puede utilizar el agente de CloudWatch en otros sistemas operativos compatibles, pero no podrá utilizar Systems Manager para realizar una migración de herramientas. 

SSM AgentEl escribe información acerca de ejecuciones, acciones programadas, errores y estados en los archivos de registro en cada nodo. La conexión manual a un nodo para ver los archivos de registro y solucionar un problema con el SSM Agent puede llevar mucho tiempo. Para monitorear los nodos de forma más eficiente, puede configurar el propio SSM Agent o el agente de CloudWatch para que envíen estos datos de registro a los Registros de Amazon CloudWatch. 

**importante**  
El agente unificado de CloudWatch ha sustituido a SSM Agent como herramienta para enviar datos de registro a los Registros de Amazon CloudWatch. El complemento aws:cloudWatch del SSM Agent no es compatible. Recomendamos utilizar solo el agente de CloudWatch unificado para sus procesos de recopilación de registros. Para obtener más información, consulte los temas siguientes:  
[Envío de registros de nodos a los Registros de CloudWatch (agente de CloudWatch) unificado](#monitoring-cloudwatch-agent)
[Migrar la recopilación de registros del nodo de Windows Server al agente de CloudWatch](#monitoring-cloudwatch-agent-migrate)
[Recopilación de métricas, registros y seguimientos con el agente de CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) en la *Guía del usuario de Amazon CloudWatch*.

Con los Registros de CloudWatch, puede monitorear datos de registro en tiempo real, buscar y filtrar datos de registro creando uno o varios filtros de métricas, así como archivar y recuperar datos históricos si los necesita. Para obtener más información acerca de los Registros de CloudWatch, consulte la *[Guía del usuario de los Registros de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.

La configuración de un agente para enviar datos de registro a los Registros de Amazon CloudWatch proporciona los siguientes beneficios:
+ Almacenamiento centralizado de todos los archivos de registro del SSM Agent.
+ Acceso más rápido a los archivos para investigar errores.
+ Retención indefinida de los archivos de registro (configurable).
+ Se puede realizar el mantenimiento de los registros y obtener acceso a ellos independientemente del estado del nodo.
+ Acceso a otras características de CloudWatch como las métricas y las alarmas.

Para obtener más información acerca del monitoreo de la actividad de Session Manager, consulte [Registro de la actividad de la sesión](session-manager-auditing.md) y [Habilitar y deshabilitar el registro de la sesión](session-manager-logging.md).

## Migrar la recopilación de registros del nodo de Windows Server al agente de CloudWatch
<a name="monitoring-cloudwatch-agent-migrate"></a>

Si utiliza SSM Agent en nodos de Windows Server compatibles para enviar archivos de registro de SSM Agent a los Registros de Amazon CloudWatch, puede utilizar Systems Manager para cambiar el SSM Agent por el agente de CloudWatch como herramienta de recopilación de registros y migrar las opciones de configuración.

El agente de CloudWatch no se admite en las versiones de 32 bits de Windows Server.

Para las instancias EC2 de Windows Server de 64 bits, puede realizar la migración al agente de CloudWatch de forma automática o manual. Para las máquinas virtuales y los servidores locales, el proceso debe realizarse manualmente. 

**nota**  
Durante el proceso de migración, es posible que los datos enviados a CloudWatch se interrumpan o dupliquen. Sus métricas y datos de registro se registrarán de forma precisa otra vez en CloudWatch una vez completada la migración.

Recomendamos que se pruebe la migración en un número limitado de nodos antes de migrar una flota completa al agente de CloudWatch. Tras la migración, si prefiere recopilar los registros con el SSM Agent, puede volver a utilizarlo en su lugar. 

**importante**  
En los siguientes casos, no podrá migrar al agente de CloudWatch con los pasos descritos en este tema:  
La configuración existente del SSM Agent especifica varias regiones.
La configuración existente del SSM Agent especifica varios conjuntos de credenciales de acceso/clave secreta.
En estos casos, será necesario desactivar la recopilación de registros en el SSM Agent e instalar el agente de CloudWatch sin realizar la migración. Para obtener más información, consulte los siguientes temas de la *Guía del usuario de Amazon CloudWatch*:  
[Installing the CloudWatch agent (Instalación del agente de CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html)
[Installing the CloudWatch agent on on-premises servers (Instalación del agente de CloudWatch en servidores locales](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-premise.html)

**Antes de empezar**  
Antes de empezar a migrar al agente de CloudWatch para la recopilación de registros, asegúrese de que los nodos en los que realizará la migración cumplen estos requisitos:
+ El SO es una versión de 64 bits de Windows Server.
+ SSM AgentEstá instalada la versión 2.2.93.0 o versiones posteriores del en el nodo.
+ SSM AgentEl está configurado para el monitoreo del nodo. 

**Topics**
+ [Migración automática al agente de CloudWatch](#monitoring-cloudwatch-agent-migrate-auto)
+ [Migración manual al agente de CloudWatch](#monitoring-cloudwatch-agent-migrate-manual)

### Migración automática al agente de CloudWatch
<a name="monitoring-cloudwatch-agent-migrate-auto"></a>

Solo para las instancias EC2 para Windows Server puede utilizar la consola de AWS Systems Manager o la AWS Command Line Interface (AWS CLI) para migrar automáticamente al agente de CloudWatch como su herramienta de recopilación de registros.

**nota**  
AWS Systems Manager admite la migración de SSM Agent al agente de CloudWatch unificado para recopilar registros y métricas solo en versiones de 64 bits de Windows. Para obtener información acerca de la configuración del agente de CloudWatch unificado en otros sistemas operativos e información completa sobre su uso, consulte [Recopilación de métricas y registros de instancias Amazon EC2 y en los servidores en las instalaciones con el agente de CloudWatch.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) en la *[Guía del usuario de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)*.  
Puede utilizar el agente de CloudWatch en otros sistemas operativos compatibles, pero no podrá utilizar Systems Manager para realizar una migración de herramientas. 

Si la migración se ha realizado correctamente, compruebe sus resultados en CloudWatch para asegurarse de que recibe las métricas, los registros o los registros de eventos de Windows esperados. Si está satisfecho con los resultados, puede de manera opcional [Almacenar la configuración del agente de CloudWatch en Parameter Store](#monitoring-cloudwatch-agent-store-config). Si la migración no se realiza correctamente o los resultados no son los esperados, puede intentar [Revertir a la recopilación de registros con SSM Agent](#monitoring-cloudwatch-agent-roll-back).

**nota**  
Si desea migrar un archivo de configuración de origen que incluye una entrada `{hostname}`, debe tener en cuenta que la entrada `{hostname}` puede cambiar el valor del campo una vez completada la migración. Por ejemplo, digamos que la siguiente entrada `"LogStream": "{hostname}"` se asigna a un servidor llamado *MiServidorDeRegistros001*.  

```
{
"Id": "CloudWatchIISLogs",
"FullName": "AWS.EC2.Windows.CloudWatch.CloudWatchLogsOutput,AWS.EC2.Windows.CloudWatch",
"Parameters": {
"AccessKey": "",
"SecretKey": "",
"Region": "us-east-1",
"LogGroup": "Production-Windows-IIS",
"LogStream": "{hostname}"
     }
}
```
Después de la migración, esta entrada se asignará a un dominio, como ip-11-1-1-11.production. ExampleCompany.com. Para conservar el valor del nombre de host local, especifique `{local_hostname}` en lugar de `{hostname}`.

**Para migrar de forma automática al agente de CloudWatch (consola)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Run Command** y, a continuación, seleccione **Run command (Ejecutar comando)**. 

1. En la lista **Command document (Documento de comandos)**, elija `AmazonCloudWatch-MigrateCloudWatchAgent`.

1. En **Status (Estado)**, elija **Enabled (Habilitado)**.

1. En la sección **Targets** (Destinos), para elegir los nodos administrados en los que desea ejecutar esta operación, especifique las etiquetas, seleccione las instancias o los dispositivos de borde manualmente o especifique un grupo de recursos.
**sugerencia**  
Si un nodo administrado que espera ver no aparece en la lista, consulte [Solución de problemas de disponibilidad de nodos administrados](fleet-manager-troubleshooting-managed-nodes.md) para obtener consejos de solución de problemas.

1. En **Rate control** (Control de velocidad):
   + En **Concurrency** (Simultaneidad), especifique un número o un porcentaje de los nodos administrados en los que desea ejecutar el comando al mismo tiempo.
**nota**  
Si seleccionó los destinos mediante la especificación de etiquetas aplicadas a nodos administrados o de grupos de recursos de AWS y no está seguro de cuántos nodos administrados tienen destino, limite el número de destinos que puede ejecutar el documento al mismo tiempo. Para ello, especifique un porcentaje.
   + En **Error threshold** (Umbral de errores), especifique cuándo desea parar la ejecución del comando en los demás nodos administrados después de que haya fallado en un número o un porcentaje de los nodos. Por ejemplo, si especifica tres errores, Systems Manager dejará de enviar el comando cuando se reciba el cuarto error. Los nodos administrados que estén procesando el comando todavía pueden enviar errores.

1. (Opcional) En **Opciones de salida**, para guardar la salida del comando en un archivo, seleccione el cuadro **Write command output to an S3 bucket**. Ingrese los nombres del bucket y del prefijo (carpeta) en los cuadros.
**nota**  
Los permisos de S3 que conceden la capacidad de escribir datos en un bucket de S3 son los del perfil de instancia (para instancias de EC2) o rol de servicio de IAM (máquinas activadas de manera híbrida) asignados a la instancia, no los del usuario de IAM que realiza esta tarea. Para obtener más información, consulte [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md) o [Creación de un rol de servicio de IAM para un entorno híbrido](hybrid-multicloud-service-role.md). Además, si el bucket de S3 especificado se encuentra en una Cuenta de AWS diferente, asegúrese de que el perfil de instancias o el rol de servicio de IAM asociado al nodo administrado tenga los permisos necesarios para escribir en ese bucket.

1. En la sección **Notificaciones de SNS**, seleccione la casilla de verificación **Habilitar notificaciones de SNS** si desea recibir notificaciones sobre el estado de ejecución de los comandos.

   Para obtener más información acerca de la configuración de las notificaciones de Amazon SNS para Run Command, consulte [Cómo monitorear los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS](monitoring-sns-notifications.md).

1. Seleccione **Ejecutar**.

**Para migrar de forma automática al agente de CloudWatch (AWS CLI)**
+ Ejecute el siguiente comando.

  ```
  aws ssm send-command --document-name AmazonCloudWatch-MigrateCloudWatchAgent --targets Key=instanceids,Values=ID1,ID2,ID3
  ```

  *ID1*, *ID2* e *ID3* representan los ID de los nodos que desea actualizar, como *i-02573cafcfEXAMPLE*.

### Migración manual al agente de CloudWatch
<a name="monitoring-cloudwatch-agent-migrate-manual"></a>

Para los nodos de Windows Server locales o las instancias EC2 para Windows Server, siga estos pasos para migrar la recopilación de registros al agente de Amazon CloudWatch de forma manual. 

**nota**  
Si desea migrar un archivo de configuración de origen que incluye una entrada `{hostname}`, debe tener en cuenta que la entrada `{hostname}` puede cambiar el valor del campo una vez completada la migración. Por ejemplo, digamos que la siguiente entrada `"LogStream": "{hostname}"` se asigna a un servidor llamado *MiServidorDeRegistros001*.  

```
{
"Id": "CloudWatchIISLogs",
"FullName": "AWS.EC2.Windows.CloudWatch.CloudWatchLogsOutput,AWS.EC2.Windows.CloudWatch",
"Parameters": {
"AccessKey": "",
"SecretKey": "",
"Region": "us-east-1",
"LogGroup": "Production-Windows-IIS",
"LogStream": "{hostname}"
     }
}
```
Después de la migración, esta entrada se asignará a un dominio, como ip-11-1-1-11.production.ExampleCompany.com. Para conservar el valor del nombre de host local, especifique `{local_hostname}` en lugar de `{hostname}`.

**Uno: instalar el agente de CloudWatch (consola)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Run Command** y, a continuación, seleccione **Run command (Ejecutar comando)**. 

1. En la lista **Command document (Documento de comandos)**, elija `AWS-ConfigureAWSPackage`.

1. En **Action** (Acción), elija `Install`.

1. En **Nombre**, escriba **AmazonCloudWatchAgent**.

1. En **Version** (Versión), ingrese **latest** si aún no se ha proporcionado de forma predeterminada.

1. En la sección **Targets** (Destinos), para elegir los nodos administrados en los que desea ejecutar esta operación, especifique las etiquetas, seleccione las instancias o los dispositivos de borde manualmente o especifique un grupo de recursos.
**sugerencia**  
Si un nodo administrado que espera ver no aparece en la lista, consulte [Solución de problemas de disponibilidad de nodos administrados](fleet-manager-troubleshooting-managed-nodes.md) para obtener consejos de solución de problemas.

1. En **Rate control** (Control de velocidad):
   + En **Concurrency** (Simultaneidad), especifique un número o un porcentaje de los nodos administrados en los que desea ejecutar el comando al mismo tiempo.
**nota**  
Si seleccionó los destinos mediante la especificación de etiquetas aplicadas a nodos administrados o de grupos de recursos de AWS y no está seguro de cuántos nodos administrados tienen destino, limite el número de destinos que puede ejecutar el documento al mismo tiempo. Para ello, especifique un porcentaje.
   + En **Error threshold** (Umbral de errores), especifique cuándo desea parar la ejecución del comando en los demás nodos administrados después de que haya fallado en un número o un porcentaje de los nodos. Por ejemplo, si especifica tres errores, Systems Manager dejará de enviar el comando cuando se reciba el cuarto error. Los nodos administrados que estén procesando el comando todavía pueden enviar errores.

1. (Opcional) En **Opciones de salida**, para guardar la salida del comando en un archivo, seleccione el cuadro **Write command output to an S3 bucket**. Ingrese los nombres del bucket y del prefijo (carpeta) en los cuadros.
**nota**  
Los permisos de S3 que conceden la capacidad de escribir datos en un bucket de S3 son los del perfil de instancia (para instancias de EC2) o rol de servicio de IAM (máquinas activadas de manera híbrida) asignados a la instancia, no los del usuario de IAM que realiza esta tarea. Para obtener más información, consulte [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md) o [Creación de un rol de servicio de IAM para un entorno híbrido](hybrid-multicloud-service-role.md). Además, si el bucket de S3 especificado se encuentra en una Cuenta de AWS diferente, asegúrese de que el perfil de instancias o el rol de servicio de IAM asociado al nodo administrado tenga los permisos necesarios para escribir en ese bucket.

1. En la sección **Notificaciones de SNS**, seleccione la casilla de verificación **Habilitar notificaciones de SNS** si desea recibir notificaciones sobre el estado de ejecución de los comandos.

   Para obtener más información acerca de la configuración de las notificaciones de Amazon SNS para Run Command, consulte [Cómo monitorear los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS](monitoring-sns-notifications.md).

1. Seleccione **Ejecutar**.

**Dos: actualizar el formato JSON de los datos de configuración**
+ Para actualizar el formato JSON de las opciones de configuración existentes para el agente de CloudWatch, utilice **Run Command**, una herramienta de AWS Systems Manager, o inicie sesión en el nodo directamente con una conexión de RDP para ejecutar los siguientes comandos de Windows PowerShell en el nodo, de uno en uno.

  ```
  cd ${Env:ProgramFiles}\\Amazon\\AmazonCloudWatchAgent
  ```

  ```
  .\\amazon-cloudwatch-agent-config-wizard.exe --isNonInteractiveWindowsMigration
  ```

  *\$1Env:ProgramFiles\$1* representa la ubicación donde se puede encontrar el directorio de Amazon que contiene el agente de Cloudwatch, normalmente `C:\Program Files`. 

**Tres: configurar e iniciar el agente de CloudWatch (consola)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Run Command** y, a continuación, seleccione **Run command (Ejecutar comando)**. 

1. En la lista **Command document (Documento de comandos)**, elija `AWS-RunPowerShellScript`.

1. En **Commands** (Comandos), ingrese los siguientes dos comandos.

   ```
   cd ${Env:ProgramFiles}\Amazon\AmazonCloudWatchAgent
   ```

   ```
   .\amazon-cloudwatch-agent-ctl.ps1 -a fetch-config -m ec2 -c file:config.json -s
   ```

   *\$1Env:ProgramFiles\$1* representa la ubicación donde se puede encontrar el directorio de Amazon que contiene el agente de Cloudwatch, normalmente `C:\Program Files`. 

1. En la sección **Targets** (Destinos), para elegir los nodos administrados en los que desea ejecutar esta operación, especifique las etiquetas, seleccione las instancias o los dispositivos de borde manualmente o especifique un grupo de recursos.
**sugerencia**  
Si un nodo administrado que espera ver no aparece en la lista, consulte [Solución de problemas de disponibilidad de nodos administrados](fleet-manager-troubleshooting-managed-nodes.md) para obtener consejos de solución de problemas.

1. En **Rate control** (Control de velocidad):
   + En **Concurrency** (Simultaneidad), especifique un número o un porcentaje de los nodos administrados en los que desea ejecutar el comando al mismo tiempo.
**nota**  
Si seleccionó los destinos mediante la especificación de etiquetas aplicadas a nodos administrados o de grupos de recursos de AWS y no está seguro de cuántos nodos administrados tienen destino, limite el número de destinos que puede ejecutar el documento al mismo tiempo. Para ello, especifique un porcentaje.
   + En **Error threshold** (Umbral de errores), especifique cuándo desea parar la ejecución del comando en los demás nodos administrados después de que haya fallado en un número o un porcentaje de los nodos. Por ejemplo, si especifica tres errores, Systems Manager dejará de enviar el comando cuando se reciba el cuarto error. Los nodos administrados que estén procesando el comando todavía pueden enviar errores.

1. (Opcional) En **Opciones de salida**, para guardar la salida del comando en un archivo, seleccione el cuadro **Write command output to an S3 bucket**. Ingrese los nombres del bucket y del prefijo (carpeta) en los cuadros.
**nota**  
Los permisos de S3 que conceden la capacidad de escribir datos en un bucket de S3 son los del perfil de instancia (para instancias de EC2) o rol de servicio de IAM (máquinas activadas de manera híbrida) asignados a la instancia, no los del usuario de IAM que realiza esta tarea. Para obtener más información, consulte [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md) o [Creación de un rol de servicio de IAM para un entorno híbrido](hybrid-multicloud-service-role.md). Además, si el bucket de S3 especificado se encuentra en una Cuenta de AWS diferente, asegúrese de que el perfil de instancias o el rol de servicio de IAM asociado al nodo administrado tenga los permisos necesarios para escribir en ese bucket.

1. En la sección **Notificaciones de SNS**, seleccione la casilla de verificación **Habilitar notificaciones de SNS** si desea recibir notificaciones sobre el estado de ejecución de los comandos.

   Para obtener más información acerca de la configuración de las notificaciones de Amazon SNS para Run Command, consulte [Cómo monitorear los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS](monitoring-sns-notifications.md).

1. Seleccione **Ejecutar**.

**Cuatro: desactivar la recopilación de registros en SSM Agent (consola)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Run Command** y, a continuación, seleccione **Run command (Ejecutar comando)**. 

1. En la lista **Command document (Documento de comandos)**, elija `AWS-ConfigureCloudWatch`.

1. En **Status** (Estado), elija **Disabled** (Desactivado).

1. En la sección **Targets** (Destinos), para elegir los nodos administrados en los que desea ejecutar esta operación, especifique las etiquetas, seleccione las instancias o los dispositivos de borde manualmente o especifique un grupo de recursos.
**sugerencia**  
Si un nodo administrado que espera ver no aparece en la lista, consulte [Solución de problemas de disponibilidad de nodos administrados](fleet-manager-troubleshooting-managed-nodes.md) para obtener consejos de solución de problemas.

1. En **Status** (Estado), elija `Disabled` (Habilitado).

1. En **Rate control** (Control de velocidad):
   + En **Concurrency** (Simultaneidad), especifique un número o un porcentaje de los nodos administrados en los que desea ejecutar el comando al mismo tiempo.
**nota**  
Si seleccionó los destinos mediante la especificación de etiquetas aplicadas a nodos administrados o de grupos de recursos de AWS y no está seguro de cuántos nodos administrados tienen destino, limite el número de destinos que puede ejecutar el documento al mismo tiempo. Para ello, especifique un porcentaje.
   + En **Error threshold** (Umbral de errores), especifique cuándo desea parar la ejecución del comando en los demás nodos administrados después de que haya fallado en un número o un porcentaje de los nodos. Por ejemplo, si especifica tres errores, Systems Manager dejará de enviar el comando cuando se reciba el cuarto error. Los nodos administrados que estén procesando el comando todavía pueden enviar errores.

1. (Opcional) En **Opciones de salida**, para guardar la salida del comando en un archivo, seleccione el cuadro **Write command output to an S3 bucket**. Ingrese los nombres del bucket y del prefijo (carpeta) en los cuadros.
**nota**  
Los permisos de S3 que conceden la capacidad de escribir datos en un bucket de S3 son los del perfil de instancia (para instancias de EC2) o rol de servicio de IAM (máquinas activadas de manera híbrida) asignados a la instancia, no los del usuario de IAM que realiza esta tarea. Para obtener más información, consulte [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md) o [Creación de un rol de servicio de IAM para un entorno híbrido](hybrid-multicloud-service-role.md). Además, si el bucket de S3 especificado se encuentra en una Cuenta de AWS diferente, asegúrese de que el perfil de instancias o el rol de servicio de IAM asociado al nodo administrado tenga los permisos necesarios para escribir en ese bucket.

1. En la sección **Notificaciones de SNS**, seleccione la casilla de verificación **Habilitar notificaciones de SNS** si desea recibir notificaciones sobre el estado de ejecución de los comandos.

   Para obtener más información acerca de la configuración de las notificaciones de Amazon SNS para Run Command, consulte [Cómo monitorear los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS](monitoring-sns-notifications.md).

1. Seleccione **Ejecutar**.

   Una vez completados estos pasos, compruebe sus registros en CloudWatch para verificar que recibe las métricas, los registros o los registros de eventos de Windows esperados. Si los resultados son satisfactorios, puede de manera opcional [Almacenar la configuración del agente de CloudWatch en Parameter Store](#monitoring-cloudwatch-agent-store-config). Si la migración no se realiza correctamente o los resultados no son los esperados, puede [Revertir a la recopilación de registros con SSM Agent](#monitoring-cloudwatch-agent-roll-back).

## Almacenar la configuración del agente de CloudWatch en Parameter Store
<a name="monitoring-cloudwatch-agent-store-config"></a>

Puede almacenar el contenido de un archivo de configuración de un agente de CloudWatch en Parameter Store. Al mantener estos datos de configuración en un parámetro, varios nodos pueden obtener sus opciones de configuración de él, evitándose además el hecho de tener que crear o actualizar manualmente archivos de configuración en sus nodos. Por ejemplo, puede utilizar Run Command para escribir el contenido del parámetro en los archivos de configuración de varios nodos, o bien utilizar State Manager, una herramienta de AWS Systems Manager, para ayudar a evitar la desviación de la configuración en las opciones de configuración del agente de CloudWatch en una flota de nodos.

Cuando ejecuta el asistente de configuración del agente de CloudWatch, puede elegir permitir que el asistente guarde sus opciones de configuración como nuevo parámetro en Parameter Store. Para obtener información acerca de cómo se ejecuta el asistente de configuración del agente de CloudWatch, consulte [Create the CloudWatch agent configuration file with the wizard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/create-cloudwatch-agent-configuration-file-wizard.html) (Creación del archivo de configuración del agente de CloudWatch con el asistente) en la *Guía del usuario de Amazon CloudWatch*.

Si ejecutó el asistente, pero no eligió la opción para guardar la configuración como parámetro, o bien creó el archivo de configuración del agente de CloudWatch manualmente, puede recuperar los datos para guardar como parámetro en su nodo en el siguiente archivo.

```
${Env:ProgramFiles}\Amazon\AmazonCloudWatchAgent\config.json
```

*\$1Env:ProgramFiles\$1* representa la ubicación donde se puede encontrar el directorio de Amazon que contiene el agente de Cloudwatch, normalmente `C:\Program Files`. 

Recomendamos mantener una copia de seguridad del código JSON de este archivo en una ubicación distinta del propio nodo.

Para obtener información acerca de cómo crear un parámetro, consulte [Creación de parámetros de Parameter Store en Systems Manager](sysman-paramstore-su-create.md).

Para obtener más información acerca de su agente de CloudWatch, consulte [Collecting metrics and logs from Amazon EC2 instances and on-premises servers with the CloudWatch agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) (Recopilación de métricas y registros de instancias Amazon EC2 y servidores locales con el agente de CloudWatch) en la *Guía del usuario de Amazon CloudWatch*.

## Revertir a la recopilación de registros con SSM Agent
<a name="monitoring-cloudwatch-agent-roll-back"></a>

Si desea volver a usar el SSM Agent para recopilar registros, siga estos pasos.

**Uno: recuperar los datos de configuración del SSM Agent**

1. En el nodo en el que desea volver a recopilar registros con el SSM Agent, encuentre el contenido del archivo de configuración del SSM Agent. Este archivo JSON suele encontrarse en la siguiente ubicación:

   `${Env:ProgramFiles}\\Amazon\\SSM\\Plugins\\awsCloudWatch\\AWS.EC2.Windows.CloudWatch.json`

   *\$1Env:ProgramFiles\$1* representa la ubicación donde se puede encontrar el directorio `Amazon`, normalmente `C:\Program Files`. 

1. Copie estos datos en un archivo de texto para su uso en un paso posterior. 

   Recomendamos almacenar una copia de seguridad del código JSON en una ubicación distinta del propio nodo.

**Dos: desinstalar el agente de CloudWatch (consola)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Run Command** y, a continuación, seleccione **Run command (Ejecutar comando)**. 

1. En la lista **Command document (Documento de comandos)**, elija `AWS-ConfigureAWSPackage`.

1. En **Action** (Acción), elija **Uninstall** (Desinstalar).

1. En **Nombre**, escriba **AmazonCloudWatchAgent**.

1. En la sección **Targets** (Destinos), para elegir los nodos administrados en los que desea ejecutar esta operación, especifique las etiquetas, seleccione las instancias o los dispositivos de borde manualmente o especifique un grupo de recursos.
**sugerencia**  
Si un nodo administrado que espera ver no aparece en la lista, consulte [Solución de problemas de disponibilidad de nodos administrados](fleet-manager-troubleshooting-managed-nodes.md) para obtener consejos de solución de problemas.

1. En **Rate control** (Control de velocidad):
   + En **Concurrency** (Simultaneidad), especifique un número o un porcentaje de los nodos administrados en los que desea ejecutar el comando al mismo tiempo.
**nota**  
Si seleccionó los destinos mediante la especificación de etiquetas aplicadas a nodos administrados o de grupos de recursos de AWS y no está seguro de cuántos nodos administrados tienen destino, limite el número de destinos que puede ejecutar el documento al mismo tiempo. Para ello, especifique un porcentaje.
   + En **Error threshold** (Umbral de errores), especifique cuándo desea parar la ejecución del comando en los demás nodos administrados después de que haya fallado en un número o un porcentaje de los nodos. Por ejemplo, si especifica tres errores, Systems Manager dejará de enviar el comando cuando se reciba el cuarto error. Los nodos administrados que estén procesando el comando todavía pueden enviar errores.

1. (Opcional) En **Opciones de salida**, para guardar la salida del comando en un archivo, seleccione el cuadro **Write command output to an S3 bucket**. Ingrese los nombres del bucket y del prefijo (carpeta) en los cuadros.
**nota**  
Los permisos de S3 que conceden la capacidad de escribir datos en un bucket de S3 son los del perfil de instancia (para instancias de EC2) o rol de servicio de IAM (máquinas activadas de manera híbrida) asignados a la instancia, no los del usuario de IAM que realiza esta tarea. Para obtener más información, consulte [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md) o [Creación de un rol de servicio de IAM para un entorno híbrido](hybrid-multicloud-service-role.md). Además, si el bucket de S3 especificado se encuentra en una Cuenta de AWS diferente, asegúrese de que el perfil de instancias o el rol de servicio de IAM asociado al nodo administrado tenga los permisos necesarios para escribir en ese bucket.

1. En la sección **Notificaciones de SNS**, seleccione la casilla de verificación **Habilitar notificaciones de SNS** si desea recibir notificaciones sobre el estado de ejecución de los comandos.

   Para obtener más información acerca de la configuración de las notificaciones de Amazon SNS para Run Command, consulte [Cómo monitorear los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS](monitoring-sns-notifications.md).

1. Seleccione **Ejecutar**.

**Tres: para volver a activar la recopilación de registros en SSM Agent (consola)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Run Command** y, a continuación, seleccione **Run command (Ejecutar comando)**. 

1. En la lista **Command document (Documento de comandos)**, elija `AWS-ConfigureCloudWatch`.

1. En **Status** (Estado), elija `Enabled` (Habilitado).

1. En **Properties** (Propiedades), pegue el contenido de los datos de configuración antiguos guardados en el archivo de texto.

1. En la sección **Targets** (Destinos), para elegir los nodos administrados en los que desea ejecutar esta operación, especifique las etiquetas, seleccione las instancias o los dispositivos de borde manualmente o especifique un grupo de recursos.
**sugerencia**  
Si un nodo administrado que espera ver no aparece en la lista, consulte [Solución de problemas de disponibilidad de nodos administrados](fleet-manager-troubleshooting-managed-nodes.md) para obtener consejos de solución de problemas.

1. En **Rate control** (Control de velocidad):
   + En **Concurrency** (Simultaneidad), especifique un número o un porcentaje de los nodos administrados en los que desea ejecutar el comando al mismo tiempo.
**nota**  
Si seleccionó los destinos mediante la especificación de etiquetas aplicadas a nodos administrados o de grupos de recursos de AWS y no está seguro de cuántos nodos administrados tienen destino, limite el número de destinos que puede ejecutar el documento al mismo tiempo. Para ello, especifique un porcentaje.
   + En **Error threshold** (Umbral de errores), especifique cuándo desea parar la ejecución del comando en los demás nodos administrados después de que haya fallado en un número o un porcentaje de los nodos. Por ejemplo, si especifica tres errores, Systems Manager dejará de enviar el comando cuando se reciba el cuarto error. Los nodos administrados que estén procesando el comando todavía pueden enviar errores.

1. (Opcional) En **Opciones de salida**, para guardar la salida del comando en un archivo, seleccione el cuadro **Write command output to an S3 bucket**. Ingrese los nombres del bucket y del prefijo (carpeta) en los cuadros.
**nota**  
Los permisos de S3 que conceden la capacidad de escribir datos en un bucket de S3 son los del perfil de instancia (para instancias de EC2) o rol de servicio de IAM (máquinas activadas de manera híbrida) asignados a la instancia, no los del usuario de IAM que realiza esta tarea. Para obtener más información, consulte [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md) o [Creación de un rol de servicio de IAM para un entorno híbrido](hybrid-multicloud-service-role.md). Además, si el bucket de S3 especificado se encuentra en una Cuenta de AWS diferente, asegúrese de que el perfil de instancias o el rol de servicio de IAM asociado al nodo administrado tenga los permisos necesarios para escribir en ese bucket.

1. En la sección **Notificaciones de SNS**, seleccione la casilla de verificación **Habilitar notificaciones de SNS** si desea recibir notificaciones sobre el estado de ejecución de los comandos.

   Para obtener más información acerca de la configuración de las notificaciones de Amazon SNS para Run Command, consulte [Cómo monitorear los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS](monitoring-sns-notifications.md).

1. Seleccione **Ejecutar**.

# Envío de registros de SSM Agent a CloudWatch Logs
<a name="monitoring-ssm-agent"></a>

AWS Systems Manager Agent (SSM Agent) es el software de Amazon que se ejecuta en sus instancias de EC2, dispositivos periféricos, servidores en las instalaciones y máquinas virtuales (VM) que están configuradas para Systems Manager. SSM Agent procesa solicitudes del servicio Systems Manager en la nube y configura la máquina tal como se especifica en cada solicitud. Para obtener más información acerca de SSM Agent, consulte [Uso de SSM Agent](ssm-agent.md).

Además, siguiendo estos pasos, puede configurar el SSM Agent para enviar datos de registro a Amazon CloudWatch Logs. 

**Antes de empezar**  
Cree un grupo de registros de CloudWatch Logs. Para obtener más información, consulte [Getting started with CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) (Introducción a CloudWatch Logs) en la *Guía del usuario de Amazon CloudWatch Logs*.

**Para configurar SSM Agent para enviar los registros a CloudWatch**

1. Inicie sesión en un nodo y busque el archivo siguiente:

**Linux**  
En la mayoría de los tipos de nodos Linux: `/etc/amazon/ssm/seelog.xml.template`.

   En Ubuntu Server 20.04, 18.04 y 16.04 LTS: `/snap/amazon-ssm-agent/current/seelog.xml.template`

**macOS**  
`/opt/aws/ssm/seelog.xml.template`

**Windows**  
`%ProgramFiles%\Amazon\SSM\seelog.xml.template`

1. Cambie el nombre del archivo de `seelog.xml.template` a `seelog.xml`.
**nota**  
En Ubuntu Server 20.04, 18.04 y 16.04 LTS, el archivo `seelog.xml` se debe crear en el directorio `/etc/amazon/ssm/`. Ejecute los siguientes comandos para crear este directorio y archivo.  

   ```
   sudo mkdir -p /etc/amazon/ssm
   ```

   ```
   sudo cp -pr /snap/amazon-ssm-agent/current/* /etc/amazon/ssm
   ```

   ```
   sudo cp -p /etc/amazon/ssm/seelog.xml.template /etc/amazon/ssm/seelog.xml
   ```

1. Abra el archivo `seelog.xml` en un editor de texto y localice la siguiente sección:

------
#### [ Linux and macOS ]

   ```
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo"/>
      <rollingfile type="size" filename="/var/log/amazon/ssm/amazon-ssm-agent.log" maxsize="30000000" maxrolls="5"/>
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="size" filename="/var/log/amazon/ssm/errors.log" maxsize="10000000" maxrolls="5"/>
      </filter>
   </outputs>
   ```

------
#### [ Windows ]

   ```
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo"/>
      <rollingfile type="size" maxrolls="5" maxsize="30000000" filename="{{LOCALAPPDATA}}\Amazon\SSM\Logs\amazon-ssm-agent.log"/>
      <filter formatid="fmterror" levels="error,critical">
         <rollingfile type="size" maxrolls="5" maxsize="10000000" filename="{{LOCALAPPDATA}}\Amazon\SSM\Logs\errors.log"/>
      </filter>
   </outputs>
   ```

------

1. Edite el archivo y agregue un elemento de *nombre personalizado* después de la etiqueta de cierre </filter>. En el ejemplo siguiente, el nombre personalizado se ha especificado como `cloudwatch_receiver`.

------
#### [ Linux and macOS ]

   ```
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo"/>
      <rollingfile type="size" filename="/var/log/amazon/ssm/amazon-ssm-agent.log" maxsize="30000000" maxrolls="5"/>
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="size" filename="/var/log/amazon/ssm/errors.log" maxsize="10000000" maxrolls="5"/>
      </filter>
      <custom name="cloudwatch_receiver" formatid="fmtdebug" data-log-group="your-CloudWatch-log-group-name"/>
   </outputs>
   ```

------
#### [ Windows ]

   ```
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo"/>
      <rollingfile type="size" maxrolls="5" maxsize="30000000" filename="{{LOCALAPPDATA}}\Amazon\SSM\Logs\amazon-ssm-agent.log"/>
      <filter formatid="fmterror" levels="error,critical">
         <rollingfile type="size" maxrolls="5" maxsize="10000000" filename="{{LOCALAPPDATA}}\Amazon\SSM\Logs\errors.log"/>
      </filter>
      <custom name="cloudwatch_receiver" formatid="fmtdebug" data-log-group="your-CloudWatch-log-group-name"/>
   </outputs>
   ```

------

1. Guarde los cambios y reinicie el SSM Agent o el nodo.

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, elija **Grupos de registro**, y, a continuación, elija el nombre del grupo de registro.
**sugerencia**  
La transmisión de registros de los datos de archivos de registro del SSM Agent está organizada por ID de nodo.

# Supervisión de los eventos de las solicitudes de cambio
<a name="monitoring-change-request-events"></a>

**Cambio en la disponibilidad de Change Manager**  
Change Manager de AWS Systems Manager dejará de estar disponible para nuevos clientes a partir del 7 de noviembre de 2025. Si desea utilizar Change Manager, regístrese antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cambio en la disponibilidad de Change Manager de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Después de activar la integración con AWS CloudTrail Lake y crear un almacén de datos de eventos, puede ver detalles auditables sobre las solicitudes de cambio que se ejecutan en su cuenta u organización. Esto incluye detalles como los siguientes:
+ La identidad del usuario que inició la solicitud de cambio
+ La Regiones de AWS donde se hicieron los cambios
+ La dirección IP de origen de la solicitud
+ La clave de acceso de AWS que se utilizó para la solicitud
+ Las acciones de la API que se ejecutan para la solicitud de cambio
+ Los parámetros de solicitud que se incluyen para esas acciones
+ Los recursos actualizados durante el proceso

Las siguientes son muestras de detalles de eventos que puede ver para una solicitud de cambio después de crear el almacén de datos de eventos en AWS CloudTrail Lake.

------
#### [ Details ]

La siguiente imagen muestra la información general sobre una solicitud de cambio disponible en la pestaña **Details** (Detalles). Estos detalles incluyen información como la hora a la que se inició la operación de solicitud de cambio, el ID del usuario que inició la solicitud de cambio, la Región de AWS afectada, así como el ID de evento y el ID de solicitud asociados a la solicitud.

![\[Detalles de una solicitud de cambio de CloudTrail Lake.\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/cm-event-details.png)


------
#### [ Event record ]

La siguiente imagen muestra la estructura del contenido JSON que CloudTrail Lake proporciona para un evento de solicitud de cambio. Estos datos se proporcionan en la pestaña **Event record** (Registro de eventos) de una solicitud de cambio.

![\[Registro JSON de una solicitud de cambio de CloudTrail Lake.\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/cm-event-record.png)


------

**importante**  
Si utiliza Change Manager para una organización, puede completar el siguiente procedimiento mientras inicia sesión en la cuenta de administración o en la cuenta de administrador delegada para Change Manager.  
Sin embargo, para utilizar la cuenta de administrador delegada para completar estos pasos, se debe especificar la misma cuenta de administrador delegado tanto para CloudTrail como para Change Manager.  
Al iniciar sesión en la cuenta de administración para Change Manager, puede añadir o cambiar la cuenta de administrador delegado para CloudTrail en la página [Settings](https://console.aws.amazon.com/cloudtrailv2/home#/settings) (Configuración) de CloudTrail. Esto debe hacerse antes de que la cuenta de administrador delegado pueda crear un almacén de datos de evento para que lo utilice toda la organización.

**Para activar el seguimiento de eventos de CloudTrail Lake desde Change Manager**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Change Manager**.

1. Elija la pestaña **Requests** (Solicitudes).

1. Elija cualquier solicitud de cambio existente y luego elija la pestaña **Associated events** (Eventos asociados).

1. Elija **Enable CloudTrail Lake** (habilitar CloudTrail Lake).

1. Siga los pasos de [Crear un almacén de datos de eventos para eventos de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html) en la *Guía del usuario de AWS CloudTrail*.

   Para garantizar que se almacenen los datos de eventos para sus solicitudes de cambios, realice las siguientes selecciones a medida que completa el procedimiento:
   + Para **Tipo de evento**, deje los **Eventos de AWS** predeterminados y los **Eventos de CloudTrail** seleccionados.
   + Si usa Change Manager con una organización, seleccione **Habilitar para todas las cuentas de mi organización**.
   + Para los **Eventos de gestión**, no desmarque la casilla de verificación **Escribir**. 

   Otras opciones que elija cuando crea su almacén de datos de eventos no afectan el almacenamiento de datos de eventos para sus solicitudes de cambio.

# Monitoreo de las automatizaciones
<a name="monitoring-automation-metrics"></a>

Las *métricas* son el concepto fundamental en Amazon CloudWatch. Una métrica representa una serie de puntos de datos ordenados por tiempo que se publican a CloudWatch. Considere una métrica como una variable que hay que monitorear y los puntos de datos como los valores de esa variable a lo largo del tiempo.

Automatización es una herramienta de AWS Systems Manager. Systems Manager publica métricas sobre el uso de Automation en CloudWatch. Esto le permite establecer alarmas basadas en esas métricas.

**Para ver las métricas de Automation en la consola de CloudWatch**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, seleccione **Métricas**.

1. Elija **SSM**.

1. En la pestaña **Metrics** (Métricas), elija **Usage** (Uso) y, a continuación, seleccione **By AWS resource** (Por recurso de AWS).

1. En el cuadro de búsqueda situado junto a la lista de métricas, ingrese **SSM**.

**Para ver las métricas de Automation mediante la AWS CLI**  
Abra el símbolo del sistema y utilice el siguiente comando.

```
aws cloudwatch list-metrics \
    --namespace "AWS/Usage"
```

## Métricas de Automation
<a name="automation-metrics-and-dimensions"></a>

Systems Manager envía las siguientes métricas de Automation a CloudWatch.


| Métrica | Descripción | 
| --- | --- | 
| ConcurrentAutomationUsage  | La cantidad de automatizaciones que se ejecutan al mismo tiempo en la Cuenta de AWS y la Región de AWS actuales. | 
| QueuedAutomationUsage  | La cantidad de automatizaciones actualmente en cola que no se han iniciado y tienen un estado de Pending (Pendiente). | 

Para obtener más información acerca de cómo trabajar con métricas de CloudWatch, consulte los siguientes temas en la *Guía del usuario de Amazon CloudWatch*:
+ [Métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Metric)
+ [Uso de métricas de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Uso de las alarmas de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)

# Monitoreo de métricas de Run Command con Amazon CloudWatch
<a name="monitoring-cloudwatch-metrics"></a>

Las *métricas* son el concepto fundamental en Amazon CloudWatch. Una métrica representa una serie de puntos de datos ordenados por tiempo que se publican a CloudWatch. Una métrica es una variable que hay que monitorizar y los puntos de datos son los valores de esa variable a lo largo del tiempo.

AWS Systems Manager publica métricas sobre el estado de los comandos de Run Command en CloudWatch, lo que le permite establecer alarmas basadas en esas métricas. Run Command es una herramienta de AWS Systems Manager. Estas estadísticas se registran a lo largo de un periodo prolongado para que pueda obtener acceso a información histórica y contar con una mejor perspectiva sobre la tasa de éxito de los comandos ejecutados en su Cuenta de AWS. 

Los valores de estado terminal de los comandos para cuyas métricas puede realizar un seguimiento son `Success`, `Failed` y `Delivery Timed Out`. Por ejemplo, para un documento de SSM Command configurado para que se ejecute cada hora, puede configurar una alarma que le avise cada vez que no se notifique el estado `Success` para cualquiera de esas horas. Para obtener más información acerca de los valores de estado de los comandos, consulte [Descripción de los estados del comando](monitor-commands.md).

**Para ver las métricas en la consola de CloudWatch**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, seleccione **Métricas**.

1. En el área **Alarmas por servicio de AWS**, elija **SSM-Run Command** para **Servicios**.

**Cómo ver métricas a través de la AWS CLI**  
Abra el símbolo del sistema y utilice el siguiente comando.

```
aws cloudwatch list-metrics --namespace "AWS/SSM-RunCommand"
```

Para mostrar todas las métricas disponibles, utilice el siguiente comando.

```
aws cloudwatch list-metrics
```

## Métricas y dimensiones de Systems Manager Run Command
<a name="metrics-and-dimensions"></a>

Systems Manager envía métricas de comandos de Run Command a CloudWatch una vez cada minuto.

Systems Manager envía las siguientes métricas de comandos a CloudWatch.

**nota**  
Estas métricas utilizan `Count` como unidad, por lo que las estadísticas más útiles son `Sum` y `SampleCount`.


| Métrica | Descripción | 
| --- | --- | 
| CommandsDeliveryTimedOut  | Número de comandos cuyo estado de terminal es Delivery Timed Out.  | 
| CommandsFailed  | Número de comandos cuyo estado de terminal es Failed. | 
| CommandsSucceeded  | Número de comandos cuyo estado de terminal es Success. | 

Para obtener más información acerca de cómo trabajar con métricas de CloudWatch, consulte los siguientes temas en la *Guía del usuario de Amazon CloudWatch*:
+ [Métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Metric)
+ [Uso de métricas de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Uso de las alarmas de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)

# Registro de llamadas a la API de AWS Systems Manager con AWS CloudTrail
<a name="monitoring-cloudtrail-logs"></a>

AWS Systems Manager se integra con [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un Servicio de AWS. CloudTrail captura todas las llamadas a la API de Systems Manager como eventos. Las llamadas capturadas incluyen las llamadas desde la consola de Systems Manager y las llamadas desde el código a las operaciones de la API de Systems Manager. Mediante la información recopilada por CloudTrail, puede determinar la solicitud que se realizó en Systems Manager, la dirección IP desde la que se realizó, cuándo se realizó y detalles adicionales.

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con las credenciales del usuario raíz o del usuario.
+ Si la solicitud se realizó en nombre de un usuario de IAM Identity Center.
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro Servicio de AWS.

CloudTrail está activado en la Cuenta de AWS cuando usted crea la cuenta y tiene acceso automático al **Historial de eventos** de CloudTrail. El **Historial de eventos** de CloudTrail proporciona un registro visible e inmutable, que se puede buscar y descargar, de los últimos 90 días de eventos de gestión registrados en una Región de AWS. Para obtener más información, consulte [Trabajar con el historial de eventos de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) en la *Guía del usuario de AWS CloudTrail*. No se cobran cargos de CloudTrail por ver el **Historial de eventos**.

Para mantener un registro permanente de los eventos en su Cuenta de AWS más allá de los 90 días, cree un registro de seguimiento o un almacén de datos de eventos de [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).

**Registros de seguimiento de CloudTrail**  
Un *registro de seguimiento* permite a CloudTrail enviar archivos de registro a un bucket de Amazon S3. Todos los registros de seguimiento que cree con la Consola de administración de AWS son multirregionales. Puede crear un registro de seguimiento de una sola región o multirregionales mediante la AWS CLI. Se recomienda crear un registro de seguimiento multirregional, ya que registra actividad en todas las Regiones de AWS de su cuenta. Si crea un registro de seguimiento de una sola región, solo podrá ver los eventos registrados en la Región de AWS del registro de seguimiento. Para obtener más información acerca de los registros de seguimiento, consulte [Creación de un registro de seguimiento para su Cuenta de AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) y [Creación de un registro de seguimiento para una organización](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) en la *Guía del usuario de AWS CloudTrail*.  
Puede crear un registro de seguimiento para enviar una copia de los eventos de administración en curso en su bucket de Amazon S3 sin costo alguno desde CloudTrail; sin embargo, hay cargos por almacenamiento en Amazon S3. Para obtener más información sobre los precios de CloudTrail, consulte [Precios de AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/). Para obtener información acerca de los precios de Amazon S3, consulte [Precios de Amazon S3](https://aws.amazon.com/s3/pricing/).

**Almacenes de datos de eventos de CloudTrail Lake**  
*CloudTrail Lake* le permite ejecutar consultas basadas en SQL sobre los eventos. CloudTrail Lake convierte los eventos existentes en formato JSON basado en filas al formato [ORC de Apache](https://orc.apache.org/). ORC es un formato de almacenamiento en columnas optimizado para una recuperación rápida de datos. Los eventos se agregan en *almacenes de datos de eventos*, que son recopilaciones inmutables de eventos en función de criterios que se seleccionan aplicando [selectores de eventos avanzados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). Los selectores que se aplican a un almacén de datos de eventos controlan los eventos que perduran y están disponibles para la consulta. Para obtener más información acerca de CloudTrail Lake, consulte [Trabajar con AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) en la *Guía del usuario de AWS CloudTrail*.  
Los almacenes de datos de eventos de CloudTrail Lake y las consultas generan costos adicionales. Cuando crea un almacén de datos de eventos, debe elegir la [opción de precios](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) que desee utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el período de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información sobre los precios de CloudTrail, consulte [Precios de AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).

## Eventos de datos de Systems Manager en CloudTrail
<a name="cloudtrail-data-events"></a>

Los [eventos de datos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) ofrecen información sobre las operaciones de recursos realizadas en o dentro de un recurso (por ejemplo, la creación o la apertura de un canal de control). Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividades de gran volumen. De forma predeterminada, CloudTrail no registra eventos de datos. El **Historial de eventos** de CloudTrail no registra los eventos de datos.

Se aplican cargos adicionales a los eventos de datos. Para obtener más información sobre los precios de CloudTrail, consulte [Precios de AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).

Puede registrar eventos de datos para los tipos de recursos de Systems Manager con la consola de CloudTrail, con la AWS CLI o con las operaciones de la API de CloudTrail. Para obtener más información sobre cómo registrar los eventos de datos, consulte [Registro de eventos de datos con la Consola de administración de AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console) y [Registro de eventos de datos con la AWS Command Line Interface](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI) en la *Guía del usuario de AWS CloudTrail*.

En la siguiente tabla se muestran los tipos de recursos de Systems Manager para los que puede registrar eventos de datos. La columna **Tipo de evento de datos (consola)** muestra el valor que se debe elegir en la lista de **tipos de eventos de datos** de la consola de CloudTrail. La columna **resources.type value** muestra el valor de `resources.type`, que especificaría al configurar los selectores de eventos avanzados mediante la AWS CLI o las API de CloudTrail. La columna **API de datos registradas en CloudTrail** muestra las llamadas a la API registradas en CloudTrail para el tipo de recurso. 


| Tipo de evento de datos (consola) | resources.type value | API de datos registradas en CloudTrail | 
| --- | --- | --- | 
| Systems Manager |  AWS::SSMMessages::ControlChannel  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html) Para obtener más información sobre estas operaciones, consulte [Acciones definidas por Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html#amazonmessagegatewayservice-actions-as-permissions) en la *Referencia de autorizaciones de servicios*.  | 
| Nodo administrado de Systems Manager |  AWS::SSM::ManagedNode  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html)Para obtener más información acerca de la operación `RequestManagedInstanceRoleToken`, consulte [Validación de equipos activados de manera híbrida mediante una huella digital de hardware](ssm-agent-technical-details.md#fingerprint-validation).  | 

Puede configurar selectores de eventos avanzados para filtrar según los campos `eventName`, `readOnly` y `resources.ARN` y así registrar solo los eventos que son importantes para usted. Para obtener más información acerca de estos campos, consulte [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html) en la *Referencia de la API de AWS CloudTrail*.

## Eventos de administración de Systems Manager en CloudTrail
<a name="cloudtrail-management-events"></a>

Los [eventos de administración](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) proporcionan información sobre las operaciones de administración que se realizan en los recursos de su Cuenta de AWS. Se denominan también operaciones del plano de control. CloudTrail registra los eventos de administración de forma predeterminada.

Systems Manager registra todas las operaciones del plano de control en CloudTrail como eventos de administración. Las operaciones de la API de Systems Manager se documentan en la [Referencia de la API de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/APIReference/Welcome.html). Por ejemplo, las llamadas a las acciones `CreateMaintenanceWindows`, `PutInventory`, `SendCommand` y `StartSession` generan entradas en los archivos de registros de CloudTrail. Para ver un ejemplo de cómo se configura CloudTrail para monitorear una llamada a la API de Systems Manager, consulte [Supervisión de la actividad de la sesión con Amazon EventBridge (consola)](session-manager-auditing.md#session-manager-auditing-eventbridge-events).

## Ejemplos de eventos de Systems Manager
<a name="monitoring-cloudtrail-logs-log-entries-example"></a>

Un evento representa una única solicitud de cualquier origen e incluye información sobre la operación de la API solicitada, la fecha y la hora de la operación o los parámetros de la solicitud, entre otras cosas. Los archivos de registro de CloudTrail no rastrean el orden en la pila de las llamadas a la API públicas, por lo que los eventos no aparecen en un orden específico.

**Topics**
+ [Ejemplos de eventos de administración](#monitoring-cloudtrail-logs-log-entries-example-mgmt)
+ [Ejemplos de eventos de datos](#monitoring-cloudtrail-logs-log-entries-example-data)

### Ejemplos de eventos de administración
<a name="monitoring-cloudtrail-logs-log-entries-example-mgmt"></a>

**Ejemplo 1: `DeleteDocument`**  
En el siguiente ejemplo, se muestra un evento de CloudTrail que ilustra la operación `DeleteDocument` en un documento denominado `example-Document` en la región Este de EE. UU. (Ohio) (us-east-2).

```
{
    "eventVersion": "1.04",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE:203.0.113.11",
        "arn": "arn:aws:sts::123456789012:assumed-role/example-role/203.0.113.11",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-03-06T20:19:16Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/example-role",
                "accountId": "123456789012",
                "userName": "example-role"
            }
        }
    },
    "eventTime": "2018-03-06T20:30:12Z",
    "eventSource": "ssm.amazonaws.com",
    "eventName": "DeleteDocument",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "203.0.113.11",
    "userAgent": "example-user-agent-string",
    "requestParameters": {
        "name": "example-Document"
    },
    "responseElements": null,
    "requestID": "86168559-75e9-11e4-8cf8-75d18EXAMPLE",
    "eventID": "832b82d5-d474-44e8-a51d-093ccEXAMPLE",
    "resources": [
        {
            "ARN": "arn:aws:ssm:us-east-2:123456789012:document/example-Document",
            "accountId": "123456789012"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}
```

**Ejemplo 2: `StartConnection`**  
En el ejemplo siguiente, se muestra una evento de CloudTrail para un usuario que inicia una conexión RDP mediante Fleet Manager en la región Este de EE. UU. (Ohio) (us-east-2). La acción de la API subyacente es `StartConnection`.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE",
        "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
                "accountId": "123456789012",
                "userName": "exampleRole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-12-13T14:57:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2021-12-13T16:50:41Z",
    "eventSource": "ssm-guiconnect.amazonaws.com",
    "eventName": "StartConnection",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "34.230.45.60",
    "userAgent": "example-user-agent-string",
    "requestParameters": {
        "AuthType": "Credentials",
        "Protocol": "RDP",
        "ConnectionType": "SessionManager",
        "InstanceId": "i-02573cafcfEXAMPLE"
    },
    "responseElements": {
        "ConnectionArn": "arn:aws:ssm-guiconnect:us-east-2:123456789012:connection/fcb810cd-241f-4aae-9ee4-02d59EXAMPLE",
        "ConnectionKey": "71f9629f-0f9a-4b35-92f2-2d253EXAMPLE",
        "ClientToken": "49af0f92-d637-4d47-9c54-ea51aEXAMPLE",
        "requestId": "d466710f-2adf-4e87-9464-055b2EXAMPLE"
    },
    "requestID": "d466710f-2adf-4e87-9464-055b2EXAMPLE",
    "eventID": "fc514f57-ba19-4e8b-9079-c2913EXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}
```

### Ejemplos de eventos de datos
<a name="monitoring-cloudtrail-logs-log-entries-example-data"></a>

**Ejemplo 1: `CreateControlChannel`**  
En el ejemplo que sigue se muestra un evento de CloudTrail que ilustra la operación `CreateControlChannel`.

```
{
  "eventVersion":"1.08",
  "userIdentity":{
    "type":"AssumedRole",
    "principalId":"AKIAI44QH8DHBEXAMPLE",
    "arn":"arn:aws:sts::123456789012:assumed-role/exampleRole",
    "accountId":"123456789012",
    "accessKeyId":"AKIAI44QH8DHBEXAMPLE",
    "sessionContext":{
      "sessionIssuer":{
        "type":"Role",
        "principalId":"AKIAI44QH8DHBEXAMPLE",
        "arn":"arn:aws:iam::123456789012:role/exampleRole",
        "accountId":"123456789012",
        "userName":"exampleRole"
      },
      "attributes":{
        "creationDate":"2023-05-04T23:14:50Z",
        "mfaAuthenticated":"false"
      }
    }
  },
  "eventTime":"2023-05-04T23:53:55Z",
  "eventSource":"ssm.amazonaws.com",
  "eventName":"CreateControlChannel",
  "awsRegion":"us-east-1",
  "sourceIPAddress":"192.0.2.0",
  "userAgent":"example-agent",
  "requestParameters":{
    "channelId":"44295c1f-49d2-48b6-b218-96823EXAMPLE",
    "messageSchemaVersion":"1.0",
    "requestId":"54993150-0e8f-4142-aa54-3438EXAMPLE",
    "userAgent":"example-agent"
  },
  "responseElements":{
    "messageSchemaVersion":"1.0",
    "tokenValue":"Value hidden due to security reasons.",
    "url":"example-url"
  },
  "requestID":"54993150-0e8f-4142-aa54-3438EXAMPLE",
  "eventID":"a48a28de-7996-4ca1-a3a0-a51fEXAMPLE",
  "readOnly":false,
  "resources":[
    {
      "accountId":"123456789012",
      "type":"AWS::SSMMessages::ControlChannel",
      "ARN":"arn:aws:ssmmessages:us-east-1:123456789012:control-channel/44295c1f-49d2-48b6-b218-96823EXAMPLE"
    }
  ],
  "eventType":"AwsApiCall",
  "managementEvent":false,
  "recipientAccountId":"123456789012",
  "eventCategory":"Data"
}
```

**Ejemplo 2: `RequestManagedInstanceRoleToken`**  
En el ejemplo que sigue se muestra un evento de CloudTrail que ilustra la operación `RequestManagedInstanceRoleToken`.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789012:aws:ec2-instance:i-02854e4bEXAMPLE",
        "arn": "arn:aws:sts::123456789012:assumed-role/aws:ec2-instance/i-02854e4bEXAMPLE",
        "accountId": "123456789012",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789012:aws:ec2-instance",
                "arn": "arn:aws:iam::123456789012:role/aws:ec2-instance",
                "accountId": "123456789012",
                "userName": "aws:ec2-instance"
            },
            "attributes": {
                "creationDate": "2023-08-27T03:34:46Z",
                "mfaAuthenticated": "false"
            },
            "ec2RoleDelivery": "2.0"
        }
    },
    "eventTime": "2023-08-27T03:37:15Z",
    "eventSource": "ssm.amazonaws.com",
    "eventName": "RequestManagedInstanceRoleToken",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "Apache-HttpClient/UNAVAILABLE (Java/1.8.0_362)",
    "requestParameters": {
        "fingerprint": "i-02854e4bf85EXAMPLE"
    },
    "responseElements": null,
    "requestID": "2582cced-455b-4189-9b82-7b48EXAMPLE",
    "eventID": "7f200508-e547-4c27-982d-4da0EXAMLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::SSM::ManagedNode",
            "ARN": "arn:aws:ec2:us-east-1:123456789012:instance/i-02854e4bEXAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data"
}
```

Para obtener información sobre el contenido de los registros de CloudTrail, consulte [Contenido de los registros de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) en la *Guía del usuario de AWS CloudTrail*.

# Registro de salida de acción de Automation con CloudWatch Logs
<a name="automation-action-logging"></a>

Automatización, una herramienta de AWS Systems Manager, se integra con Registros de Amazon CloudWatch. Puede enviar la salida desde las acciones de `aws:executeScript` en los manuales de procedimientos hacia el grupo de registros que especifique. Systems Manager no crea grupos ni flujos de registro para los documentos que no utilizan acciones de `aws:executeScript`. Si el documento utiliza `aws:executeScript`, la salida enviada a CloudWatch Logs solo pertenece a esas acciones. Puede utilizar la salida de acción `aws:executeScript` almacenada en el grupo de registros de CloudWatch Logs para depurar y resolver problemas. Si elige un grupo de registros que está cifrado, la salida de acción `aws:executeScript` también está cifrada. La salida de registro desde las acciones de `aws:executeScript` es una configuración del nivel de cuenta.

A fin de enviar la salida de la acción a Registros de CloudWatch para los manuales de procedimientos de propiedad de Amazon, el rol o el usuario que ejecuta la automatización debe tener permisos para las siguientes operaciones:
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:PutLogEvents`

Para los manuales de procedimientos de los que usted es propietario, se deben agregar los mismos permisos al rol de servicio de IAM (o AssumeRole) que se utiliza para ejecutar el manual de procedimientos.

**Para enviar la salida de acción a CloudWatch Logs (consola)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Automation**.

1. Elija la pestaña **Preferences (Preferencias)** y, a continuación, **Edit (Editar)**.

1. Elija la casilla de verificación situada junto a **Send output to CloudWatch Logs** (Enviar salida a CloudWatch Logs).

1. (Recomendado) Elija la casilla de verificación situada junto a **Encrypt log data** (Cifrar datos de registro). Con esta opción activada, los datos de registro se cifran con la clave de cifrado del lado del servidor especificado para el grupo de registros. Si no desea cifrar los datos de registro que se envían a CloudWatch Logs, desactive la casilla de verificación. Desactive la casilla de verificación si no se permite el cifrado en el grupo de registros.

1. En **CloudWatch Logs log group** (Grupo de registros de CloudWatch Logs), para especificar el grupo de registros de CloudWatch Logs existente en la Cuenta de AWS a la que desea que se envíe una salida de acción, seleccione una de las opciones siguientes:
   + **Send output to the default log group** (Enviar salida al grupo de registros predeterminado): si el grupo de registro predeterminado no existe (`/aws/ssm/automation/executeScript`), la capacidad de Automation lo crea por usted.
   + **Choose from a list of log groups** (Elegir de una lista de grupos de registro): seleccione un grupo de registros que ya se haya creado en su cuenta para almacenar la salida de acción.
   + **Enter a log group name** (Escribir un nombre del grupo de registros): escriba el nombre de un grupo de registros que ya se haya creado en su cuenta para almacenar la salida de acción.

1. Seleccione **Save**.

**Para enviar la salida de acción a CloudWatch Logs (línea de comando)**

1. Abra su herramienta de línea de comandos preferida y ejecute el siguiente comando para actualizar el destino de salida de la acción.

------
#### [ Linux & macOS ]

   ```
   aws ssm update-service-setting \
       --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination \
       --setting-value CloudWatch
   ```

------
#### [ Windows ]

   ```
   aws ssm update-service-setting ^
       --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination ^
       --setting-value CloudWatch
   ```

------
#### [ PowerShell ]

   ```
   Update-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination" `
       -SettingValue "CloudWatch"
   ```

------

   No se obtienen resultados si el comando se ejecuta satisfactoriamente.

1. Ejecute el siguiente comando para especificar el grupo de registros al que desea enviar la salida de acción.

------
#### [ Linux & macOS ]

   ```
   aws ssm update-service-setting \
       --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name \
       --setting-value my-log-group
   ```

------
#### [ Windows ]

   ```
   aws ssm update-service-setting ^
       --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name ^
       --setting-value my-log-group
   ```

------
#### [ PowerShell ]

   ```
   Update-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name" `
       -SettingValue "my-log-group"
   ```

------

   No se obtienen resultados si el comando se ejecuta satisfactoriamente.

1. Ejecute el siguiente comando para ver la configuración del servicio actual para las preferencias de registro de acciones de Automation en la Cuenta de AWS y la Región de AWS actuales.

------
#### [ Linux & macOS ]

   ```
   aws ssm get-service-setting \
       --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
   ```

------
#### [ Windows ]

   ```
   aws ssm get-service-setting ^
       --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
   ```

------
#### [ PowerShell ]

   ```
   Get-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination"
   ```

------

   El comando devuelve información similar a la siguiente.

   ```
   {
       "ServiceSetting": {
           "Status": "Customized",
           "LastModifiedDate": 1613758617.036,
           "SettingId": "/ssm/automation/customer-script-log-destination",
           "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
           "SettingValue": "CloudWatch",
           "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/automation/customer-script-log-destination"
       }
   }
   ```

# Configuración de Registros de Amazon CloudWatch para Run Command
<a name="sysman-rc-setting-up-cwlogs"></a>

Cuando se envía un comando mediante Run Command, una herramienta de AWS Systems Manager, es posible especificar la ubicación a la que se enviará la salida del comando. De manera predeterminada, Systems Manager devuelve únicamente los 24 000 primeros caracteres de la salida del comando. Si desea ver todos los detalles de la salida del comando, puede especificar un bucket de Amazon Simple Storage Service (Amazon S3). También puede especificar Registros de Amazon CloudWatch. Si especifica Registros de CloudWatch, Run Command enviará periódicamente la totalidad de la salida de los comandos y los registros de errores a Registros de CloudWatch. Puede monitorear los logs de salida prácticamente en tiempo real, buscar frases, valores o patrones específicos y crear alarmas en función de la búsqueda. 

Si ha configurado el nodo para que utilicen las políticas administradas de AWS Identity and Access Management (IAM), `AmazonSSMManagedInstanceCore` y `CloudWatchAgentServerPolicy`, el nodo no requiere ninguna configuración adicional para enviar la salida a Registros de CloudWatch. Elija esta opción si se van a enviar comandos desde la consola o bien agregue la sección `cloud-watch-output-config` y el parámetro `CloudWatchOutputEnabled` si se va a utilizar la AWS Command Line Interface, (AWS CLI), AWS Tools for Windows PowerShell o una operación de la API. La sección `cloud-watch-output-config` y el parámetro `CloudWatchOutputEnabled` se describen con más detalle más adelante en este tema.

Para obtener información sobre cómo agregar políticas a un perfil de instancia para instancias de EC2, consulte [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md). Para obtener información sobre cómo agregar políticas a un rol de servicio para servidores locales y máquinas virtuales que tenga previsto utilizar como nodos administrados, consulte [Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube](hybrid-multicloud-service-role.md).

Si va a utilizar una política personalizada en los nodos, deberá actualizar la política en cada nodo para permitir que Systems Manager envíe la salida y los registros a Registros de CloudWatch. Agregue los objetos de política siguientes a la política personalizada. Para obtener más información acerca de la actualización de políticas de IAM, consulte la [Edición de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) en la *Guía del usuario de IAM*.

```
{
    "Effect": "Allow",
    "Action": "logs:DescribeLogGroups",
    "Resource": "*"
},
{
   "Effect":"Allow",
   "Action":[
      "logs:CreateLogGroup",
      "logs:CreateLogStream",
      "logs:DescribeLogStreams",
      "logs:PutLogEvents"
   ],
   "Resource":"arn:aws:logs:*:*:log-group:/aws/ssm/*"
},
```

## Especificación de Registros de CloudWatch al momento de enviar comandos
<a name="sysman-rc-setting-up-cwlogs-send"></a>

Para especificar Registros de CloudWatch como salida cuando envíe un comando desde la Consola de administración de AWS, elija **CloudWatch Output** (Salida de CloudWatch) en la sección **Output options** (Opciones de salida). Si lo prefiere, puede especificar el nombre del grupo de Registros de CloudWatch al que desea enviar la salida del comando. Si no especifica un nombre de grupo, Systems Manager crea automáticamente un grupo de registros. El grupo de registro utiliza un nombre con el siguiente formato: `/aws/ssm/SystemsManagerDocumentName`

Si ejecuta comandos mediante la AWS CLI, especifique la sección `cloud-watch-output-config` en el comando. En esta sección podrá especificar el parámetro `CloudWatchOutputEnabled` y, si lo desea, el parámetro `CloudWatchLogGroupName`. A continuación se muestra un ejemplo.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --instance-ids "instance ID" \
    --document-name "AWS-RunShellScript" \
    --parameters "commands=echo helloWorld" \
    --cloud-watch-output-config "CloudWatchOutputEnabled=true,CloudWatchLogGroupName=log group name"
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name "AWS-RunPowerShellScript" ^
    --parameters commands=["echo helloWorld"] ^
    --targets "Key=instanceids,Values=an instance ID” ^
    --cloud-watch-output-config '{"CloudWatchLogGroupName":"log group name","CloudWatchOutputEnabled":true}'
```

------

## Visualización de la salida de comandos en Registros de CloudWatch
<a name="sysman-rc-setting-up-cwlogs-view"></a>

Tan pronto como el comando comienza a ejecutarse, Systems Manager envía la salida a Registros de CloudWatch prácticamente en tiempo real. La salida tiene el siguiente formato en Registros de CloudWatch:

`CommandID/InstanceID/PluginID/stdout` 

`CommandID/InstanceID/PluginID/stderr`

La salida de la ejecución se carga cada 30 segundos o cada vez que el búfer contiene más de 200 KB, lo que suceda antes.

**nota**  
Los flujos de registro únicamente se crean si hay datos de salida disponibles. Por ejemplo, si no hay datos de error para una ejecución, el flujo stderr no se crea.

A continuación, se ofrece un ejemplo de la salida de comandos tal y como se muestra en Registros de CloudWatch.

```
Group - /aws/ssm/AWS-RunShellScript
Streams – 
1234-567-8910/i-abcd-efg-hijk/AWS-RunPowerShellScript/stdout
24/1234-567-8910/i-abcd-efg-hijk/AWS-RunPowerShellScript/stderr
```

# Cómo monitorear eventos de Systems Manager con Amazon EventBridge
<a name="monitoring-eventbridge-events"></a>

Amazon EventBridge es un servicio de bus de eventos sin servidor que le permite conectar sus aplicaciones con datos de varios orígenes. EventBridge proporciona un flujo de datos en tiempo real desde sus propias aplicaciones, aplicaciones de software como servicio (SaaS) y Servicios de AWS y, a continuación, dirige dichos datos a destinos como AWS Lambda. Puede configurar reglas de direccionamiento para determinar adónde enviar sus datos a fin de crear arquitecturas de aplicaciones que reaccionen en tiempo real a todos sus orígenes de datos. EventBridge le permite crear arquitecturas impulsadas por eventos, que están acopladas y distribuidas débilmente.

Anteriormente, EventBridge se llamaba Amazon CloudWatch Events. EventBridge incluye nuevas características que le permiten recibir eventos de socios de SaaS y de sus propias aplicaciones. Los usuarios existentes de CloudWatch Events pueden obtener acceso a su bus, reglas y eventos predeterminados existentes en la nueva consola de EventBridge y en la consola de CloudWatch Events. EventBridge utiliza la misma API de CloudWatch Events, por lo que todo el uso de la API de CloudWatch Events existente sigue siendo el mismo. 

EventBridge puede agregar eventos de docenas de Servicios de AWS a sus reglas y destinos de más de 20 Servicios de AWS.

EventBridge proporciona soporte para eventos de AWS Systems Manager y destinos de Systems Manager. 

**Tipos de eventos admitidos de Systems Manager**  
Entre los muchos tipos de eventos de Systems Manager que EventBridge puede detectar se encuentran los siguientes: 
+ Una actualización del estado de la solicitud de acceso a los nodos justo a tiempo para aprobaciones manuales
+ Una solicitud de acceso a los nodos justo a tiempo fallida
+ Una ventana de mantenimiento se desactiva.
+ Un flujo de trabajo de Automation finaliza correctamente. Automatización es una herramienta de AWS Systems Manager.
+ Un nodo administrado no cumple con la conformidad de revisiones.
+ Un valor de parámetro se actualiza.

EventBridge admite eventos de las siguientes herramientas de AWS Systems Manager:
+ Acceso a los nodos justo a tiempo (los eventos se emiten en la medida de lo posible)
+ Automation (los eventos se emiten en la medida de lo posible).
+ Change Calendar (Los eventos se emiten en la medida de lo posible).
+ Conformidad
+ Inventory (Los eventos se emiten en la medida de lo posible).
+ Maintenance Windows (Los eventos se emiten en la medida de lo posible).
+ Parameter Store (Los eventos se emiten en la medida de lo posible).
+ Run Command (Los eventos se emiten en la medida de lo posible).
+ State Manager (Los eventos se emiten en la medida de lo posible).

Para obtener más detalles acerca de los tipos de eventos de Systems Manager admitidos, consulte [Referencia: patrones y tipos de eventos de Amazon EventBridge para Systems Manager](reference-eventbridge-events.md) y [Ejemplos de eventos de Amazon EventBridge para Systems Manager](monitoring-systems-manager-event-examples.md).

**Tipos de destinos admitidos de Systems Manager**  
EventBridge admite las siguientes tres herramientas de Systems Manager como destinos de una regla de evento:
+ ejecución de un flujo de trabajo de Automation
+ ejecución de un documento de Command de Run Command (Los eventos se emiten en la medida de lo posible).
+ creación de un OpsCenter OpsItem

Para obtener información acerca de las formas sugeridas de utilizar estos destinos, consulte [Escenarios de ejemplo: destinos de Systems Manager en reglas de Amazon EventBridge](monitoring-systems-manager-targets.md).

Para obtener más información acerca de cómo comenzar a utilizar EventBridge y configurar las reglas, consulte [Getting started with Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html) (Introducción a Amazon EventBridge) en la *Guía del usuario de EventBridge*. Para obtener información completa acerca de cómo trabajar con EventBridge, consulte la [https://docs.aws.amazon.com/eventbridge/latest/userguide/](https://docs.aws.amazon.com/eventbridge/latest/userguide/).

**Topics**
+ [Configuración de EventBridge para eventos de Systems Manager](monitoring-systems-manager-events.md)
+ [Ejemplos de eventos de Amazon EventBridge para Systems Manager](monitoring-systems-manager-event-examples.md)
+ [Escenarios de ejemplo: destinos de Systems Manager en reglas de Amazon EventBridge](monitoring-systems-manager-targets.md)

# Configuración de EventBridge para eventos de Systems Manager
<a name="monitoring-systems-manager-events"></a>

Puede utilizar Amazon EventBridge para realizar un evento de destino cuando se produzcan cambios de estado u otras condiciones de AWS Systems Manager compatibles. Tiene la opción de crear una regla que se ejecute siempre que haya una transición de estado o cuando haya una transición a uno o varios estados de interés. 

El siguiente procedimiento proporciona pasos generales para crear una regla de EventBridge que interactúe cuando Systems Manager emita un evento especificado. Para obtener una lista de procedimientos en esta guía del usuario que abordan escenarios específicos, consulte **More info** (Más información) al final de este tema.

**nota**  
Cuando un servicio en su Cuenta de AWS emite un evento, siempre va al bus de eventos predeterminado de su cuenta. Para escribir una regla que responda a eventos de Servicios de AWS de su cuenta, asóciela al bus de eventos predeterminado. Puede crear una regla en un bus de eventos personalizado que busque eventos desde Servicios de AWS, pero esta regla solo se aplica cuando recibe dicho evento desde otra cuenta mediante la entrega de eventos entre cuentas. Para obtener más información, consulte [Envío y recepción de eventos de Amazon EventBridge entre Cuentas de AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html) en la *Guía del usuario de Amazon EventBridge*.

**Para configurar EventBridge para eventos de Systems Manager**

1. Abra la consola de Amazon EventBridge en [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. En el panel de navegación, seleccione **Reglas**.

1. Elija **Creación de regla**.

1. Escriba un nombre y una descripción para la regla.

   Una regla no puede tener el mismo nombre que otra regla de la misma Región de AWS y del mismo bus de eventos.

1. En **Bus de eventos**, seleccione el bus de eventos que desea asociar a esta regla. Si desea que esta regla responda a eventos coincidentes procedentes de su propia Cuenta de AWS, seleccione **default** (predeterminado). Cuando un Servicio de AWS en su cuenta emite un evento, siempre va al bus de eventos predeterminado de su cuenta.

1. En **Tipo de regla**, elija **Regla con un patrón de evento**.

1. Elija **Siguiente**.

1. En **Origen del evento**, elija **Eventos de AWS o eventos de socios de EventBridge**.

1. En la sección **Event pattern** (Patrón de eventos), elija **Event pattern form** (Formulario de patrón de eventos).

1. Para **Event source** (origen de eventos), elija **AWSservices** (servicios).

1. En **AWS service (Servicio de AWS)**, elija **Systems Manager**.

1. En **Event type** (Tipo de evento), realice una de las siguientes operaciones: 
   + Elija **All events** (Todos los eventos).

     Si elige **All Events** (Todos los eventos), todos los eventos emitidos por Systems Manager coincidirán con la regla. Tenga en cuenta que esta opción puede dar lugar a muchas acciones de destino de eventos.
   + Elija el tipo de evento de Systems Manager que desea utilizar para esta regla. EventBridge admite eventos de las siguientes herramientas de AWS Systems Manager: 
     + Automatización
     + Change Calendar
     + Conformidad
     + Inventario 
     + Maintenance Windows
     + Parameter Store
     + Run Command
     + State Manager
**nota**  
Para las acciones de Systems Manager que no son compatibles con EventBridge, puede elegir una llamada a la API de AWS a través de CloudTrail para crear una regla de evento basada en una llamada a la API, que registra CloudTrail. Para ver un ejemplo, consulta [Supervisión de la actividad de la sesión con Amazon EventBridge (consola)](session-manager-auditing.md#session-manager-auditing-eventbridge-events). 

1. (Opcional) Para que la regla sea más específica, agregue valores de filtro. Por ejemplo, si eligió **State Manager** y desea limitar la regla al estado de un objeto de una instancia administrada única a la que se dirige una asociación, en **Specific type(s)** (Tipos específicos), elija **EC2 State Manager Instance Association State Change** (Cambio de estado de asociación de instancia de EC2 State Manager).

   Para obtener información completa sobre los tipos de detalles compatibles, consulte [Referencia: patrones y tipos de eventos de Amazon EventBridge para Systems Manager](reference-eventbridge-events.md).

   Algunos tipos de detalles tienen otras opciones compatibles, como el estado. Las opciones disponibles dependen de la herramienta que seleccione.

1. Elija **Siguiente**.

1. En **Target types** (Tipos de destino), elija **AWS service** (Servicio de AWS).

1. En **Select a target** (Seleccione un destino), elija un destino, como un tema de Amazon SNS o una función de AWS Lambda. El destino se activa cuando se recibe un evento que coincide con el patrón de eventos definido en la regla.

1. Si hay muchos tipos de destinos, EventBridge necesita permisos para enviar eventos al destino. En estos casos, EventBridge puede crear el rol de AWS Identity and Access Management (IAM) necesario para que se ejecute la regla: 
   + Para crear un rol de IAM automáticamente, elija **Creación de un nuevo rol para este recurso específico**.
   + Para utilizar un rol de IAM que haya creado antes, elija **Use existing role** (Usar rol existente).

1. (Opcional) Elija **Add another target** (Agregar otro destino) para agregar otro destino para esta regla.

1. Seleccione **Siguiente**.

1. (Opcional) Introduzca una o varias etiquetas para la regla. Para obtener más información, consulte [Etiquetas de Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) en la *Guía del usuario de Amazon EventBridge*.

1. Elija **Siguiente**.

1. Revise los detalles de la regla y seleccione **Creación de regla**.

**Más información**  
+ [Creación de un evento de EventBridge que utiliza un manual de procedimientos (consola)](running-automations-event-bridge.md#automation-cwe-target-console)
+ [Transferir datos a Automatización usando transformadores de entrada](automation-tutorial-eventbridge-input-transformers.md)
+ [Solución de problemas de conformidad con EventBridge](compliance-fixing.md)
+ [Visualización de acciones de eliminación de inventario en EventBridge](inventory-custom.md#delete-custom-inventory-cwe)
+ [Configuración de las reglas de EventBridge para crear OpsItems](OpsCenter-automatically-create-OpsItems-2.md)
+ [Configuración de reglas de EventBridge para parámetros y políticas de parámetros](sysman-paramstore-cwe.md#cwe-parameter-changes)

# Ejemplos de eventos de Amazon EventBridge para Systems Manager
<a name="monitoring-systems-manager-event-examples"></a>

A continuación, se presentan ejemplos, en formato JSON, de eventos EventBridge admitidos para AWS Systems Manager. 

**Topics**
+ [AWS Systems ManagerEventos de Automation de](#SSM-Automation-event-types)
+ [AWS Systems ManagerEvents (Eventos)Change Calendar](#SSM-Change-Management-event-types)
+ [AWS Systems ManagerEvents (Eventos)Change Manager](#SSM-Change-Manager-event-types)
+ [AWS Systems ManagerEventos de Compliance](#SSM-Configuration-Compliance-event-types)
+ [AWS Systems ManagerEvents (Eventos)Maintenance Windows](#EC2_maintenance_windows_event_types)
+ [AWS Systems ManagerEvents (Eventos)Parameter Store](#SSM-Parameter-Store-event-types)
+ [AWS Systems ManagerEvents (Eventos)OpsCenter](#SSM-OpsCenter-event-types)
+ [AWS Systems ManagerEvents (Eventos)Run Command](#SSM-Run-Command-event-types)
+ [AWS Systems ManagerEvents (Eventos)State Manager](#SSM-State-Manager-event-types)

## AWS Systems ManagerEventos de Automation de
<a name="SSM-Automation-event-types"></a>

**Notificación de cambio de estado de paso de Automation**

```
{
  "version": "0",
  "id": "eeca120b-a321-433e-9635-dab369006a6b",
  "detail-type": "EC2 Automation Step Status-change Notification",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-11-29T19:43:35Z",
  "region": "us-east-1",
  "resources": ["arn:aws:ssm:us-east-2:123456789012:automation-execution/333ba70b-2333-48db-b17e-a5e69c6f4d1c", 
    "arn:aws:ssm:us-east-2:123456789012:automation-definition/runcommand1:1"],
  "detail": {
    "ExecutionId": "333ba70b-2333-48db-b17e-a5e69c6f4d1c",
    "Definition": "runcommand1",
    "DefinitionVersion": 1.0,
    "Status": "Success",
    "EndTime": "Nov 29, 2024 7:43:25 PM",
    "StartTime": "Nov 29, 2024 7:43:23 PM",
    "Time": 2630.0,
    "StepName": "runFixedCmds",
    "Action": "aws:runCommand"
  }
}
```

**Notificación de cambio de estado de ejecución de Automation**

```
{
  "version": "0",
  "id": "d290ece9-1088-4383-9df6-cd5b4ac42b99",
  "detail-type": "EC2 Automation Execution Status-change Notification",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-11-29T19:43:35Z",
  "region": "us-east-2",
  "resources": ["arn:aws:ssm:us-east-2:123456789012:automation-execution/333ba70b-2333-48db-b17e-a5e69c6f4d1c", 
    "arn:aws:ssm:us-east-2:123456789012:automation-definition/runcommand1:1"],
  "detail": {
    "ExecutionId": "333ba70b-2333-48db-b17e-a5e69c6f4d1c",
    "Definition": "runcommand1",
    "DefinitionVersion": 1.0,
    "Status": "Success",
    "StartTime": "Nov 29, 2024 7:43:20 PM",
    "EndTime": "Nov 29, 2024 7:43:26 PM",
    "Time": 5753.0,
    "ExecutedBy": "arn:aws:iam::123456789012:user/userName"
  }
}
```

## AWS Systems ManagerEvents (Eventos)Change Calendar
<a name="SSM-Change-Management-event-types"></a>

Utilice la información en este tema para planificar y comprender el comportamiento de los eventos de EventBridge para Change Calendar de AWS Systems Manager.

**nota**  
Actualmente no se admiten cambios de estado para calendarios compartidos desde otras Cuentas de AWS.

### Integración de Change Calendar en Amazon Eventbridge
<a name="change-calendar-eventbridge-integration"></a>

Change Calendar de AWS Systems Manager se integra en Amazon EventBridge para notificarle los cambios de estado del calendario. Tenga en cuenta los siguientes comportamientos relacionados con la arquitectura de programación subyacente:

Fiabilidad y temporización de los eventos  
+ EventBridge entrega las notificaciones en la medida de lo posible, con una tolerancia de programación de hasta 15 minutos.
+ Los eventos de cambio de estado reflejan las transiciones generales del estado del calendario, no los eventos individuales del calendario.
+ Cuando se producen varios eventos del calendario simultáneamente, EventBridge genera solo un evento por cada cambio de estado del calendario real.
+ EventBridge activa eventos solo cuando el estado general del calendario cambia (por ejemplo, de CERRADO a ABIERTO), no para eventos de calendario individuales que no provocan un cambio de estado.
+ Los eventos de asesoramiento que no modifican el estado del calendario no activan las notificaciones de EventBridge.

Modificaciones de eventos y consideraciones de temporización  
+ Si modificas los eventos del calendario dentro de los 15 minutos de la hora de inicio o finalización programada, EventBridge podría generar notificaciones duplicadas o no recibir notificaciones.
+ Este comportamiento se debe a que el sistema de programación podría no tener tiempo suficiente para actualizar o cancelar correctamente las notificaciones previamente programadas.
+ En el caso de los eventos recurrentes, este comportamiento suele afectar solo a la primera aparición después de la modificación.

Eventos adyacentes y superpuestos  
+ Cuando los eventos del calendario se programan con una diferencia de 5 minutos entre sí, los eventos de transición de estado pueden ocurrir o no, según el cambio de estado real.
+ La creación de eventos superpuestos en ciertos órdenes puede generar eventos de EventBridge adicionales incluso cuando no se produce ningún cambio de estado real.
+ Para garantizar un comportamiento predecible, evite crear o modificar eventos del calendario cerca de sus tiempos de ejecución.

Prácticas recomendadas  
+ Diseñe sus reglas de EventBridge y la automatización posterior para gestionar posibles eventos duplicados.
+ Implemente la idempotencia en sus flujos de trabajo de automatización para evitar problemas derivados de la duplicación de notificaciones.
+ Configure un tiempo de espera suficiente (de al menos 15 minutos) al crear o modificar los eventos del calendario.
+ Pruebe de manera exhaustiva sus integraciones de EventBridge con sus patrones específicos de eventos de calendario.

**Calendario ABIERTO**

```
{
    "version": "0",
    "id": "47a3f03a-f30d-1011-ac9a-du3bdEXAMPLE",
    "detail-type": "Calendar State Change",
    "source": "aws.ssm",
    "account": "123456789012",
    "time": "2024-09-19T18:00:07Z",
    "region": "us-east-2",
    "resources": [
        "arn:aws:ssm:us-east-2:123456789012:document/MyCalendar"
    ],
    "detail": {
        "state": "OPEN",
        "atTime": "2024-09-19T18:00:07Z",
        "nextTransitionTime": "2024-10-11T18:00:07Z"
    }
}
```

**Calendario CERRADO**

```
{
    "version": "0",
    "id": "f30df03a-1011-ac9a-47a3-f761eEXAMPLE",
    "detail-type": "Calendar State Change",
    "source": "aws.ssm",
    "account": "123456789012",
    "time": "2024-09-17T21:40:02Z",
    "region": "us-east-2",
    "resources": [
        "arn:aws:ssm:us-east-2:123456789012:document/MyCalendar"
    ],
    "detail": {
        "state": "CLOSED",
        "atTime": "2024-08-17T21:40:00Z",
        "nextTransitionTime": "2024-09-19T18:00:07Z"
    }
}
```

## AWS Systems ManagerEvents (Eventos)Change Manager
<a name="SSM-Change-Manager-event-types"></a>

**Cambiar notificación de actualización del estado de la solicitud: ejemplo 1**

```
{
  "version": "0",
  "id": "feab80c1-a8ff-c721-b8b1-96ce70939696",
  "detail-type": "Change Request Status Update",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-10-24T10:51:52Z",
  "region": "us-east-1",
  "resources": [
    "arn:aws:ssm:us-west-2:123456789012:opsitem/oi-12345abcdef",
    "arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1"
  ],
  "detail": {
    "change-request-id": "d0585556-80f6-4522-8dad-dada6d45b67d",
    "change-request-title": "A change request title",
    "ops-item-id": "oi-12345abcdef",
    "ops-item-created-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "ops-item-created-time": "2024-10-24T10:50:33.180334Z",
    "ops-item-modified-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "ops-item-modified-time": "2024-10-24T10:50:33.180340Z",
    "ops-item-status": "InProgress",
    "change-template-document-name": "MyChangeTemplate",
    "runbook-document-arn": "arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1",
    "runbook-document-version": "1",
    "auto-approve": true,
    "approvers": [
      "arn:aws:iam::123456789012:user/JaneDoe"
    ]
  }
}
```

**Cambiar notificación de actualización del estado de la solicitud: ejemplo 2**

```
{
  "version": "0",
  "id": "25ce6b03-2e4e-1a2b-2a8f-6c9de8d278d2",
  "detail-type": "Change Request Status Update",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-10-24T10:51:52Z",
  "region": "us-east-1",
  "resources": [
    "arn:aws:ssm:us-west-2:123456789012:opsitem/oi-abcdef12345",
    "arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1"
  ],
  "detail": {
    "change-request-id": "d0585556-80f6-4522-8dad-dada6d45b67d",
    "change-request-title": "A change request title",
    "ops-item-id": "oi-abcdef12345",
    "ops-item-created-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "ops-item-created-time": "2024-10-24T10:50:33.180334Z",
    "ops-item-modified-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "ops-item-modified-time": "2024-10-24T10:50:33.997163Z",
    "ops-item-status": "Rejected",
    "change-template-document-name": "MyChangeTemplate",
    "runbook-document-arn": "arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1",
    "runbook-document-version": "1",
    "auto-approve": true,
    "approvers": [
      "arn:aws:iam::123456789012:user/JaneDoe"
    ]
  }
}
```

## AWS Systems ManagerEventos de Compliance
<a name="SSM-Configuration-Compliance-event-types"></a>

Los siguientes ejemplos corresponden a eventos de AWS Systems Manager Compliance.

**Conformidad con la asociación**

```
{
  "version": "0",
  "id": "01234567-0123-0123-0123-012345678901",
  "detail-type": "Configuration Compliance State Change",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-07-17T19:03:26Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
  ],
  "detail": {
    "last-runtime": "2024-01-01T10:10:10Z",
    "compliance-status": "compliant",
    "resource-type": "managed-instance",
    "resource-id": "i-01234567890abcdef",
    "compliance-type": "Association"
  }
}
```

**Sin conformidad con la asociación**

```
{
  "version": "0",
  "id": "01234567-0123-0123-0123-012345678901",
  "detail-type": "Configuration Compliance State Change",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-07-17T19:02:31Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
  ],
  "detail": {
    "last-runtime": "2024-01-01T10:10:10Z",
    "compliance-status": "non_compliant",
    "resource-type": "managed-instance",
    "resource-id": "i-01234567890abcdef",
    "compliance-type": "Association"
  }
}
```

**Conformidad con los parches**

```
{
  "version": "0",
  "id": "01234567-0123-0123-0123-012345678901",
  "detail-type": "Configuration Compliance State Change",
  "source": "aws.123456789012",
  "account": "123456789012",
  "time": "2024-07-17T19:03:26Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
  ],
  "detail": {
    "resource-type": "managed-instance",
    "resource-id": "i-01234567890abcdef",
    "compliance-status": "compliant",
    "compliance-type": "Patch",
    "patch-baseline-id": "PB789",
    "severity": "critical"
  }
}
```

**Sin conformidad con los parches**

```
{
  "version": "0",
  "id": "01234567-0123-0123-0123-012345678901",
  "detail-type": "Configuration Compliance State Change",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-07-17T19:02:31Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
  ],
  "detail": {
    "resource-type": "managed-instance",
    "resource-id": "i-01234567890abcdef",
    "compliance-status": "non_compliant",
    "compliance-type": "Patch",
    "patch-baseline-id": "PB789",
    "severity": "critical"
  }
}
```

## AWS Systems ManagerEvents (Eventos)Maintenance Windows
<a name="EC2_maintenance_windows_event_types"></a>

A continuación, se muestran ejemplos de los eventos para Systems Manager Maintenance Windows.

**Registrar un destino**

Los valores de estado válidos son `REGISTERED` y `DEREGISTERED`.

```
{
   "version":"0",
   "id":"01234567-0123-0123-0123-0123456789ab",
   "detail-type":"Maintenance Window Target Registration Notification",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2024-11-16T00:58:37Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0ed7251d3fcf6e0c2",
      "arn:aws:ssm:us-east-2:123456789012:windowtarget/e7265f13-3cc5-4f2f-97a9-7d3ca86c32a6"
   ],
   "detail":{
      "window-target-id":"e7265f13-3cc5-4f2f-97a9-7d3ca86c32a6",
      "window-id":"mw-0ed7251d3fcf6e0c2",
      "status":"REGISTERED"
   }
}
```

**Tipo de ejecución de ventana**

Entre los valores de estado válidos se incluyen los siguientes:
+ `CANCELLED`
+ `CANCELLING`
+ `FAILED`
+ `IN_PROGRESS`
+ `PENDING`
+ `SKIPPED_OVERLAPPING`
+ `SUCCESS TIMED_OUT`

```
{
   "version":"0",
   "id":"01234567-0123-0123-0123-0123456789ab",
   "detail-type":"Maintenance Window Execution State-change Notification",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2025-06-02T14:52:18Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
   ],
   "detail":{
      "start-time":"2025-06-02T14:48:28.039273Z",
      "end-time":"2025-06-02T14:52:18.083773Z",
      "window-id":"mw-0ed7251d3fcf6e0c2",
      "window-execution-id":"14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE",
      "status":"SUCCESS"
   }
}
```

**Tipo de ejecución de tarea**

Los valores de estado válidos son `IN_PROGRESS`, `SUCCESS`, `FAILED` y `TIMED_OUT`.

```
{
   "version":"0",
   "id":"01234567-0123-0123-0123-0123456789ab",
   "detail-type":"Maintenance Window Task Execution State-change Notification",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2025-06-02T14:52:18Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
   ],
   "detail":{
      "start-time":"2025-06-02T14:48:28.039273Z",
      "task-execution-id":"6417e808-7f35-4d1a-843f-123456789012",
      "end-time":"2025-06-02T14:52:18.083773Z",
      "window-id":"mw-0ed7251d3fcf6e0c2",
      "window-execution-id":"14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE",
      "status":"SUCCESS"
   }
}
```

**Destino de tarea procesado**

Los valores de estado válidos son `IN_PROGRESS`, `SUCCESS`, `FAILED` y `TIMED_OUT`.

```
{
   "version":"0",
   "id":"01234567-0123-0123-0123-0123456789ab",
   "detail-type":"Maintenance Window Task Target Invocation State-change Notification",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2025-06-02T14:52:18Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-123456789012345678"
   ],
   "detail":{
      "start-time":"2025-06-02T14:48:28.039273Z",
      "end-time":"2025-06-02T14:52:18.083773Z",
      "window-id":"mw-0ed7251d3fcf6e0c2",
      "window-execution-id":"791b72e0-f0da-4021-8b35-f95dfEXAMPLE",
      "task-execution-id":"c9b05aba-197f-4d8d-be34-e73fbEXAMPLE",
      "window-target-id":"e32eecb2-646c-4f4b-8ed1-205fbEXAMPLE",
      "status":"SUCCESS",
      "owner-information":"Owner"
   }
}
```

**Cambio de estado de ventana**

Los valores de estado válidos son `ENABLED` y `DISABLED`.

```
{
   "version":"0",
   "id":"01234567-0123-0123-0123-0123456789ab",
   "detail-type":"Maintenance Window State-change Notification",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2024-11-16T00:58:37Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
   ],
   "detail":{
      "window-id":"mw-0c50858d01EXAMPLE",
      "status":"DISABLED"
   }
}
```

## AWS Systems ManagerEvents (Eventos)Parameter Store
<a name="SSM-Parameter-Store-event-types"></a>

A continuación, se muestran ejemplos de los eventos para Systems Manager Parameter Store.

**Crear parámetro**

```
{
  "version": "0",
  "id": "6a7e4feb-b491-4cf7-a9f1-bf3703497718",
  "detail-type": "Parameter Store Change",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-05-22T16:43:48Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:parameter/MyExampleParameter"
  ],
  "detail": {
    "operation": "Create",
    "name": "MyExampleParameter",
    "type": "String",
    "description": "Sample Parameter"
  }
}
```

**Actualizar parámetro**

```
{
  "version": "0",
  "id": "9547ef2d-3b7e-4057-b6cb-5fdf09ee7c8f",
  "detail-type": "Parameter Store Change",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-05-22T16:44:48Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:parameter/MyExampleParameter"
  ],
  "detail": {
    "operation": "Update",
    "name": "MyExampleParameter",
    "type": "String",
    "description": "Sample Parameter"
  }
}
```

**Eliminar parámetro**

```
{
  "version": "0",
  "id": "80e9b391-6a9b-413c-839a-453b528053af",
  "detail-type": "Parameter Store Change",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-05-22T16:45:48Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:parameter/MyExampleParameter"
  ],
  "detail": {
    "operation": "Delete",
    "name": "MyExampleParameter",
    "type": "String",
    "description": "Sample Parameter"
  }
}
```

## AWS Systems ManagerEvents (Eventos)OpsCenter
<a name="SSM-OpsCenter-event-types"></a>

**OpsCenter OpsItem crear notificación**

```
{
  "version": "0",
  "id": "aae66adc-7aac-f0c0-7854-7691e8c079b8",
  "detail-type": "OpsItem Create",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-10-19T02:48:11Z",
  "region": "us-east-1",
  "resources": [
    "arn:aws:ssm:us-west-2:123456789012:opsitem/oi-123456abcdef"
  ],
  "detail": {
    "created-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "created-time": "2024-10-19T02:46:53.629361Z",
    "source": "aws.ssm",
    "status": "Open",
    "ops-item-id": "oi-123456abcdef",
    "title": "An issue title",
    "ops-item-type": "/aws/issue",
    "description": "A long description may appear here"
  }
}
```

**OpsCenter OpsItem actualizar notificación**

```
{
  "version": "0",
  "id": "2fb5b168-b725-41dd-a890-29311200089c",
  "detail-type": "OpsItem Update",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-10-19T02:48:11Z",
  "region": "us-east-1",
  "resources": [
    "arn:aws:ssm:us-west-2:123456789012:opsitem/oi-123456abcdef"
  ],
  "detail": {
    "created-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "created-time": "2024-10-19T02:46:54.049271Z",
    "modified-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "modified-time": "2024-10-19T02:46:54.337354Z",
    "source": "aws.ssm",
    "status": "Open",
    "ops-item-id": "oi-123456abcdef",
    "title": "An issue title",
    "ops-item-type": "/aws/issue",
    "description": "A long description may appear here"
  }
}
```

## AWS Systems ManagerEvents (Eventos)Run Command
<a name="SSM-Run-Command-event-types"></a>

**Run Command Notificación de cambio de estado de**

```
{
    "version": "0",
    "id": "51c0891d-0e34-45b1-83d6-95db273d1602",
    "detail-type": "EC2 Command Status-change Notification",
    "source": "aws.ssm",
    "account": "123456789012",
    "time": "2024-07-10T21:51:32Z",
    "region": "us-east-2",
    "resources": ["arn:aws:ec2:us-east-2:123456789012:instance/i-02573cafcfEXAMPLE"],
    "detail": {
        "command-id": "e8d3c0e4-71f7-4491-898f-c9b35bee5f3b",
        "document-name": "AWS-RunPowerShellScript",
        "expire-after": "2024-07-14T22:01:30.049Z",
        "parameters": {
            "executionTimeout": ["3600"],
            "commands": ["date"]
        },
        "requested-date-time": "2024-07-10T21:51:30.049Z",
        "status": "Success"
    }
}
```

**Run Command Notificación de cambio de estado de invocación de**

```
{
    "version": "0",
    "id": "4780e1b8-f56b-4de5-95f2-95dbEXAMPLE",
    "detail-type": "EC2 Command Invocation Status-change Notification",
    "source": "aws.ssm",
    "account": "123456789012",
    "time": "2024-07-10T21:51:32Z",
    "region": "us-east-2",
    "resources": ["arn:aws:ec2:us-east-2:123456789012:instance/i-02573cafcfEXAMPLE"],
    "detail": {
        "command-id": "e8d3c0e4-71f7-4491-898f-c9b35bee5f3b",
        "document-name": "AWS-RunPowerShellScript",
        "instance-id": "i-02573cafcfEXAMPLE",
        "requested-date-time": "2024-07-10T21:51:30.049Z",
        "status": "Success"
    }
}
```

## AWS Systems ManagerEvents (Eventos)State Manager
<a name="SSM-State-Manager-event-types"></a>

**State Manager Cambio de estado de asociación de**

```
{
   "version":"0",
   "id":"db839caf-6f6c-40af-9a48-25b2ae2b7774",
   "detail-type":"EC2 State Manager Association State Change",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2024-05-16T23:01:10Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ssm:us-east-2::document/AWS-RunPowerShellScript"
   ],
   "detail":{
      "association-id":"6e37940a-23ba-4ab0-9b96-5d0a1a05464f",
      "document-name":"AWS-RunPowerShellScript",
      "association-version":"1",
      "document-version":"Optional.empty",
      "targets":"[{\"key\":\"InstanceIds\",\"values\":[\"i-12345678\"]}]",
      "creation-date":"2024-02-13T17:22:54.458Z",
      "last-successful-execution-date":"2024-05-16T23:00:01Z",
      "last-execution-date":"2024-05-16T23:00:01Z",
      "last-updated-date":"2024-02-13T17:22:54.458Z",
      "status":"Success",
      "association-status-aggregated-count":"{\"Success\":1}",
      "schedule-expression":"cron(0 */30 * * * ? *)",
      "association-cwe-version":"1.0"
   }
}
```

**State Manager Cambio de estado de asociación de instancia de**

```
{
   "version":"0",
   "id":"6a7e8feb-b491-4cf7-a9f1-bf3703467718",
   "detail-type":"EC2 State Manager Instance Association State Change",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2024-02-23T15:23:48Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ec2:us-east-2:123456789012:instance/i-12345678",
      "arn:aws:ssm:us-east-2:123456789012:document/my-custom-document"
   ],
   "detail":{
      "association-id":"34fcb7e0-9a14-4984-9989-0e04e3f60bd8",
      "instance-id":"i-02573cafcfEXAMPLE",
      "document-name":"my-custom-document",
      "document-version":"1",
      "targets":"[{\"key\":\"instanceids\",\"values\":[\"i-02573cafcfEXAMPLE\"]}]",
      "creation-date":"2024-02-23T15:23:48Z",
      "last-successful-execution-date":"2024-02-23T16:23:48Z",
      "last-execution-date":"2024-02-23T16:23:48Z",
      "status":"Success",
      "detailed-status":"",
      "error-code":"testErrorCode",
      "execution-summary":"testExecutionSummary",
      "output-url":"sampleurl",
      "instance-association-cwe-version":"1"
   }
}
```

# Escenarios de ejemplo: destinos de Systems Manager en reglas de Amazon EventBridge
<a name="monitoring-systems-manager-targets"></a>

Cuando especifica el destino que se va a invocar en una regla de Amazon EventBridge, puede elegir entre más de 20 tipos de destinos y agregar hasta cinco destinos a cada regla.

De los diferentes destinos, puede elegir entre Automatización, OpsCenter y Run Command, que son herramientas de AWS Systems Manager, como acciones de destino cuando se produce un evento de EventBridge.

A continuación, se presentan varios ejemplos de formas en las que puede utilizar estas herramientas como destino de una regla de EventBridge.

**Ejemplos de Automation**  
Puede configurar una regla de EventBridge para iniciar flujos de trabajo de Automation cuando se produzcan eventos como los siguientes:
+ Cuando una alarma de Amazon CloudWatch notifica que un nodo administrado no ha pasado una comprobación de estado (`StatusCheckFailed_Instance=1`), ejecute el manual de procedimientos de Automation `AWSSupport-ExecuteEC2Rescue` en el nodo.
+ Cuando se produce un evento `EC2 Instance State-change Notification` porque se está ejecutando una nueva instancia de Amazon Elastic Compute Cloud (Amazon EC2), ejecute el manual de procedimientos de Automation `AWS-AttachEBSVolume` en la instancia.
+ Cuando se cree y esté disponible un volumen de Amazon Elastic Block Store (Amazon EBS), ejecute el manual de procedimientos de Automation `AWS-CreateSnapshot` en el volumen.

**OpsCenterEjemplos de**  
Puede configurar una regla de EventBridge para crear un nuevo OpsItem cuando se producen incidentes como los siguientes:
+ Se produce un evento de limitación controlada para Amazon DynamoDB o el rendimiento del volumen de Amazon EBS se ha degradado.
+ Un grupo de Amazon EC2 Auto Scaling no puede lanzar un nodo o un flujo de trabajo de Systems Manager Automation falla.
+ Una instancia de EC2 cambia el estado de `Running` a `Stopped`.

**Run CommandEjemplos de**  
Puede configurar una regla de EventBridge para ejecutar un documento de Systems Manager Command en Run Command cuando se producen eventos como los siguientes:
+ Cuando un grupo de Auto Scaling está a punto de finalizar, un script Run Command podría capturar los archivos de registro del nodo antes de que finalice.
+ Cuando se crea un nodo nuevo en un grupo de Auto Scaling, una acción de destino Run Command podría producir la activación del rol del servidor web o la instalación de software en el nodo.
+ Cuando se descubre un nodo administrado no conforme, una acción de destino Run Command puede actualizar las revisiones en el nodo mediante la ejecución del documento `AWS-RunPatchBaseline`.

# Cómo monitorear los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS
<a name="monitoring-sns-notifications"></a>

Puede configurar Amazon Simple Notification Service (Amazon SNS) para que envíe notificaciones sobre el estado de los comandos que envía a través de Run Command o Maintenance Windows, que son herramientas de AWS Systems Manager. Amazon SNS coordina y administra el envío y la entrega de las notificaciones a los clientes o puntos de enlace que estén suscritos a temas de Amazon SNS. Puede recibir una notificación siempre que un comando cambie a un estado nuevo o cambie a un estado específico como, por ejemplo, *Failed (Error)* o *Timed Out (Tiempo de espera agotado)*. En los casos en que un comando se envía a varios nodos, puede recibir una notificación por cada copia del comando enviada a un nodo concreto. Cada copia se denomina una *invocación*.

Amazon SNS puede entregar las notificaciones como HTTP o HTTPS POST, por email (SMTP, con texto sin formato o con formato JSON) o como mensaje publicado en una cola de Amazon Simple Queue Service (Amazon SQS). Para obtener más información, consulte [¿Qué es Amazon SNS?](https://docs.aws.amazon.com/sns/latest/dg/) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Para ver ejemplos de la estructura de los datos JSON incluidos en la notificación de Amazon SNS que proporciona Run Command y el Maintenance Windows, consulte [Ejemplo de notificaciones de Amazon SNS para AWS Systems Manager](monitoring-sns-examples.md).

**importante**  
Tenga en cuenta la siguiente información importante.  
Los temas FIFO de Amazon Simple Notification Service no son compatibles.
No se puede usar Amazon Q Developer en aplicaciones de chat para monitorear Systems Manager con Amazon SNS. Si quiere usar Amazon Q Developer en aplicaciones de chat para monitorear Systems Manager, debe usarlo con Amazon EventBridge. Para obtener información acerca de cómo utilizar EventBridge para supervisar los eventos de Systems Manager, consulte [Cómo monitorear eventos de Systems Manager con Amazon EventBridge](monitoring-eventbridge-events.md). Para obtener información sobre Amazon EventBridge y Amazon Q Developer en aplicaciones de chat, consulte [Tutorial: Creating an EventBridge rule that sends notifications to Amazon Q Developer in chat applications](https://docs.aws.amazon.com/chatbot/latest/adminguide/create-eventbridge-rule.html) en *Amazon Q Developer in chat applications Administrator Guide*.

## Cómo configurar notificaciones de Amazon SNS para AWS Systems Manager
<a name="monitoring-sns-configure"></a>

Run Command y las tareas de Maintenance Windows registradas en un periodo de mantenimiento pueden enviar notificaciones de Amazon SNS para tareas de comandos que introducen los siguientes estados: 
+ En curso
+ Success
+ Failed
+ Tiempo de espera agotado
+ Cancelado

Para obtener información sobre las condiciones que causan que un comando pase a tener uno de estos estados, consulte [Descripción de los estados del comando](monitor-commands.md).

**nota**  
Los comandos que se envían cuando se utiliza Run Command también notifican los estados Canceling (Cancelando) y Pending (Pendiente). Estos estados no se capturan en las notificaciones de Amazon SNS.

### Notificaciones de Amazon SNS de resumen de comandos
<a name="monitoring-sns-configure-summary"></a>

Si configura Run Command o una tarea de Run Command en su periodo de mantenimiento para notificaciones de Amazon SNS, Amazon SNS envía mensajes de resumen que contienen la siguiente información.


****  

| Campo | Tipo | Descripción | 
| --- | --- | --- | 
|  eventTime  |  Cadena  |  La hora a la que se inició el evento. La marca temporal es importante porque Amazon SNS no garantiza el orden de entrega de los mensajes. Ejemplo: 2016-04-26T13:15:30Z   | 
|  documentName  |  Cadena  |  El nombre del documento de SSM utilizado para ejecutar este comando.  | 
|  commandId  |  Cadena  |  El ID generado por Run Command después de haber enviado el comando.  | 
|  expiresAfter  |  Date  |  Si se llega a esta hora y el comando aún no ha empezado a ejecutarse, no se ejecutará.   | 
|  outputS3BucketName  |  Cadena  |  El bucket de Amazon Simple Storage Service (Amazon S3) donde deben almacenarse las respuestas a la ejecución de comandos.  | 
|  outputS3KeyPrefix  |  Cadena  |  La ruta del directorio de Amazon S3 dentro del bucket donde deben guardarse las respuestas a la ejecución de comandos.  | 
|  requestedDateTime  |  Cadena  |  La hora y la fecha en la que se envió la solicitud a este nodo específico.  | 
|  instanceIds  |  StringList  |  Los nodos a los que se dirige el comando.  Los ID de instancia solo se incluyen en el mensaje de resumen si la tarea Run Command dirigió a sus destinos los ID de instancia directamente. Los ID de instancia no se incluyen en el mensaje de resumen si la tarea Run Command se emitió con destino basado en etiquetas.   | 
|  status  |  Cadena  |  El estado del comando.  | 

### Notificaciones de Amazon SNS basadas en invocaciones
<a name="monitoring-sns-configure-invocation"></a>

Si envía un comando a varios nodos, Amazon SNS puede enviar mensajes sobre cada copia o invocación del comando. Los mensajes incluyen la siguiente información.


****  

| Campo | Tipo | Descripción | 
| --- | --- | --- | 
|  eventTime  |  Cadena  |  La hora a la que se inició el evento. La marca temporal es importante porque Amazon SNS no garantiza el orden de entrega de los mensajes. Ejemplo: 2016-04-26T13:15:30Z   | 
|  documentName  |  Cadena  |  El nombre del documento de Systems Manager (documento SSM) utilizado para ejecutar este comando.  | 
|  requestedDateTime  |  Cadena  |  La hora y la fecha en la que se envió la solicitud a este nodo específico.  | 
|  commandId  |  Cadena  |  El ID generado por Run Command después de haber enviado el comando.  | 
|  instanceId  |  Cadena  |  La instancia que el comando tiene como destino.  | 
|  status  |  Cadena  |  Estado del comando para esta invocación.  | 

Para configurar las notificaciones de Amazon SNS cuando un comando cambie el estado, realice las siguientes tareas.

**nota**  
Si no va a configurar las notificaciones de Amazon SNS para su periodo de mantenimiento, puede omitir la tarea 5 que se encuentra más adelante en este tema.

**Topics**
+ [Notificaciones de Amazon SNS de resumen de comandos](#monitoring-sns-configure-summary)
+ [Notificaciones de Amazon SNS basadas en invocaciones](#monitoring-sns-configure-invocation)
+ [Tarea 1: crear y suscribirse a un tema de Amazon SNS](#monitoring-configure-sns)
+ [Tarea 2: crear una política de IAM para notificaciones de Amazon SNS](#monitoring-iam-policy)
+ [Tarea 3: crear un rol de IAM para notificaciones de Amazon SNS](#monitoring-iam-notifications)
+ [Tarea 4: configurar el acceso del usuario](#monitoring-sns-passpolicy)
+ [Tarea 5: asociar la política iam:PassRole al rol de periodo de mantenimiento](#monitoring-sns-passpolicy-mw)

### Tarea 1: crear y suscribirse a un tema de Amazon SNS
<a name="monitoring-configure-sns"></a>

Un *Tema* de Amazon SNS es un canal de comunicación queRun Command y las tareas de Run Command registradas en un periodo de mantenimiento utilizan para enviar notificaciones sobre el estado de sus comandos. Amazon SNS admite diferentes protocolos de comunicación, incluidos HTTP/S, email y otros Servicios de AWS, como Amazon Simple Queue Service (Amazon SQS). Para comenzar, le recomendamos que empiece con el protocolo de email. Para obtener más información acerca de la creación de un tema, consulte [Creating an Amazon SNS topic](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) (Creación de un tema de Amazon SNS) en la *Guía para desarrolladores de Amazon Simple Notification Service*.

**nota**  
Después de crear el tema, copie o anote el valor de **Topic ARN**. Tendrá que especificar este ARN al enviar un comando que está configurado para devolver notificaciones de estado.

Después de crear el tema, suscríbase a él especificando un **punto de enlace**. Si eligió el protocolo de correo electrónico el punto de enlace es la dirección de correo electrónico donde desea recibir las notificaciones. Para obtener más información acerca de cómo se suscribe a un tema, consulte [Subscribing to an Amazon SNS topic](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) (Suscripción a un tema de Amazon SNS) en la *Guía para desarrolladores de Amazon Simple Notification Service*.

Amazon SNS envía un email de confirmación desde *AWSNotifications* a la dirección de email que especifique. Abra el email y elija el enlace **Confirm subscription (Confirmar la suscripción)**.

Recibirá un mensaje de confirmación de AWS. Amazon SNS estará ahora configurado para recibir notificaciones y enviar la notificación como un email a la dirección especificada.

### Tarea 2: crear una política de IAM para notificaciones de Amazon SNS
<a name="monitoring-iam-policy"></a>

Utilice el siguiente procedimiento para crear una política de AWS Identity and Access Management (IAM) personalizada que proporcione permisos para iniciar notificaciones de Amazon SNS.

**Cómo crear una política personalizada de IAM para notificaciones de Amazon SNS**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Policies** y, a continuación, seleccione **Create Policy**. (Si aparece el botón **Get Started** [Empezar], elíjalo y, a continuación, elija **Create Policy** [Crear política]).

1. Seleccione la pestaña **JSON**.

1. Sustituya el contenido predeterminado por uno de los siguientes, en función de si el tema de Amazon SNS utiliza cifrado de AWS KMS:

------
#### [ SNS topic not encrypted ]

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sns:Publish"
               ],
               "Resource": "arn:aws:sns:us-east-1:111122223333:sns-topic-name"
           }
       ]
   }
   ```

------

   *region* representa el identificador de Región de AWS compatible con AWS Systems Manager, como `us-east-2` para la región EE. UU. Este (Ohio). Para ver una lista de los valores de *regiones* admitidos, consulte la columna **Región** en [Puntos de conexión de servicio de Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) en la *Referencia general de Amazon Web Services*.

   **account-id** representa el identificador de 12 dígitos de su Cuenta de AWS en el formato `123456789012`. 

   *sns-topic-name* representa el nombre del tema de Amazon SNS que desea utilizar para la publicación de notificaciones.

------
#### [ SNS topic encrypted ]

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sns:Publish"
               ],
               "Resource": "arn:aws:sns:us-east-1:111122223333:sns-topic-name"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
           }
       ]
   }
   ```

------

   *region* representa el identificador de Región de AWS compatible con AWS Systems Manager, como `us-east-2` para la región EE. UU. Este (Ohio). Para ver una lista de los valores de *regiones* admitidos, consulte la columna **Región** en [Puntos de conexión de servicio de Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) en la *Referencia general de Amazon Web Services*.

   **account-id** representa el identificador de 12 dígitos de su Cuenta de AWS en el formato `123456789012`. 

   *sns-topic-name* representa el nombre del tema de Amazon SNS que desea utilizar para la publicación de notificaciones.

   *kms-key-id* representa el ID de la clave de KMS de cifrado simétrico en AWS KMS que se utilizará para cifrar y descifrar el tema, en el formato `1234abcd-12ab-34cd-56ef-12345EXAMPLE`.

**nota**  
El uso del cifrado de AWS KMS conlleva un costo. Para obtener más información, consulte [Administración de las claves de cifrado y los costos de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html) en la *Guía para desarrolladores de AWS Key Management Service*.

------

1. Elija **Siguiente: etiquetas**.

1. (Opcional) Agregue uno o varios pares de valor etiqueta-clave para organizar, realizar un seguimiento o controlar el acceso a esta política. 

1. Elija **Siguiente: Revisar**.

1. En la página **Review Policy (Revisar política)**, en **Name (Nombre)**, escriba un nombre para la política insertada. Por ejemplo: **my-sns-publish-permissions**.

1. (Opcional) En **Descripción**, escriba una descripción para la política.

1. Elija **Crear política**.

### Tarea 3: crear un rol de IAM para notificaciones de Amazon SNS
<a name="monitoring-iam-notifications"></a>

Utilice el siguiente procedimiento para crear un rol de IAM para las notificaciones de Amazon SNS. Systems Manager utiliza este rol de servicio para dar comienzo a las notificaciones de Amazon SNS. En todos los procedimientos siguientes, este rol se denomina rol de IAM de Amazon SNS.

**Cómo crear un rol de servicio de IAM para las notificaciones de Amazon SNS**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, elija **Crear rol**.

1. Elija el tipo de rol **Servicio de AWS** y, a continuación, seleccione Systems Manager.

1. Elija el caso de uso de Systems Manager. A continuación, elija **Siguiente**.

1. En la página **Attach permissions policies (Adjuntar políticas de permisos)**, seleccione la casilla situada a la izquierda del nombre de la política personalizada creada en la tarea 2. Por ejemplo: **my-sns-publish-permissions**.

1. (Opcional) Configure un [límite de permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios. 

   Amplíe la sección **Límite de permisos** y seleccione **Usar un límite de permisos para controlar los permisos máximos de la función**. IAM incluye una lista de las políticas administradas por AWS y de las políticas administradas por el cliente de cada cuenta. Seleccione la política que desea utilizar para el límite de permisos o elija **Crear política** para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) en la *Guía del usuario de IAM*. Una vez creada la política, cierre la pestaña y vuelva a la pestaña original para seleccionar la política que va a utilizar para el límite de permisos.

1. Elija **Siguiente**.

1. De ser posible, escriba un nombre o sufijo de nombre para el rol, que pueda ayudarle a identificar su finalidad. Los nombres de rol deben ser únicos en su Cuenta de AWS. No distinguen entre mayúsculas y minúsculas. Por ejemplo, no puede crear funciones denominado tanto **PRODROLE** como **prodrole**. Dado que varias entidades pueden hacer referencia al rol, no puede editar el nombre del rol después de crearlo.

1. (Opcional) En **Descripción**, ingrese una descripción para el nuevo rol.

1. Seleccione **Editar** en las secciones **Paso 1: seleccionar entidades de confianza** o **Paso 2: seleccionar permisos** para editar los casos de uso y los permisos del rol. 

1. (Opcional) Asocie etiquetas como pares de clave-valor para agregar metadatos al rol. Para obtener más información sobre el uso de etiquetas en IAM, consulte [Etiquetado de recursos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía de usuario de IAM* .

1. Revise el rol y, a continuación, seleccione **Crear rol**.

1. Elija el nombre del rol y copie o anote el valor de **Role ARN** (ARN del rol). Este nombre de recurso de Amazon (ARN) para el rol se utiliza cuando envía un comando que está configurado para devolver notificaciones de Amazon SNS.

1. Mantenga la página **Resumen** abierta.

### Tarea 4: configurar el acceso del usuario
<a name="monitoring-sns-passpolicy"></a>

Si a una entidad de IAM (usuario, rol o grupo) se le asignan permisos de administrador, el usuario o el rol tiene acceso a Run Command y Maintenance Windows, que son herramientas de AWS Systems Manager.

Para las entidades sin permisos de administrador, el administrador debe conceder los siguientes permisos a la entidad de IAM:
+ La política administrada `AmazonSSMFullAccess`, o una política que proporcione permisos comparables.
+ Permisos `iam:PassRole` para el rol creado en [Tarea 3: crear un rol de IAM para notificaciones de Amazon SNS](#monitoring-iam-notifications). Por ejemplo:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/sns-role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm.amazonaws.com"
                }
            }
        }
    ]
}
```

------

Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en AWS IAM Identity Center:

  Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center*.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:

  Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
  + Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
  + (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.

**Cómo configurar el acceso de los usuarios y adjuntar la política `iam:PassRole` a una cuenta de usuario**

1. En el panel de navegación de IAM, elija **Users** (Usuarios) y, a continuación, seleccione la cuenta de usuario que desea configurar.

1. En la pestaña **Permissions** (Permisos), en la lista de políticas, verifique que aparece la política **AmazonSSMFullAccess** o que hay una política equivalente que conceda los permisos de cuenta para acceder a Systems Manager.

1. Elija **Agregar política insertada**.

1. En la página **Create policy** (Crear política), elija la pestaña **Visual editor** (Editor visual).

1. Elija **Choose a service** (Elegir un servicio) y después ** IAM**.

1. En **Actions** (Acciones), en el cuadro de texto **Filter actions** (Filtrar acciones), ingrese **PassRole** y, a continuación, elija la casilla junto a **PassRole**.

1. En **Resources** (Recursos), compruebe que esté seleccionado **Specific** (Específicos) y elija **Add ARN** (Agregar ARN).

1. En el campo **Specify ARN for role** (Especificar el ARN del rol), pegue el ARN del rol de IAM de Amazon SNS que copió al final de la tarea 3. El sistema rellena automáticamente los campos **Account (Cuenta)** y **Role name with path (Nombre del rol con ruta)**.

1. Elija **Add (Agregar)**.

1. Elija **Review policy** (Revisar política).

1. En la página **Review Policy** (Revisar política), ingrese un nombre y, a continuación, elija **Create policy** (Crear la política).

### Tarea 5: asociar la política iam:PassRole al rol de periodo de mantenimiento
<a name="monitoring-sns-passpolicy-mw"></a>

Al registrar una tarea de Run Command a un periodo de mantenimiento, debe especificar un rol de servicio de nombre de recurso de Amazon (ARN). Systems Manager utiliza este rol de servicio para ejecutar tareas registradas en el periodo de mantenimiento. Para configurar notificaciones de Amazon SNS para una tarea de Run Command registrada, adjunte una política `iam:PassRole` al rol de servicio del periodo de mantenimiento especificado. Si no tiene intención de configurar la tarea registrada para notificaciones de Amazon SNS, puede omitir esta tarea.

La política `iam:PassRole` permite al rol de servicio del Maintenance Windows transferir el rol de IAM de Amazon SNS creado en la tarea 3 al servicio de Amazon SNS. El siguiente procedimiento muestra cómo adjuntar la política `iam:PassRole` al rol de servicio del Maintenance Windows.

**nota**  
Debe utilizar un rol de servicio personalizado para que su periodo de mantenimiento envíe notificaciones relacionadas con las tareas de Run Command registradas. Para obtener más información, consulte [Configuración de Maintenance Windows](setting-up-maintenance-windows.md).  
Si necesita crear un rol de servicio personalizado para las tareas de periodo de mantenimiento, consulte [Configuración de Maintenance Windows](setting-up-maintenance-windows.md).

**Cómo adjuntar la política de `iam:PassRole` a su rol de Maintenance Windows**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Roles** (Roles) y seleccione el rol de IAM de Amazon SNS creado en la tarea 3.

1. Copie o anote el valor de **Role ARN** (ARN de rol) y regrese a la sección **Roles** (Roles) de la consola de IAM.

1. Seleccione el rol de servicio del Maintenance Windows personalizado creado de la lista de **Role name** (Nombre del rol).

1. En la pestaña **Permissions** (Permisos), verifique si aparece la política `AmazonSSMMaintenanceWindowRole` o si hay una política equivalente que conceda permisos de periodo de mantenimiento para la API de Systems Manager. Si no es así, elija **Agregar permisos, Adjuntar políticas** para adjuntarla.

1. Elija **Add permissions, Create inline policy** (Agregar permisos, Crear política insertada).

1. Seleccione la pestaña **Visual editor** (Editor visual).

1. En **Service** (Servicio), seleccione **IAM**.

1. En **Actions** (Acciones), en el cuadro de texto **Filter actions** (Filtrar acciones), ingrese **PassRole** y, a continuación, elija la casilla junto a **PassRole**.

1. En **Resources (Recursos)**, elija **Specific (Específico)**, y, a continuación, elija **Add ARN (Agregar ARN)**.

1. En el cuadro **Specify ARN for role** (Especificar ARN para rol) pegue el ARN del rol de IAM de Amazon SNS creado en la tarea 3 y, a continuación, elija **Add** (Agregar).

1. Elija **Revisar política**.

1. En la página **Revisar política**, especifique un nombre para la política `PassRole` y, a continuación, elija **Crear política**.

# Ejemplo de notificaciones de Amazon SNS para AWS Systems Manager
<a name="monitoring-sns-examples"></a>

Puede configurar Amazon Simple Notification Service (Amazon SNS) para que envíe notificaciones sobre el estado de los comandos que envía a través de Run Command o Maintenance Windows, que son herramientas de AWS Systems Manager.

**nota**  
Esta guía no trata sobre el modo de configurar notificaciones para Run Command o un Maintenance Windows. Para obtener más información acerca de cómo configurar Run Command o un Maintenance Windows para enviar notificaciones de Amazon SNS sobre el estado de los comandos, consulte [Cómo configurar notificaciones de Amazon SNS para AWS Systems Manager](monitoring-sns-notifications.md#monitoring-sns-configure). 

Los siguientes ejemplos muestran la estructura de la salida JSON devuelta mediante notificaciones de Amazon SNS cuando se configura para Run Command o un Maintenance Windows.

**Ejemplo de salida JSON para mensajes de resumen de comandos con destino de ID de instancia**

```
{
    "commandId": "a8c7e76f-15f1-4c33-9052-0123456789ab",
    "documentName": "AWS-RunPowerShellScript",
    "instanceIds": [
        "i-1234567890abcdef0",
        "i-9876543210abcdef0"
    ],
    "requestedDateTime": "2019-04-25T17:57:09.17Z",
    "expiresAfter": "2019-04-25T19:07:09.17Z",
    "outputS3BucketName": "amzn-s3-demo-bucket",
    "outputS3KeyPrefix": "runcommand",
    "status": "InProgress",
    "eventTime": "2019-04-25T17:57:09.236Z"
}
```

**Ejemplo de salida JSON para mensajes de resumen de comandos con destino basado en etiquetas**

```
{
    "commandId": "9e92c686-ddc7-4827-b040-0123456789ab",
    "documentName": "AWS-RunPowerShellScript",
    "instanceIds": [],
    "requestedDateTime": "2019-04-25T18:01:03.888Z",
    "expiresAfter": "2019-04-25T19:11:03.888Z",
    "outputS3BucketName": "",
    "outputS3KeyPrefix": "",
    "status": "InProgress",
    "eventTime": "2019-04-25T18:01:05.825Z"
}
```

**Ejemplo de salida JSON para mensajes de invocación**

```
{
    "commandId": "ceb96b84-16aa-4540-91e3-925a9a278b8c",
    "documentName": "AWS-RunPowerShellScript",
    "instanceId": "i-1234567890abcdef0",
    "requestedDateTime": "2019-04-25T18:06:05.032Z",
    "status": "InProgress",
    "eventTime": "2019-04-25T18:06:05.099Z"
}
```

# Uso de Run Command para enviar un comando que devuelve notificaciones de estado
<a name="monitoring-sns-rc-send"></a>

Los siguientes procedimientos muestran cómo utilizar AWS Command Line Interface (AWS CLI) o la consola de AWS Systems Manager para enviar un comando configurado para devolver notificaciones de estado mediante Run Command, una herramienta de AWS Systems Manager.

## Envío de un Run Command que devuelve notificaciones (consola)
<a name="monitoring-sns-rc-send-console"></a>

Utilice el siguiente procedimiento para enviar un comando a través de Run Command configurado para devolver notificaciones de estado mediante la consola de Systems Manager.

**Para enviar un comando que devuelve notificaciones (consola)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Run Command**.

1. Elija **Run command (Ejecutar comando)**.

1. En la lista **Command document** (Documento de Command), elija un documento de Systems Manager.

1. En la sección **Command Parameters**, especifique los valores de los parámetros obligatorios.

1. En la sección **Targets** (Destinos), para elegir los nodos administrados en los que desea ejecutar esta operación, especifique las etiquetas, seleccione las instancias o los dispositivos de borde manualmente o especifique un grupo de recursos.
**sugerencia**  
Si un nodo administrado que espera ver no aparece en la lista, consulte [Solución de problemas de disponibilidad de nodos administrados](fleet-manager-troubleshooting-managed-nodes.md) para obtener consejos de solución de problemas.

1. En **Otros parámetros**:
   + En **Comentario**, ingrese la información acerca de este comando.
   + En **Tiempo de espera (segundos)**, especifique el número de segundos que tiene que esperar el sistema antes de indicar que se ha producido un error en la ejecución del comando general. 

1. En **Rate control** (Control de velocidad):
   + En **Concurrency** (Simultaneidad), especifique un número o un porcentaje de los nodos administrados en los que desea ejecutar el comando al mismo tiempo.
**nota**  
Si seleccionó los destinos mediante la especificación de etiquetas aplicadas a nodos administrados o de grupos de recursos de AWS y no está seguro de cuántos nodos administrados tienen destino, limite el número de destinos que puede ejecutar el documento al mismo tiempo. Para ello, especifique un porcentaje.
   + En **Error threshold** (Umbral de errores), especifique cuándo desea parar la ejecución del comando en los demás nodos administrados después de que haya fallado en un número o un porcentaje de los nodos. Por ejemplo, si especifica tres errores, Systems Manager dejará de enviar el comando cuando se reciba el cuarto error. Los nodos administrados que estén procesando el comando todavía pueden enviar errores.

1. (Opcional) En **Opciones de salida**, para guardar la salida del comando en un archivo, seleccione el cuadro **Write command output to an S3 bucket**. Ingrese los nombres del bucket y del prefijo (carpeta) en los cuadros.
**nota**  
Los permisos de S3 que conceden la capacidad de escribir datos en un bucket de S3 son los del perfil de instancia (para instancias de EC2) o rol de servicio de IAM (máquinas activadas de manera híbrida) asignados a la instancia, no los del usuario de IAM que realiza esta tarea. Para obtener más información, consulte [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md) o [Creación de un rol de servicio de IAM para un entorno híbrido](hybrid-multicloud-service-role.md). Además, si el bucket de S3 especificado se encuentra en una Cuenta de AWS diferente, asegúrese de que el perfil de instancias o el rol de servicio de IAM asociado al nodo administrado tenga los permisos necesarios para escribir en ese bucket.

1. En la sección **SNS Notifications (Notificaciones de SNS)**, elija **Enable SNS notifications (Habilitar notificaciones de SNS**.

1. En **IAM Role** (Rol de IAM), elija el ARN del rol de IAM de Amazon SNS que creó en la tarea 3 en [Cómo monitorear los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS](monitoring-sns-notifications.md).

1. En **SNS topic** (Tema de SNS), ingrese el ARN del tema de Amazon SNS que se va a utilizar.

1. En **Event notifications** (Notificaciones de eventos), elija los eventos para los que desea recibir notificaciones.

1. En **Change notifications** (Notificaciones de cambios), elija si quiere recibir notificaciones únicamente para el resumen de comandos (**Command status changes** [Cambios del estado del comando]) o para cada copia de un comando enviado a varios nodos (**Command status on each instance changes** [Cambios del estado del comando en cada instancia]).

1. Seleccione **Ejecutar**.

1. Busque en su casilla de email un mensaje de Amazon SNS y ábralo. Amazon SNS puede tardar varios minutos en enviar el mensaje por email.

## Envío de un Run Command que devuelve notificaciones (CLI)
<a name="monitoring-sns-rc-send-cli"></a>

Utilice el siguiente procedimiento para enviar un comando a través de Run Command configurado para devolver notificaciones de estado mediante la AWS CLI.

**Para enviar un comando que devuelve notificaciones (CLI)**

1. Abra la AWS CLI.

1. Especifique los parámetros en el siguiente comando para definir destinos en función de los ID de los nodos administrados.

   ```
   aws ssm send-command --instance-ids "ID-1, ID-2" --document-name "Name" --parameters '{"commands":["input"]}' --service-role "SNSRoleARN" --notification-config '{"NotificationArn":"SNSTopicName","NotificationEvents":["All"],"NotificationType":"Command"}'
   ```

   A continuación se muestra un ejemplo.

   ```
   aws ssm send-command --instance-ids "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" --document-name "AWS-RunPowerShellScript" --parameters '{"commands":["Get-Process"]}' --service-role "arn:aws:iam::111122223333:role/SNS_Role" --notification-config '{"NotificationArn":"arn:aws:sns:us-east-1:111122223333:SNSTopic","NotificationEvents":["All"],"NotificationType":"Command"}'
   ```

**Comandos alternativos**  
Especifique los parámetros en el siguiente comando para definir como destinos instancias administradas utilizando etiquetas.

   ```
   aws ssm send-command --targets "Key=tag:TagName,Values=TagKey" --document-name "Name" --parameters '{"commands":["input"]}' --service-role "SNSRoleARN" --notification-config '{"NotificationArn":"SNSTopicName","NotificationEvents":["All"],"NotificationType":"Command"}'
   ```

   A continuación se muestra un ejemplo.

   ```
   aws ssm send-command --targets "Key=tag:Environment,Values=Dev" --document-name "AWS-RunPowerShellScript" --parameters '{"commands":["Get-Process"]}' --service-role "arn:aws:iam::111122223333:role/SNS_Role" --notification-config '{"NotificationArn":"arn:aws:sns:us-east-1:111122223333:SNSTopic","NotificationEvents":["All"],"NotificationType":"Command"}'
   ```

1. Pulse **Intro**.

1. Busque en su casilla de email un mensaje de Amazon SNS y ábralo. Amazon SNS puede tardar varios minutos en enviar el mensaje por email.

Para obtener más información, consulte [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) en la *Referencia de comandos de la AWS CLI*.

# Uso de un periodo de mantenimiento para enviar un comando que devuelve notificaciones de estado
<a name="monitoring-sns-mw-register"></a>

Los siguientes procedimientos muestran cómo registrar una tarea de Run Command con su periodo de mantenimiento mediante la consola de AWS Systems Manager o la AWS Command Line Interface (AWS CLI). Run Command es una herramienta de AWS Systems Manager. Los procedimientos también describen cómo configurar la tarea de Run Command para devolver notificaciones de estado.

**Antes de empezar**  
Si no ha creado un periodo de mantenimiento ni destinos registrados, consulte [Crear y administrar periodos de mantenimiento mediante la consola](sysman-maintenance-working.md) para ver los pasos que indican cómo crear un periodo de mantenimiento y cómo registrar destinos.

Para recibir notificaciones del servicio de Amazon Simple Notification Service (Amazon SNS), adjunte una política de `iam:PassRole` al rol de servicio del Maintenance Windows especificado en la tarea registrada. Si no ha agregado permisos de `iam:PassRole` a su rol de servicio de Maintenance Windows, consulte [Tarea 5: asociar la política iam:PassRole al rol de periodo de mantenimiento](monitoring-sns-notifications.md#monitoring-sns-passpolicy-mw). 

## Registro de una tarea de Run Command a un periodo de mantenimiento que devuelve notificaciones (consola)
<a name="monitoring-sns-mw-register-console"></a>

Utilice el siguiente procedimiento para registrar una tarea de Run Command configurada para devolver notificaciones de estado a su periodo de mantenimiento a través de la consola de Systems Manager.

**Para registrar una tarea de Run Command con el periodo de mantenimiento que devuelve notificaciones (consola)**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Maintenance Windows**.

1. Seleccione el periodo de mantenimiento en el cual desea registrar una tarea de Run Command configurada para enviar notificaciones de Amazon Simple Notification Service (Amazon SNS).

1. Elija **Actions** (Acciones) y, a continuación, elija **Register Run Command task** (Registrar tarea de Run Command).

1. (Opcional) En el campo **Name** (Nombre), ingrese el nombre de la tarea.

1. (Opcional) Introduzca una descripción en el campo **Description** (Descripción).

1. En **Command document** (Documento de comando), elija un documento de comando.

1. En **Task priority (Prioridad de tarea)**, especifique una prioridad para esta tarea. Cero (`0`) es la prioridad más alta. Las tareas de un periodo de mantenimiento se programan por orden de prioridad. Las tareas que tienen la misma prioridad se programan en paralelo.

1. En la sección **Targets** (Destinos), seleccione un grupo de destino registrado o destinos no registrados.

1. En **Rate control** (Control de velocidad):
   + En **Concurrency** (Simultaneidad), especifique un número o un porcentaje de los nodos administrados en los que desea ejecutar el comando al mismo tiempo.
**nota**  
Si seleccionó los destinos mediante la especificación de etiquetas aplicadas a nodos administrados o de grupos de recursos de AWS y no está seguro de cuántos nodos administrados tienen destino, limite el número de destinos que puede ejecutar el documento al mismo tiempo. Para ello, especifique un porcentaje.
   + En **Error threshold** (Umbral de errores), especifique cuándo desea parar la ejecución del comando en los demás nodos administrados después de que haya fallado en un número o un porcentaje de los nodos. Por ejemplo, si especifica tres errores, Systems Manager dejará de enviar el comando cuando se reciba el cuarto error. Los nodos administrados que estén procesando el comando todavía pueden enviar errores.

1. En el área **IAM service role** (Rol de servicio de IAM), elija el rol de servicio de Maintenance Windows que tiene permisos de `iam:PassRole` al rol de SNS.
**nota**  
Agregue permisos de `iam:PassRole` al rol Maintenance Windows para permitir que Systems Manager pase el rol de SNS a Amazon SNS. Si no ha agregado `iam:PassRole` permisos, consulte Tarea 5 en el tema [Cómo monitorear los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS](monitoring-sns-notifications.md).

1. (Opcional) En **Output options (Opciones de salida)**, para guardar la salida del comando en un archivo, seleccione el cuadro **Enable writing output to S3 (Permitir la escritura de salida en S3)**. Ingrese los nombres del bucket y del prefijo (carpeta) en los cuadros.
**nota**  
Los permisos de S3 que conceden la capacidad de escribir datos en un bucket de S3 son los del perfil de instancias asignado al nodo administrado, no los del usuario de IAM que realiza esta tarea. Para obtener más información, consulte [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md) o [Creación de un rol de servicio de IAM para un entorno híbrido](hybrid-multicloud-service-role.md). Además, si el bucket de S3 especificado se encuentra en una Cuenta de AWS diferente, verifique que el perfil de instancias o el rol de servicio de IAM asociado al nodo administrado tenga los permisos necesarios para escribir en ese bucket.

1. En la sección **SNS notifications** (Notificaciones de SNS), realice lo siguiente:
   + Elija **Enable SNS Notifications** (Habilitar notificaciones de SNS).
   + En **IAM role** (Rol de IAM), elija el Nombre de recurso de Amazon (ARN) del rol de IAM de Amazon SNS que ha creado en la tarea 3 en [Cómo monitorear los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS](monitoring-sns-notifications.md) para iniciar Amazon SNS.
   + En **SNS topic** (Tema de SNS), ingrese el ARN del tema de Amazon SNS que se va a utilizar.
   + En **Event type** (Tipo de evento), elija los eventos para los que desea recibir notificaciones.
   + En el campo **Notification type** (Tipo de notificaciones), elija recibir notificaciones para cada copia de un comando enviado a varios nodos (invocaciones) o el resumen de comandos.

1. En la sección **Parameters** (Parámetros), ingrese los parámetros requeridos en función del documento de Command que elija.

1. Elija **Register run command task** (Registrar tarea de Run Command).

1. Después de que se ejecute su periodo de mantenimiento la próxima vez, busque en su casilla de email un mensaje de Amazon SNS y ábralo. Amazon SNS puede tardar unos minutos en enviar el mensaje por email.

## Registro de una tarea de Run Command a un periodo de mantenimiento que devuelve notificaciones (CLI)
<a name="monitoring-sns-mw-register-cli"></a>

Utilice el siguiente procedimiento para registrar una tarea de Run Command configurada para devolver notificaciones de estado a su periodo de mantenimiento a través de la AWS CLI.

**Para registrar una tarea de Run Command con el periodo de mantenimiento que devuelve notificaciones (CLI)**
**nota**  
Para administrar mejor las opciones para las tareas, este procedimiento utiliza la opción de comando `--cli-input-json` con valores opcionales almacenados en un archivo JSON.

1. En el equipo local, cree un archivo con el nombre `RunCommandTask.json`.

1. Pegue los siguientes contenidos en el archivo :

   ```
   {
       "Name": "Name",
       "Description": "Description",
       "WindowId": "mw-0c50858d01EXAMPLE",
       "ServiceRoleArn": "arn:aws:iam::account-id:role/MaintenanceWindowIAMRole",
       "MaxConcurrency": "1",
       "MaxErrors": "1",
       "Priority": 3,
       "Targets": [
           {
               "Key": "WindowTargetIds",
               "Values": [
                   "e32eecb2-646c-4f4b-8ed1-205fbEXAMPLE"
               ]
           }
       ],
       "TaskType": "RUN_COMMAND",
       "TaskArn": "CommandDocumentName",
       "TaskInvocationParameters": {
           "RunCommand": {
               "Comment": "Comment",
               "TimeoutSeconds": 3600,
               "NotificationConfig": {
                   "NotificationArn": "arn:aws:sns:region:account-id:SNSTopicName",
                   "NotificationEvents": [
                       "All"
                   ],
                   "NotificationType": "Command"
               },
               "ServiceRoleArn": "arn:aws:iam::account-id:role/SNSIAMRole"
           }
       }
   }
   ```

1. Reemplace los valores de ejemplo con información acerca de sus propios recursos. 

   También puede restaurar opciones omitidas en este ejemplo si desea utilizarlas. Por ejemplo, puede guardar el resultado del comando en un bucket de S3. 

   Para obtener más información, consulte [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-task-with-maintenance-window.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-task-with-maintenance-window.html) en la *Referencia de comandos de la AWS CLI*.

1. Guarde el archivo.

1. En el directorio en su equipo local donde ha guardado el archivo, ejecute el siguiente comando.

   ```
   aws ssm register-task-with-maintenance-window --cli-input-json file://RunCommandTask.json
   ```
**importante**  
Asegúrese de incluir `file://` antes del nombre de archivo. Es obligatorio en este comando.

   En caso de éxito, este comando devuelve información similar a la siguiente.

   ```
   {
       "WindowTaskId": "j2l8d5b5c-mw66-tk4d-r3g9-1d4d1EXAMPLE"
   }
   ```

1. Después de que se ejecute su periodo de mantenimiento la próxima vez, busque en su casilla de email un mensaje de Amazon SNS y ábralo. Amazon SNS puede tardar unos minutos en enviar el mensaje por email.

Para obtener más información acerca del registro de tareas para un periodo de mantenimiento mediante la línea de comandos, consulte [Registrar tareas con el periodo de mantenimiento](mw-cli-tutorial-tasks.md).