• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Registrar em log e monitorar no AWS Systems Manager
O monitoramento é uma parte importante da manutenção da confiabilidade, da disponibilidade e do desempenho do AWS Systems Manager e de soluções da AWS. Você deve coletar dados de monitoramento de todas as partes da solução da AWS para facilitar a depuração de uma falha de vários pontos, caso ela ocorra. Antes de começar a monitorar o Systems Manager, crie um plano de monitoramento que inclua as respostas para as seguintes perguntas:
+ Quais são seus objetivos de monitoramento?
+ Quais recursos você vai monitorar?
+ Com que frequência você vai monitorar esses recursos?
+ Quais ferramentas de monitoramento você usará?
+ Quem realiza as tarefas de monitoramento?
+ Quem deve ser notificado quando algo der errado?
Depois de definir seus objetivos de monitoramento e criar seu plano de monitoramento, a próxima etapa é estabelecer uma linha de base para a performance normal do Systems Manager em seu ambiente. Você deve medir a performance do Systems Manager em vários momentos e em condições de cargas diferentes. Ao monitorar o Systems Manager, você deve armazenar um histórico de dados de monitoramento coletados. Você poderá comparar a performance atual do Systems Manager com esses dados históricos para ajudar a identificar padrões de performance normais e anomalias de performance, e criar métodos para resolvê-los.
Por exemplo, você pode monitorar o sucesso ou a falha de operações, como fluxos de trabalho de automação, a aplicação de linhas de base de patch, eventos de janela de manutenção e conformidade de configuração. O Automation é uma ferramenta do AWS Systems Manager.
Você também pode monitorar a utilização da CPU, a E/S do disco e a utilização da rede dos nós gerenciados. Quando a performance estiver fora da linha de base estabelecida, talvez seja necessário reconfigurar ou otimizar o nó para reduzir a utilização da CPU, melhorar a E/S de disco ou reduzir o tráfego de rede. Para obter mais informações sobre monitoramento de instância do EC2, consulte [Monitorar o Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring_ec2.html) no *Guia do usuário do Amazon EC2*.
**Topics**
+ [Ferramentas de monitoramento](#monitoring-tools)
+ [Enviar logs de nós para o CloudWatch Logs unificado (agente do CloudWatch)](monitoring-cloudwatch-agent.md)
+ [Enviar logs do SSM Agent ao CloudWatch Logs](monitoring-ssm-agent.md)
+ [Monitoramento dos seus eventos de solicitação de alteração](monitoring-change-request-events.md)
+ [Monitoramento das automações](monitoring-automation-metrics.md)
+ [Monitorar métricas do Run Command com o Amazon CloudWatch](monitoring-cloudwatch-metrics.md)
+ [Registrar em log chamadas de API do AWS Systems Manager com o AWS CloudTrail](monitoring-cloudtrail-logs.md)
+ [Registro de saída de ações do Automation em log com o CloudWatch Logs](automation-action-logging.md)
+ [Configurar o Amazon CloudWatch Logs para Run Command](sysman-rc-setting-up-cwlogs.md)
+ [Monitorar eventos do Systems Manager com o Amazon EventBridge](monitoring-eventbridge-events.md)
+ [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md)
## Ferramentas de monitoramento
O conteúdo deste capítulo fornece informações sobre como usar as ferramentas disponíveis para monitorar o Systems Manager e outros recursos da AWS. Para obter uma lista mais completa de ferramentas, consulte [Registrar em log e monitorar no AWS Systems Manager](logging-and-monitoring.md).
# Enviar logs de nós para o CloudWatch Logs unificado (agente do CloudWatch)
Você pode configurar e usar o agente do Amazon CloudWatch para coletar métricas e logs de seus nós em vez de usar o AWS Systems Manager Agent (SSM Agent) para essas tarefas. O agente do CloudWatch permite reunir mais métricas sobre instâncias do EC2 do que as disponíveis usando o SSM Agent. Além disso, você pode coletar métricas de servidores on-premises usando o agente do CloudWatch.
Você pode também armazenar as definições de configuração no Systems Manager Parameter Store para uso com o agente do CloudWatch. O Parameter Store é uma ferramenta do AWS Systems Manager.
**nota**
O AWS Systems Manager é compatível com a migração do SSM Agent para o agente unificado do CloudWatch a fim de coletar logs e métricas somente em versões de 64 bits do Windows. Para obter informações sobre como configurar o agente unificado do CloudWatch em outros sistemas operacionais e para obter informações completas sobre como usar o agente do CloudWatch, consulte [Coletar métricas e logs das instâncias do Amazon EC2 e dos servidores on-premises com o agente do CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) no *[Guia do usuário do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)*.
Você pode usar o agente do CloudWatch em outros sistemas operacionais compatíveis, mas não poderá usar o Systems Manager para executar uma migração de ferramenta.
SSM AgentO grava informações sobre execuções, ações programadas, erros e status de integridade em arquivos de log para cada nó. A conexão manual a um nó para visualizar arquivos de log e solucionar problemas com o SSM Agent é um processo demorado. Para obter um monitoramento de nós mais eficiente, você pode configurar o SSM Agent em si ou o agente do CloudWatch para enviar esses dados de logs para o Amazon CloudWatch Logs.
**Importante**
O atendente unificado do CloudWatch substituiu SSM Agent como a ferramenta para enviar dados de log para o Amazon CloudWatch Logs. Não há compatibilidade com o plugin aws:cloudWatch do SSM Agent. Recomendamos usar somente o atendente do CloudWatch unificado nos processos de coleta de logs. Para saber mais, consulte os seguintes tópicos:
[Enviar logs de nós para o CloudWatch Logs unificado (agente do CloudWatch)](#monitoring-cloudwatch-agent)
[Migrar a coleta de logs de nós do Windows Server para o agente do CloudWatch](#monitoring-cloudwatch-agent-migrate)
[Coletar métricas, logs e rastreamentos com o agente do CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) no *Guia do usuário do Amazon CloudWatch*.
Usando o CloudWatch Logs, você pode monitorar dados de log em tempo real, pesquisar e filtrar dados de log por meio da criação de um ou mais filtros de métrica e arquivar e recuperar dados históricos quando necessário. Para obter mais informações sobre o CloudWatch Logs, consulte o *[Guia do usuário do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*
Configurar um agente para enviar dados de log ao Amazon CloudWatch Logs oferece os seguintes benefícios:
+ Armazenamento centralizado de arquivos de log para todos os arquivos de log do SSM Agent.
+ Acesso mais rápido a arquivos para investigar erros.
+ Retenção indefinida de arquivos de log (configurável).
+ Os logs podem ser mantidos e acessados independentemente do status do nó.
+ Acesso a outros recursos do CloudWatch, como métricas e alarmes.
Para obter informações sobre o monitoramento da atividade do Session Manager, consulte [Registrar a atividade de sessão em log](session-manager-auditing.md) e [Habilitar e desabilitar o registro em log de sessão](session-manager-logging.md).
## Migrar a coleta de logs de nós do Windows Server para o agente do CloudWatch
Se estiver usando o SSM Agent em nós do Windows Server compatíveis para enviar arquivos de log do SSM Agent para o Amazon CloudWatch Logs, é possível usar o Systems Manager para migrar do SSM Agent para o agente do CloudWatch como sua ferramenta de coleta de logs, bem como para migrar suas definições de configuração.
O agente do CloudWatch não é compatível com as versões de 32 bits do Windows Server.
Para instâncias do EC2 de 64 bits do Windows Server, você pode executar a migração para o agente do CloudWatch de forma automática ou manual. Para servidores on-premises e máquinas virtuais, o processo deve ser realizado manualmente.
**nota**
Durante o processo de migração, os dados enviados ao CloudWatch podem ser interrompidos ou duplicados. Suas métricas e dados de log serão registrados com precisão novamente no CloudWatch depois que a migração for concluída.
Recomendamos testar a migração em um pequeno número de nós antes de migrar uma frota inteira para o agente do CloudWatch. Após a migração, se preferir realizar a coleta de logs com o SSM Agent, poderá voltar a usá-lo.
**Importante**
Nos casos a seguir, você não poderá migrar para o agente do CloudWatch usando as etapas descritas neste tópico:
A configuração existente para o SSM Agent especifica várias regiões.
A configuração existente para o SSM Agent especifica vários conjuntos de credenciais de acesso/chave secreta.
Nesses casos, será necessário desativar a coleta de logs no SSM Agent e instalar o agente do CloudWatch sem um processo de migração. Para obter mais informações, consulte os seguintes tópicos no *Manual do usuário do Amazon CloudWatch*:
[Instalação do agente do CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html)
[Instação do agente do CloudWatch em servidores no on-premises](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-premise.html)
**Antes de começar**
Antes de iniciar uma migração para o agente do CloudWatch, a fim de fazer a coleta de logs, confira se os nós em que você vai executar a migração cumprem estes requisitos:
+ O sistema operacional é uma versão de 64 bits do Windows Server.
+ SSM AgentO 2.2.93.0 ou posterior está instalado em seu nó.
+ SSM AgentO é configurado para monitoramento do nó.
**Topics**
+ [Migre automaticamente para o agente do CloudWatch](#monitoring-cloudwatch-agent-migrate-auto)
+ [Migrar manualmente para o agente do CloudWatch](#monitoring-cloudwatch-agent-migrate-manual)
### Migre automaticamente para o agente do CloudWatch
Somente nas instâncias do EC2 para Windows Server, você pode usar o console do AWS Systems Manager ou a AWS Command Line Interface (AWS CLI) para migrar automaticamente para o agente do CloudWatch como sua ferramenta de coleta de logs.
**nota**
O AWS Systems Manager é compatível com a migração do SSM Agent para o agente unificado do CloudWatch a fim de coletar logs e métricas somente em versões de 64 bits do Windows. Para obter informações sobre como configurar o agente unificado do CloudWatch em outros sistemas operacionais e para obter informações completas sobre como usar o agente do CloudWatch, consulte [Coletar métricas e logs das instâncias do Amazon EC2 e dos servidores on-premises com o agente do CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) no *[Guia do usuário do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)*.
Você pode usar o agente do CloudWatch em outros sistemas operacionais compatíveis, mas não poderá usar o Systems Manager para executar uma migração de ferramenta.
Após a conclusão da migração, verifique os resultados no CloudWatch para garantir o recebimento das métricas, os logs ou os logs de eventos do Windows que você espera. Se estiver satisfeito com os resultados, poderá, opcionalmente, [Armazenar as configurações do agente do CloudWatch no Parameter Store](#monitoring-cloudwatch-agent-store-config). Se a migração for malsucedida ou os resultados não forem os esperados, você poderá [Reverter para a coleta de logs com o SSM Agent](#monitoring-cloudwatch-agent-roll-back).
**nota**
Se você quiser migrar um arquivo de configuração de origem que inclui uma entrada `{hostname}`, lembre-se de que a entrada `{hostname}` pode alterar o valor do campo após a conclusão da migração. Por exemplo, digamos que a entrada `"LogStream": "{hostname}"` mapeie para um servidor denominado *MyLogServer001*.
```
{
"Id": "CloudWatchIISLogs",
"FullName": "AWS.EC2.Windows.CloudWatch.CloudWatchLogsOutput,AWS.EC2.Windows.CloudWatch",
"Parameters": {
"AccessKey": "",
"SecretKey": "",
"Region": "us-east-1",
"LogGroup": "Production-Windows-IIS",
"LogStream": "{hostname}"
}
}
```
Após a migração, essa entrada mapeará para um domínio, como ip-11-1-1-11.production. ExampleCompany.com. Para manter o valor do nome do host local, especifique `{local_hostname}` em vez de `{hostname}`.
**Para migrar automaticamente para o agente do CloudWatch (console)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Run Command** e **Run command (Executar comando)**.
1. Na lista **Command document (Documento do comando)**, escolha `AmazonCloudWatch-MigrateCloudWatchAgent`.
1. Em **Status**, escolha **Enabled**.
1. Na seção **Targets** (Destinos), escolha os nós gerenciados nos quais você quer executar essa operação, especificando as tags, selecionando as instâncias ou dispositivos de borda manualmente ou especificando um grupo de recursos.
**dica**
Se um nó gerenciado que você espera ver não estiver listado, consulte [Solução de problemas de disponibilidade do nó gerenciado](fleet-manager-troubleshooting-managed-nodes.md) para obter dicas de solução de problemas.
1. Para **Rate control** (Controle de taxa):
+ Em **Concurrency** (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.
**nota**
Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.
+ Em **Error threshold** (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.
1. (Opcional) Em **Output options (Opções de saída)**, para salvar a saída do comando em um arquivo, selecione a caixa **Write command output to an S3 bucket (Gravar saída do comando em um bucket do S3)**. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil de instância (para instâncias do EC2) ou perfil de serviço do IAM (máquinas ativadas para ambientes híbridos) atribuído à instância, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar um perfil de serviço do IAM para um ambiente híbrido](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço do IAM associado ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
1. Na seção **SNS notifications** (Notificações do SNS), se quiser enviar notificações sobre o status da execução do comando, marque a caixa de seleção **Enable SNS notifications** (Habilitar notificações do SNS).
Para obter mais informações sobre a configuração de notificações do Amazon SNS para o Run Command, consulte [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md).
1. Escolha **Executar**.
**Para migrar automaticamente para o agente do CloudWatch (AWS CLI)**
+ Execute o comando a seguir.
```
aws ssm send-command --document-name AmazonCloudWatch-MigrateCloudWatchAgent --targets Key=instanceids,Values=ID1,ID2,ID3
```
*ID1*, *ID2* e *ID3* representam os IDs dos nós que você deseja atualizar, como *i-02573cafcfEXAMPLE*.
### Migrar manualmente para o agente do CloudWatch
Para nós on-premises do Windows Server ou instâncias do EC2 para o Windows Server, siga as etapas a seguir para migrar manualmente a coleta de logs para o agente do Amazon CloudWatch.
**nota**
Se você quiser migrar um arquivo de configuração de origem que inclui uma entrada `{hostname}`, lembre-se de que a entrada `{hostname}` pode alterar o valor do campo após a conclusão da migração. Por exemplo, digamos que a entrada `"LogStream": "{hostname}"` mapeie para um servidor denominado *MyLogServer001*.
```
{
"Id": "CloudWatchIISLogs",
"FullName": "AWS.EC2.Windows.CloudWatch.CloudWatchLogsOutput,AWS.EC2.Windows.CloudWatch",
"Parameters": {
"AccessKey": "",
"SecretKey": "",
"Region": "us-east-1",
"LogGroup": "Production-Windows-IIS",
"LogStream": "{hostname}"
}
}
```
Após a migração, essa entrada mapeará para um domínio, como ip-11-1-1-11.production.ExampleCompany.com. Para manter o valor do nome do host local, especifique `{local_hostname}` em vez de `{hostname}`.
**Primeira: para instalar o agente do CloudWatch (console)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Run Command** e **Run command (Executar comando)**.
1. Na lista **Command document (Documento do comando)**, escolha `AWS-ConfigureAWSPackage`.
1. Em **Action** (Ação), escolha `Install`.
1. Em **Nome**, digite **AmazonCloudWatchAgent**.
1. Em **Version** (Versão), digite **latest**, caso ainda não tenha sido fornecida por padrão.
1. Na seção **Targets** (Destinos), escolha os nós gerenciados nos quais você quer executar essa operação, especificando as tags, selecionando as instâncias ou dispositivos de borda manualmente ou especificando um grupo de recursos.
**dica**
Se um nó gerenciado que você espera ver não estiver listado, consulte [Solução de problemas de disponibilidade do nó gerenciado](fleet-manager-troubleshooting-managed-nodes.md) para obter dicas de solução de problemas.
1. Para **Rate control** (Controle de taxa):
+ Em **Concurrency** (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.
**nota**
Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.
+ Em **Error threshold** (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.
1. (Opcional) Em **Output options (Opções de saída)**, para salvar a saída do comando em um arquivo, selecione a caixa **Write command output to an S3 bucket (Gravar saída do comando em um bucket do S3)**. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil de instância (para instâncias do EC2) ou perfil de serviço do IAM (máquinas ativadas para ambientes híbridos) atribuído à instância, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar um perfil de serviço do IAM para um ambiente híbrido](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço do IAM associado ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
1. Na seção **SNS notifications** (Notificações do SNS), se quiser enviar notificações sobre o status da execução do comando, marque a caixa de seleção **Enable SNS notifications** (Habilitar notificações do SNS).
Para obter mais informações sobre a configuração de notificações do Amazon SNS para o Run Command, consulte [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md).
1. Escolha **Executar**.
**Segunda: Para atualizar o formato JSON de dados de configuração**
+ Para atualizar a formatação JSON das definições de configuração existentes para o agente do CloudWatch, use o **Run Command**, uma ferramenta do AWS Systems Manager, ou faça login diretamente em seu nó com uma conexão RDP para executar os comandos do Windows PowerShell a seguir nesse nó, um de cada vez.
```
cd ${Env:ProgramFiles}\\Amazon\\AmazonCloudWatchAgent
```
```
.\\amazon-cloudwatch-agent-config-wizard.exe --isNonInteractiveWindowsMigration
```
*\$1Env:ProgramFiles\$1* representa o local em que o diretório da Amazon pode ser encontrado, e que contém o agente do CloudWatch, normalmente `C:\Program Files`.
**Terceira: para configurar e iniciar o agente do CloudWatch (console)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Run Command** e **Run command (Executar comando)**.
1. Na lista **Command document (Documento do comando)**, escolha `AWS-RunPowerShellScript`.
1. Em **Commands** (Comandos), insira os dois comandos a seguir.
```
cd ${Env:ProgramFiles}\Amazon\AmazonCloudWatchAgent
```
```
.\amazon-cloudwatch-agent-ctl.ps1 -a fetch-config -m ec2 -c file:config.json -s
```
*\$1Env:ProgramFiles\$1* representa o local em que o diretório da Amazon pode ser encontrado, e que contém o agente do CloudWatch, normalmente `C:\Program Files`.
1. Na seção **Targets** (Destinos), escolha os nós gerenciados nos quais você quer executar essa operação, especificando as tags, selecionando as instâncias ou dispositivos de borda manualmente ou especificando um grupo de recursos.
**dica**
Se um nó gerenciado que você espera ver não estiver listado, consulte [Solução de problemas de disponibilidade do nó gerenciado](fleet-manager-troubleshooting-managed-nodes.md) para obter dicas de solução de problemas.
1. Para **Rate control** (Controle de taxa):
+ Em **Concurrency** (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.
**nota**
Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.
+ Em **Error threshold** (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.
1. (Opcional) Em **Output options (Opções de saída)**, para salvar a saída do comando em um arquivo, selecione a caixa **Write command output to an S3 bucket (Gravar saída do comando em um bucket do S3)**. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil de instância (para instâncias do EC2) ou perfil de serviço do IAM (máquinas ativadas para ambientes híbridos) atribuído à instância, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar um perfil de serviço do IAM para um ambiente híbrido](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço do IAM associado ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
1. Na seção **SNS notifications** (Notificações do SNS), se quiser enviar notificações sobre o status da execução do comando, marque a caixa de seleção **Enable SNS notifications** (Habilitar notificações do SNS).
Para obter mais informações sobre a configuração de notificações do Amazon SNS para o Run Command, consulte [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md).
1. Escolha **Executar**.
**Quatro: para desabilitar a coleta de logs no SSM Agent (console)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Run Command** e **Run command (Executar comando)**.
1. Na lista **Command document (Documento do comando)**, escolha `AWS-ConfigureCloudWatch`.
1. Em **Status**, escolha **Disabled** (Desabilitado).
1. Na seção **Targets** (Destinos), escolha os nós gerenciados nos quais você quer executar essa operação, especificando as tags, selecionando as instâncias ou dispositivos de borda manualmente ou especificando um grupo de recursos.
**dica**
Se um nó gerenciado que você espera ver não estiver listado, consulte [Solução de problemas de disponibilidade do nó gerenciado](fleet-manager-troubleshooting-managed-nodes.md) para obter dicas de solução de problemas.
1. Em **Status**, escolha `Disabled`.
1. Para **Rate control** (Controle de taxa):
+ Em **Concurrency** (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.
**nota**
Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.
+ Em **Error threshold** (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.
1. (Opcional) Em **Output options (Opções de saída)**, para salvar a saída do comando em um arquivo, selecione a caixa **Write command output to an S3 bucket (Gravar saída do comando em um bucket do S3)**. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil de instância (para instâncias do EC2) ou perfil de serviço do IAM (máquinas ativadas para ambientes híbridos) atribuído à instância, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar um perfil de serviço do IAM para um ambiente híbrido](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço do IAM associado ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
1. Na seção **SNS notifications** (Notificações do SNS), se quiser enviar notificações sobre o status da execução do comando, marque a caixa de seleção **Enable SNS notifications** (Habilitar notificações do SNS).
Para obter mais informações sobre a configuração de notificações do Amazon SNS para o Run Command, consulte [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md).
1. Escolha **Executar**.
Após a conclusão dessas etapas, verifique seus logs no CloudWatch para garantir que está recebendo as métricas, os logs, ou os logs de eventos do Windows que você espera. Se estiver satisfeito com os resultados, você poderá, opcionalmente, [Armazenar as configurações do agente do CloudWatch no Parameter Store](#monitoring-cloudwatch-agent-store-config). Se a migração for malsucedida ou os resultados não forem os esperados, você poderá [Reverter para a coleta de logs com o SSM Agent](#monitoring-cloudwatch-agent-roll-back).
## Armazenar as configurações do agente do CloudWatch no Parameter Store
Você pode armazenar o conteúdo de um arquivo de configuração do agente do CloudWatch da Amazon no Parameter Store. Ao manter esses dados de configuração em um parâmetro, vários nós poderão extrair suas definições de configuração desse parâmetro e você não precisará criar ou atualizar manualmente os arquivos de configuração em seus nós. Por exemplo, você pode usar o Run Command para gravar o conteúdo do parâmetro em arquivos de configuração em vários nós ou usar o State Manager, uma ferramenta do AWS Systems Manager, para ajudar a evitar oscilações de configuração no agente do CloudWatch em toda a frota de nós.
Ao executar o assistente de configuração do agente do CloudWatch, poderá optar por permitir que o assistente salve suas definições de configuração como um novo parâmetro no Parameter Store. Para obter informações sobre como executar o assistente de configuração do agente do CloudWatch, consulte [Create the CloudWatch agent configuration file with the wizard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/create-cloudwatch-agent-configuration-file-wizard.html) (Criar o arquivo de configuração do agente do CloudWatch com o assistente) no *Guia do usuário do Amazon CloudWatch*.
Se você tiver executado o assistente, mas não tiver escolhido a opção para salvar as configurações como parâmetro, ou se tiver criado manualmente o arquivo de configuração do agente do CloudWatch, poderá recuperar os dados para salvar como parâmetro em seu nó, neste arquivo a seguir.
```
${Env:ProgramFiles}\Amazon\AmazonCloudWatchAgent\config.json
```
*\$1Env:ProgramFiles\$1* representa o local em que o diretório da Amazon pode ser encontrado, e que contém o agente do CloudWatch, normalmente `C:\Program Files`.
Recomendamos manter um backup do JSON nesse arquivo em um local diferente do nó em si.
Para obter mais informações sobre como criar um parâmetro, consulte [Criar parâmetros do Parameter Store no Systems Manager](sysman-paramstore-su-create.md).
Para obter mais informações sobre o agente do CloudWatch, consulte [Coletar métricas e logs de instâncias do Amazon EC2 e de servidores on-premises com o agente do CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) no *Guia do usuário do Amazon CloudWatch*.
## Reverter para a coleta de logs com o SSM Agent
Se quiser voltar a usar o SSM Agent para coletar logs, execute as etapas a seguir.
**Primeira: Para recuperar dados de configuração do SSM Agent**
1. Nesse nó no qual que você deseja voltar a coletar logs com o SSM Agent, localize o conteúdo do arquivo de configuração do SSM Agent. Esse arquivo JSON geralmente é encontrado no seguinte local:
`${Env:ProgramFiles}\\Amazon\\SSM\\Plugins\\awsCloudWatch\\AWS.EC2.Windows.CloudWatch.json`
*\$1Env:ProgramFiles\$1* representa o local em que o diretório `Amazon` pode ser encontrado, normalmente em `C:\Program Files`.
1. Copie esses dados em um arquivo de texto para uso em uma etapa posterior.
Recomendamos armazenar um backup do JSON em um local diferente do nó em si.
**Dois: Para desinstalar o agente do CloudWatch (console)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Run Command** e **Run command (Executar comando)**.
1. Na lista **Command document (Documento do comando)**, escolha `AWS-ConfigureAWSPackage`.
1. Em **Action (Ação)**, escolha **Uninstall** (Desinstalar).
1. Em **Nome**, digite **AmazonCloudWatchAgent**.
1. Na seção **Targets** (Destinos), escolha os nós gerenciados nos quais você quer executar essa operação, especificando as tags, selecionando as instâncias ou dispositivos de borda manualmente ou especificando um grupo de recursos.
**dica**
Se um nó gerenciado que você espera ver não estiver listado, consulte [Solução de problemas de disponibilidade do nó gerenciado](fleet-manager-troubleshooting-managed-nodes.md) para obter dicas de solução de problemas.
1. Para **Rate control** (Controle de taxa):
+ Em **Concurrency** (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.
**nota**
Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.
+ Em **Error threshold** (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.
1. (Opcional) Em **Output options (Opções de saída)**, para salvar a saída do comando em um arquivo, selecione a caixa **Write command output to an S3 bucket (Gravar saída do comando em um bucket do S3)**. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil de instância (para instâncias do EC2) ou perfil de serviço do IAM (máquinas ativadas para ambientes híbridos) atribuído à instância, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar um perfil de serviço do IAM para um ambiente híbrido](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço do IAM associado ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
1. Na seção **SNS notifications** (Notificações do SNS), se quiser enviar notificações sobre o status da execução do comando, marque a caixa de seleção **Enable SNS notifications** (Habilitar notificações do SNS).
Para obter mais informações sobre a configuração de notificações do Amazon SNS para o Run Command, consulte [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md).
1. Escolha **Executar**.
**Três: Para ativar novamente a coleção de logs no SSM Agent (console)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Run Command** e **Run command (Executar comando)**.
1. Na lista **Command document (Documento do comando)**, escolha `AWS-ConfigureCloudWatch`.
1. Em **Status**, escolha `Enabled`.
1. Em **Properties** (Propriedades), cole o conteúdo dos dados da configuração antiga que você salvou no arquivo de texto.
1. Na seção **Targets** (Destinos), escolha os nós gerenciados nos quais você quer executar essa operação, especificando as tags, selecionando as instâncias ou dispositivos de borda manualmente ou especificando um grupo de recursos.
**dica**
Se um nó gerenciado que você espera ver não estiver listado, consulte [Solução de problemas de disponibilidade do nó gerenciado](fleet-manager-troubleshooting-managed-nodes.md) para obter dicas de solução de problemas.
1. Para **Rate control** (Controle de taxa):
+ Em **Concurrency** (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.
**nota**
Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.
+ Em **Error threshold** (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.
1. (Opcional) Em **Output options (Opções de saída)**, para salvar a saída do comando em um arquivo, selecione a caixa **Write command output to an S3 bucket (Gravar saída do comando em um bucket do S3)**. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil de instância (para instâncias do EC2) ou perfil de serviço do IAM (máquinas ativadas para ambientes híbridos) atribuído à instância, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar um perfil de serviço do IAM para um ambiente híbrido](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço do IAM associado ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
1. Na seção **SNS notifications** (Notificações do SNS), se quiser enviar notificações sobre o status da execução do comando, marque a caixa de seleção **Enable SNS notifications** (Habilitar notificações do SNS).
Para obter mais informações sobre a configuração de notificações do Amazon SNS para o Run Command, consulte [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md).
1. Escolha **Executar**.
# Enviar logs do SSM Agent ao CloudWatch Logs
O AWS Systems Manager Agent (SSM Agent) é um software da Amazon executado em suas instâncias, dispositivos de borda, servidores on-premises e máquinas virtuais (VMs) do EC2 configurados para o Systems Manager. O SSM Agent processa solicitações de serviços do Systems Manager na nuvem e configura sua máquina conforme especificado na solicitação. Para obter mais informações sobre o SSM Agent, consulte [Trabalhar com o SSM Agent](ssm-agent.md).
Além disso, seguindo as etapas abaixo, você pode configurar o SSM Agent para enviar dados de log para o Amazon CloudWatch Logs.
**Antes de começar**
Crie um grupo de logs no CloudWatch Logs. Para obter mais informações, consulte [Conceitos básicos do CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) no *Guia do usuário do Amazon CloudWatch Logs*.
**Para configurar o SSM Agent para enviar logs ao CloudWatch**
1. Faça login em um nó e localize o seguinte arquivo:
**Linux**
Na maioria dos tipos de nó do Linux: `/etc/amazon/ssm/seelog.xml.template`.
No Ubuntu Server 20.04, 18.04 e 16.04 LTS: `/snap/amazon-ssm-agent/current/seelog.xml.template`
**macOS**
`/opt/aws/ssm/seelog.xml.template`
**Windows**
`%ProgramFiles%\Amazon\SSM\seelog.xml.template`
1. Altere o nome do arquivo de `seelog.xml.template` para `seelog.xml`.
**nota**
No Ubuntu Server 20.04, 18.04 e 16.04 LTS, o arquivo `seelog.xml` deve ser criado no diretório `/etc/amazon/ssm/`. Você pode criar esse diretório e arquivo executando os comandos a seguir.
```
sudo mkdir -p /etc/amazon/ssm
```
```
sudo cp -pr /snap/amazon-ssm-agent/current/* /etc/amazon/ssm
```
```
sudo cp -p /etc/amazon/ssm/seelog.xml.template /etc/amazon/ssm/seelog.xml
```
1. Abra o arquivo `seelog.xml` com um editor de texto e localize a seguinte seção.
------
#### [ Linux and macOS ]
```
```
------
#### [ Windows ]
```
```
------
1. Edite o arquivo e adicione um elemento de *nome personalizado* após a tag de fechamento . No exemplo a seguir, o nome personalizado foi especificado como `cloudwatch_receiver`.
------
#### [ Linux and macOS ]
```
```
------
#### [ Windows ]
```
```
------
1. Salve as alterações e, em seguida, reinicie o SSM Agent ou o nó.
1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Log groups (Grupos de logs)** e escolha o nome do grupo de logs.
**dica**
O fluxo de log para dados do arquivo de log do SSM Agent são organizados por ID do nó.
# Monitoramento dos seus eventos de solicitação de alteração
**Mudança de disponibilidade do Change Manager**
O AWS Systems Manager Change Manager não estará mais disponível para novos clientes a partir de 7 de novembro de 2025. Se quiser usar o Change Manager, inscreva-se antes dessa data. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte [mudança de disponibilidade do AWS Systems Manager Change Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html).
Após ativar a integração com o AWS CloudTrail Lake e criar um armazenamento de dados de eventos, você poderá visualizar detalhes auditáveis sobre as solicitações de alteração executadas em sua conta ou organização. Isso inclui detalhes como os seguintes:
+ A identidade do usuário que iniciou a solicitação de alteração
+ As Regiões da AWS onde as alterações foram feitas
+ O endereço IP de origem da solicitação
+ A chave de acesso da AWS usada para a solicitação
+ As ações da API executadas para a solicitação de alteração
+ Os parâmetros da solicitação incluídos para essas ações
+ Os recursos atualizados durante o processo
A seguir há exemplos de detalhes do evento que você pode visualizar para uma solicitação de alteração depois de criar o armazenamento de dados de eventos no AWS CloudTrail Lake.
------
#### [ Details ]
A imagem a seguir mostra as informações de alto nível sobre uma solicitação de alteração disponíveis na guia **Details** (Detalhes). Esses detalhes incluem informações como a hora em que a operação da solicitação de alteração começou, o ID do usuário que iniciou a solicitação de alteração, o Região da AWS afetado e o ID do evento e o ID da solicitação associados à solicitação.
![\[Detalhes de uma solicitação de alteração do CloudTrail Lake.\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/cm-event-details.png)
------
#### [ Event record ]
A imagem a seguir mostra a estrutura do conteúdo JSON fornecido pelo CloudTrail Lake para um evento de solicitação de alteração. Esses dados são fornecidos na guia **Event record** (Registro de eventos) em uma solicitação de alteração.
![\[Registro JSON de uma solicitação de alteração do CloudTrail Lake.\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/cm-event-record.png)
------
**Importante**
Se você estiver usando o Change Manager para uma organização, será possível concluir o procedimento a seguir enquanto estiver conectado à conta de gerenciamento ou à conta de administrador delegado do Change Manager.
No entanto, para usar a conta de administrador delegado para concluir essas etapas, a mesma conta de administrador delegado deve ser especificada tanto para o CloudTrail quanto para o Change Manager.
Ao fazer login na conta de gerenciamento do Change Manager, será possível adicionar ou alterar a conta de administrador delegado do CloudTrail na página [Settings](https://console.aws.amazon.com/cloudtrailv2/home#/settings) (Configurações) do CloudTrail. Isso deve ser feito antes que a conta de administrador delegado possa criar um armazenamento de dados de eventos para uso por toda a organização.
**Para ativar o rastreamento de eventos do CloudTrail Lake do Change Manager**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Change Manager**.
1. Selecione a guia **Requests** (Solicitações).
1. Escolha qualquer solicitação de alteração existente e, em seguida, escolha a guia **Associated events** (Eventos associados).
1. Escolha **Enable CloudTrail Lake** (Habilitar o CloudTrail Lake).
1. Siga as etapas descritas em [Create an event data store for CloudTrail events](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html) no *Guia do usuário do AWS CloudTrail*.
Para garantir que os dados de eventos de suas solicitações de alteração sejam armazenados, faça as seguintes seleções ao concluir o procedimento:
+ Em **Tipo de evento**, mantenha os padrões para **Eventos da AWS** e para **Eventos do CloudTrail** selecionados.
+ Se você estiver usando o Change Manager com uma organização, selecione **Habilitar para todas as contas em minha organização**.
+ Em **Eventos de gerenciamento**, não desmarque a caixa de seleção **Gravar**.
Outras opções que você escolhe ao criar seu armazenamento de dados de eventos não afetam o armazenamento de dados de eventos para suas solicitações de alteração.
# Monitoramento das automações
As *métricas* são um conceito fundamental do Amazon CloudWatch. Uma métrica representa um conjunto de pontos de dados ordenados ao longo do tempo que são publicados no CloudWatch. Considere uma métrica como variável a ser monitorada, e os pontos de dados representando os valores dessa variável ao longo do tempo.
O Automation é uma ferramenta do AWS Systems Manager. O Systems Manager publica métricas sobre o uso do Automation no CloudWatch. Isso permite definir alarmes com base nessas métricas.
**Para exibir métricas do Automation no console do CloudWatch**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Métricas**.
1. Escolha **SSM**.
1. Na guia **Metrics (Métricas)**, escolha **Usage (Uso)** e **By Resource AWS(Por recurso da **).
1. Na caixa de pesquisa perto da lista de métricas, insira **SSM**.
**Para exibir as métricas do Automation usando a AWS CLI**
Abra um prompt de comando e use o comando a seguir.
```
aws cloudwatch list-metrics \
--namespace "AWS/Usage"
```
## Métricas do Automation
O Systems Manager envia as métricas do Automation a seguir ao CloudWatch.
| Métrica | Descrição |
| --- | --- |
| ConcurrentAutomationUsage | O número de automações em execução ao mesmo tempo nas Conta da AWS e Região da AWS atuais. |
| QueuedAutomationUsage | O número de automações atualmente enfileiradas que não foram iniciadas e têm status de Pending. |
Para obter mais informações sobre como trabalhar com as métricas do CloudWatch, consulte os seguintes tópicos no *Manual do usuário do Amazon CloudWatch*:
+ [Métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Metric)
+ [Usar métricas do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Usar alarmes do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
# Monitorar métricas do Run Command com o Amazon CloudWatch
As *métricas* são um conceito fundamental do Amazon CloudWatch. Uma métrica representa um conjunto de pontos de dados ordenados ao longo do tempo que são publicados no CloudWatch. Considere uma métrica como variável a ser monitorada, e os pontos de dados representando os valores dessa variável ao longo do tempo.
O AWS Systems Manager agora publica métricas sobre o status de comandos do Run Command no CloudWatch, permitindo definir alarmes com base nessas métricas. O Run Command é uma ferramenta do AWS Systems Manager. Essas estatísticas são registradas por um período prolongado para que seja possível acessar informações históricas e obter uma perspectiva melhor sobre a taxa de êxito dos comandos executados em sua Conta da AWS.
Os valores de status do terminal de comandos para os quais é possível rastrear métricas incluem `Success`, `Failed` e `Delivery Timed Out`. Por exemplo, para um documento de comando do SSM definido para ser executado a cada hora, será possível configurar um alarme para notificá-lo quando um status `Success` não for relatado para qualquer uma dessas horas. Para obter mais informações sobre valores de status de comando, consulte [Noções básicas sobre status de comando](monitor-commands.md).
**Para exibir métricas no console do CloudWatch**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Métricas**.
1. Na área **Alarms service (Alarmes por serviço da AWS)**, em **Services (Serviços)**, escolha **SSM-Run Command**.
**Para visualizar métricas usando a AWS CLI**
Abra um prompt de comando e use o comando a seguir.
```
aws cloudwatch list-metrics --namespace "AWS/SSM-RunCommand"
```
Para listar todas as métricas disponíveis, use o comando a seguir.
```
aws cloudwatch list-metrics
```
## Métricas e dimensões de Run Command do Systems Manager
O Systems Manager envia métricas de comando do Run Command para o CloudWatch uma vez a cada minuto.
O Systems Manager envia as métricas de comandos a seguir ao CloudWatch.
**nota**
Essas métricas usam `Count` como a unidade, portanto, `Sum` e `SampleCount` são as estatísticas mais úteis.
| Métrica | Descrição |
| --- | --- |
| CommandsDeliveryTimedOut | O número de comandos que têm um status do terminal Delivery Timed Out. |
| CommandsFailed | O número de comandos que têm um status do terminal Failed. |
| CommandsSucceeded | O número de comandos que têm um status do terminal Success. |
Para obter mais informações sobre como trabalhar com as métricas do CloudWatch, consulte os seguintes tópicos no *Manual do usuário do Amazon CloudWatch*:
+ [Métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Metric)
+ [Usar métricas do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Usar alarmes do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
# Registrar em log chamadas de API do AWS Systems Manager com o AWS CloudTrail
O AWS Systems Manager é integrado ao [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), um serviço que fornece um registro das ações realizadas por um usuário, um perfil ou um AWS service (Serviço da AWS). O CloudTrail captura todas as chamadas API para Systems Manager como eventos. As chamadas capturadas incluem as aquelas do Systems Manager console e chamadas de código para operações API da Systems Manager. Ao fazer uso das informações coletadas pelo CloudTrail, é possível determinar a solicitação feita ao Systems Manager, o endereço IP no qual a solicitação foi feita, quando a solicitação foi feita e detalhes adicionais.
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:
+ Se a solicitação foi feita com credenciais de usuário raiz ou credenciais de usuário.
+ Se a solicitação foi feita em nome de um usuário do Centro de Identidade do IAM.
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS service (Serviço da AWS).
Quando a Conta da AWS é criada, o CloudTrail torna-se ativo nela e você tem acesso automático ao **Histórico de eventos** do CloudTrail. O **Histórico de eventos** do CloudTrail fornece um registro visualizável, pesquisável, baixável e imutável dos últimos 90 dias de eventos de gerenciamento gravados em uma Região da AWS. Para obter mais informações, consulte [Trabalhar com histórico de eventos do CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) no *Guia do usuário do AWS CloudTrail*. Não há cobranças do CloudTrail pela visualização do **Histórico de eventos**.
Para obter um registro contínuo de eventos em sua Conta da AWS nos últimos 90 dias, crie uma trilha ou um armazenamento de dados de eventos do [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**Trilhas do CloudTrail**
Uma *trilha* permite que o CloudTrail entregue arquivos de log a um bucket do Amazon S3. As trilhas criadas usando o Console de gerenciamento da AWS são de várias regiões. Só é possível criar uma trilha de região única ou de várias regiões usando a AWS CLI. Criar uma trilha de várias regiões é uma prática recomendada, pois você captura atividades em todas as Regiões da AWS da conta. Ao criar uma trilha de região única, é possível visualizar somente os eventos registrados na Região da AWS da trilha. Para obter mais informações sobre trilhas, consulte [Criar uma trilha para a Conta da AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) e [Criar uma trilha para uma organização](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) no *Guia do usuário do AWS CloudTrail*.
Uma cópia dos eventos de gerenciamento em andamento pode ser entregue no bucket do Amazon S3 sem nenhum custo via CloudTrail com a criação de uma trilha; no entanto, há cobranças de armazenamento do Amazon S3. Para obter mais informações sobre os preços do CloudTrail, consulte [Preços do AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/). Para receber informações sobre a definição de preços do Amazon S3, consulte [Definição de preços do Amazon S3](https://aws.amazon.com/s3/pricing/).
**Armazenamentos de dados de eventos do CloudTrail Lake**
O *CloudTrail Lake* permite executar consultas baseadas em SQL nos eventos. O CloudTrail Lake converte eventos existentes em formato JSON baseado em linhas para o formato [Apache ORC](https://orc.apache.org/). O ORC é um formato colunar de armazenamento otimizado para recuperação rápida de dados. Os eventos são agregados em *armazenamentos de dados de eventos*, que são coleções imutáveis de eventos baseados nos critérios selecionados com a aplicação de [seletores de eventos avançados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). Os seletores que aplicados a um armazenamento de dados de eventos controlam quais eventos persistem e estão disponíveis para consulta. Para obter mais informações sobre o CloudTrail Lake, consulte [Trabalhar com o AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html), no *Guia do usuário do AWS CloudTrail*.
Os armazenamentos de dados de eventos e consultas do CloudTrail Lake incorrem em custos. Ao criar um armazenamento de dados de eventos, você escolhe a [opção de preço](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para saber mais sobre os preços do CloudTrail, consulte [Preços do AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
## Eventos de dados do Systems Manager no CloudTrail
Os [eventos de dados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) fornecem informações sobre as operações de recursos realizadas em um recurso (por exemplo, criar ou abrir um canal de controle). Também são conhecidas como operações de plano de dados. Os eventos de dados costumam ser atividades de alto volume. Por padrão, o CloudTrail não registra eventos de dados em log. O **Histórico de eventos** do CloudTrail não registra eventos de dados.
Há cobranças adicionais para eventos de dados. Para saber mais sobre os preços do CloudTrail, consulte [Preços do AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
É possível registrar em log eventos de dados para os tipos de recurso do Systems Manager usando o console do CloudTrail, a AWS CLI ou operações da API do CloudTrail. Para saber mais sobre como registrar eventos de dados em log, consulte [Registrar eventos de dados com o Console de gerenciamento da AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console) e [Registrar eventos de dados com a AWS Command Line Interface](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI) no *Guia do usuário do AWS CloudTrail*.
A tabela a seguir lista o tipo de recurso do Systems Manager para o qual é possível registrar eventos de dados em log. A coluna **Tipo de evento de dados (console)** mostra o valor a ser escolhido na lista **Tipo de evento de dados** no console do CloudTrail. A coluna do valor **resources.type** mostra o valor de `resources.type` que você especificaria ao configurar seletores de eventos avançados usando a AWS CLI ou as APIs do CloudTrail. A coluna **APIs de dados registradas no CloudTrail** mostra as chamadas de API registradas no CloudTrail para o tipo de recurso.
| Tipo de evento de dados (console) | valor resources.type | APIs de dados registradas no CloudTrail |
| --- | --- | --- |
| Systems Manager | AWS::SSMMessages::ControlChannel | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html) Para obter mais informações, consulte [Ações definidas pelo Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html#amazonmessagegatewayservice-actions-as-permissions) na *Referência de autorização do serviço*. |
| Nó gerenciado pelo Systems Manager | AWS::SSM::ManagedNode | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html)Consulte mais informações sobre a operação `RequestManagedInstanceRoleToken` em [Validar máquinas ativadas para ambiente híbrido usando uma impressão digital do hardware](ssm-agent-technical-details.md#fingerprint-validation) |
É possível configurar seletores de eventos avançados para filtrar os campos `eventName`, `readOnly` e `resources.ARN` para registrar em log somente os eventos que são importantes para você. Para saber mais sobre esses campos, consulte [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html) na *Referência de API do AWS CloudTrail*.
## Eventos de gerenciamento do Systems Manager no CloudTrail
Os [eventos de gerenciamento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) fornecem informações sobre operações de gerenciamento executadas em recursos na Conta da AWS. Elas também são conhecidas como operações de ambiente de gerenciamento. Por padrão, o CloudTrail registra eventos de gerenciamento em logs.
O Amazon CloudFront registra em log todas as operações do ambiente de gerenciamento no CloudTrail como eventos de gerenciamento. As operações de API do Systems Manager estão documentadas na [Referência da API do AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/APIReference/Welcome.html). Por exemplo, as chamadas para as ações `CreateMaintenanceWindows`, `PutInventory`, `SendCommand` e `StartSession` gerarão entradas nos arquivos de log do CloudTrail. Para obter um exemplo de como configurar o CloudTrail para monitorar uma chamada de API do Systems Manager, consulte [Monitorar as atividades da sessão usando o Amazon EventBridge (console)](session-manager-auditing.md#session-manager-auditing-eventbridge-events).
## Exemplos de eventos do Systems Manager
Um evento representa uma única solicitação de qualquer origem e inclui informações sobre a operação solicitada, a data e a hora da operação da API, os parâmetros de solicitação etc. Os arquivos de log do CloudTrail não são um rastreamento de pilha ordenada de chamadas de API públicas, portanto não são exibidos em uma ordem específica.
**Topics**
+ [Exemplos de eventos de gerenciamento](#monitoring-cloudtrail-logs-log-entries-example-mgmt)
+ [Exemplos de dados de eventos](#monitoring-cloudtrail-logs-log-entries-example-data)
### Exemplos de eventos de gerenciamento
**Exemplo 1: `DeleteDocument`**
O exemplo a seguir mostra um evento do CloudTrail que demonstra a operação `DeleteDocument` em um documento chamado `example-Document` na região Leste dos EUA (Ohio) (us-east-2).
```
{
"eventVersion": "1.04",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:203.0.113.11",
"arn": "arn:aws:sts::123456789012:assumed-role/example-role/203.0.113.11",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-03-06T20:19:16Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/example-role",
"accountId": "123456789012",
"userName": "example-role"
}
}
},
"eventTime": "2018-03-06T20:30:12Z",
"eventSource": "ssm.amazonaws.com",
"eventName": "DeleteDocument",
"awsRegion": "us-east-2",
"sourceIPAddress": "203.0.113.11",
"userAgent": "example-user-agent-string",
"requestParameters": {
"name": "example-Document"
},
"responseElements": null,
"requestID": "86168559-75e9-11e4-8cf8-75d18EXAMPLE",
"eventID": "832b82d5-d474-44e8-a51d-093ccEXAMPLE",
"resources": [
{
"ARN": "arn:aws:ssm:us-east-2:123456789012:document/example-Document",
"accountId": "123456789012"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```
**Exemplo 2: `StartConnection`**
O exemplo a seguir mostra um evento do CloudTrail para um usuário que inicia uma conexão RDP usando o Fleet Manager na região Leste dos EUA (Ohio) (us-east-2). A ação da API subjacente é `StartConnection`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
"accountId": "123456789012",
"userName": "exampleRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-12-13T14:57:05Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2021-12-13T16:50:41Z",
"eventSource": "ssm-guiconnect.amazonaws.com",
"eventName": "StartConnection",
"awsRegion": "us-east-2",
"sourceIPAddress": "34.230.45.60",
"userAgent": "example-user-agent-string",
"requestParameters": {
"AuthType": "Credentials",
"Protocol": "RDP",
"ConnectionType": "SessionManager",
"InstanceId": "i-02573cafcfEXAMPLE"
},
"responseElements": {
"ConnectionArn": "arn:aws:ssm-guiconnect:us-east-2:123456789012:connection/fcb810cd-241f-4aae-9ee4-02d59EXAMPLE",
"ConnectionKey": "71f9629f-0f9a-4b35-92f2-2d253EXAMPLE",
"ClientToken": "49af0f92-d637-4d47-9c54-ea51aEXAMPLE",
"requestId": "d466710f-2adf-4e87-9464-055b2EXAMPLE"
},
"requestID": "d466710f-2adf-4e87-9464-055b2EXAMPLE",
"eventID": "fc514f57-ba19-4e8b-9079-c2913EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```
### Exemplos de dados de eventos
**Exemplo 1: `CreateControlChannel`**
O exemplo a seguir mostra um evento do CloudTrail que demonstra a operação `CreateControlChannel`.
```
{
"eventVersion":"1.08",
"userIdentity":{
"type":"AssumedRole",
"principalId":"AKIAI44QH8DHBEXAMPLE",
"arn":"arn:aws:sts::123456789012:assumed-role/exampleRole",
"accountId":"123456789012",
"accessKeyId":"AKIAI44QH8DHBEXAMPLE",
"sessionContext":{
"sessionIssuer":{
"type":"Role",
"principalId":"AKIAI44QH8DHBEXAMPLE",
"arn":"arn:aws:iam::123456789012:role/exampleRole",
"accountId":"123456789012",
"userName":"exampleRole"
},
"attributes":{
"creationDate":"2023-05-04T23:14:50Z",
"mfaAuthenticated":"false"
}
}
},
"eventTime":"2023-05-04T23:53:55Z",
"eventSource":"ssm.amazonaws.com",
"eventName":"CreateControlChannel",
"awsRegion":"us-east-1",
"sourceIPAddress":"192.0.2.0",
"userAgent":"example-agent",
"requestParameters":{
"channelId":"44295c1f-49d2-48b6-b218-96823EXAMPLE",
"messageSchemaVersion":"1.0",
"requestId":"54993150-0e8f-4142-aa54-3438EXAMPLE",
"userAgent":"example-agent"
},
"responseElements":{
"messageSchemaVersion":"1.0",
"tokenValue":"Value hidden due to security reasons.",
"url":"example-url"
},
"requestID":"54993150-0e8f-4142-aa54-3438EXAMPLE",
"eventID":"a48a28de-7996-4ca1-a3a0-a51fEXAMPLE",
"readOnly":false,
"resources":[
{
"accountId":"123456789012",
"type":"AWS::SSMMessages::ControlChannel",
"ARN":"arn:aws:ssmmessages:us-east-1:123456789012:control-channel/44295c1f-49d2-48b6-b218-96823EXAMPLE"
}
],
"eventType":"AwsApiCall",
"managementEvent":false,
"recipientAccountId":"123456789012",
"eventCategory":"Data"
}
```
**Exemplo 2: `RequestManagedInstanceRoleToken`**
O exemplo a seguir mostra um evento do CloudTrail que demonstra a operação `RequestManagedInstanceRoleToken`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "123456789012:aws:ec2-instance:i-02854e4bEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/aws:ec2-instance/i-02854e4bEXAMPLE",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "123456789012:aws:ec2-instance",
"arn": "arn:aws:iam::123456789012:role/aws:ec2-instance",
"accountId": "123456789012",
"userName": "aws:ec2-instance"
},
"attributes": {
"creationDate": "2023-08-27T03:34:46Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2023-08-27T03:37:15Z",
"eventSource": "ssm.amazonaws.com",
"eventName": "RequestManagedInstanceRoleToken",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Apache-HttpClient/UNAVAILABLE (Java/1.8.0_362)",
"requestParameters": {
"fingerprint": "i-02854e4bf85EXAMPLE"
},
"responseElements": null,
"requestID": "2582cced-455b-4189-9b82-7b48EXAMPLE",
"eventID": "7f200508-e547-4c27-982d-4da0EXAMLE",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::SSM::ManagedNode",
"ARN": "arn:aws:ec2:us-east-1:123456789012:instance/i-02854e4bEXAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "123456789012",
"eventCategory": "Data"
}
```
Para obter informações sobre o conteúdo dos registros do CloudTrail, consulte [Conteúdo dos registros do CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) no *Guia do usuário do AWS CloudTrail*.
# Registro de saída de ações do Automation em log com o CloudWatch Logs
O Automation, uma ferramenta do AWS Systems Manager, integra-se ao Amazon CloudWatch Logs. Você pode enviar o resultado das ações do `aws:executeScript` nos runbooks para o grupo de logs especificado. O Systems Manager não cria um grupo de logs ou quaisquer fluxos de log para documentos que não usam ações `aws:executeScript`. Se o documento usar `aws:executeScript`, a saída enviada ao CloudWatch Logs pertence somente a essas ações. Você pode usar a ação `aws:executeScript` armazenada no grupo de logs do CloudWatch Logs para fins de depuração e solução de problemas. Se você escolher um grupo de logs criptografado, a ação `aws:executeScript` também é criptografada. O registro em log de saída de ações `aws:executeScript` é uma configuração no nível da conta.
Para enviar saídas de ação ao CloudWatch Logs para runbooks de propriedade da Amazon, o usuário ou o perfil que executa a automação deve ter permissões para as operações a seguir:
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:PutLogEvents`
Para runbooks de sua propriedade, permissões semelhantes devem ser adicionadas ao perfil de serviço do IAM (ou AssumeRole) utilizado para executar o runbook.
**Para enviar a saída de ação para o CloudWatch Logs (console)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação à esquerda, escolha **Automation** (Automação).
1. Escolha a guia **Preferences (Preferências)** e, em seguida, escolha **Edit (Editar)**.
1. Marque a caixa de seleção ao lado de **Send output to CloudWatch Logs** (Enviar saída ao CloudWatch Logs).
1. (Recomendado) Marque a caixa de seleção ao lado de **Encrypt log data** (Criptografar dados de log). Com essa opção ativada, os dados de log serão criptografados usando a chave de criptografia no lado do servidor especificada para o grupo de logs. Se você não quiser criptografar os dados de log que são enviados ao CloudWatch Logs, desmarque a caixa de seleção. Desmarque a caixa de seleção se a criptografia não for permitida no grupo de logs.
1. Em **CloudWatch Logs**, para especificar o grupo de logs existente do CloudWatch Logs no Conta da AWS, para o qual você quer enviar o resultado da ação, selecione uma das seguintes opções:
+ **Send output to the default log group** (Enviar saída para o grupo de logs padrão): se o grupo de logs padrão não existir (`/aws/ssm/automation/executeScript`), o Automation o criará para você.
+ **Escolha um grupo de logs na lista**: selecione um grupo de logs que já tenha sido criado na sua conta para armazenar resultados práticos.
+ **Insira um nome de grupo de logs na caixa de texto**: insira o nome de um grupo de logs na caixa de texto que já tenha sido criado na conta para armazenar os resultados da ação.
1. Escolha **Salvar**.
**Para enviar a saída de ação para o CloudWatch Logs (linha de comando)**
1. Abra sua ferramenta da linha de comando preferencial e execute o comando a fim de atualizar o destino de saída da ação.
------
#### [ Linux & macOS ]
```
aws ssm update-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination \
--setting-value CloudWatch
```
------
#### [ Windows ]
```
aws ssm update-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination ^
--setting-value CloudWatch
```
------
#### [ PowerShell ]
```
Update-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination" `
-SettingValue "CloudWatch"
```
------
Não haverá saída se o comando for bem-sucedido.
1. Execute o comando a seguir a fim de especificar o grupo de logs para o qual você deseja enviar a saída de ação.
------
#### [ Linux & macOS ]
```
aws ssm update-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name \
--setting-value my-log-group
```
------
#### [ Windows ]
```
aws ssm update-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name ^
--setting-value my-log-group
```
------
#### [ PowerShell ]
```
Update-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name" `
-SettingValue "my-log-group"
```
------
Não haverá saída se o comando for bem-sucedido.
1. Execute o comando a seguir para visualizar as configurações do serviço para as preferências de registro em log de ações do Automation na Conta da AWS e Região da AWS atuais.
------
#### [ Linux & macOS ]
```
aws ssm get-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
```
------
#### [ Windows ]
```
aws ssm get-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
```
------
#### [ PowerShell ]
```
Get-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination"
```
------
O comando retorna informações como as seguintes.
```
{
"ServiceSetting": {
"Status": "Customized",
"LastModifiedDate": 1613758617.036,
"SettingId": "/ssm/automation/customer-script-log-destination",
"LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
"SettingValue": "CloudWatch",
"ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/automation/customer-script-log-destination"
}
}
```
# Configurar o Amazon CloudWatch Logs para Run Command
Quando você envia um comando usando o Run Command, uma ferramenta do AWS Systems Manager, é possível especificar para onde deseja enviar a saída do comando. Por padrão, o Systems Manager retorna apenas os primeiros 24.000 caracteres do resultado do comando. Se quiser visualizar os detalhes completos da saída do comando, você pode especificar um bucket do Amazon Simple Storage Service (Amazon S3). Ou você pode especificar o Amazon CloudWatch Logs. Se você especificar o CloudWatch Logs, o Run Command envia periodicamente todos os logs de erros e saídas de comandos para o CloudWatch Logs. Você pode monitorar os logs de saída quase em tempo real, pesquisar frases, valores ou padrões específicos e criar alarmes com base na pesquisa.
Se você configurou seu nó gerenciado para usar as políticas gerenciadas do AWS Identity and Access Management (IAM) `AmazonSSMManagedInstanceCore` e `CloudWatchAgentServerPolicy`, seu nó não requer configuração adicional para enviar saída ao CloudWatch Logs. Selecione essa opção se estiver enviando comandos do console ou adicione a seção `cloud-watch-output-config` e parâmetro `CloudWatchOutputEnabled`, se estiver usando a AWS Command Line Interface (AWS CLI), o AWS Tools for Windows PowerShell ou uma ação de API. A seção `cloud-watch-output-config` e o parâmetro `CloudWatchOutputEnabled` são descritos em mais detalhes posteriormente neste tópico.
Para obter informações sobre como adicionar políticas a um perfil de instância para instâncias do EC2, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md). Para obter informações sobre como adicionar políticas a um perfil de serviço para servidores on-premises e máquinas virtuais que você planeja usar como nós gerenciados, consulte [Criar o perfil de serviço do IAM obrigatório para o Systems Manager em ambientes híbridos e multinuvem](hybrid-multicloud-service-role.md).
Se você estiver usando uma política personalizada em seus nós, atualize a política em cada nó para permitir que o Systems Manager envie a saída e os logs para o CloudWatch Logs. Adicione os seguintes objetos de política para a sua política personalizada. Para obter mais informações sobre como atualizar uma política do IAM, consulte [Editar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) no *Manual do usuário do IAM*.
```
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect":"Allow",
"Action":[
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource":"arn:aws:logs:*:*:log-group:/aws/ssm/*"
},
```
## Especificar o CloudWatch Logs ao enviar comandos
Para especificar o CloudWatch Logs como a saída quando você enviar um comando a partir do Console de gerenciamento da AWS, escolha **CloudWatch Output** (Saída do CloudWatch) na seção **Output options** (Opções de saída). Opcionalmente, você pode especificar o nome do grupo do CloudWatch Logs para onde você deseja enviar uma saída de comando. Se você não especificar um nome de grupo, o Systems Manager cria automaticamente um grupo de logs para você. O grupo de logs usa o seguinte formato de nomenclatura: .: `/aws/ssm/SystemsManagerDocumentName`
Se você executar comandos usando a AWS CLI, você deve especificar a seção `cloud-watch-output-config` no seu comando. Esta seção permite que você especifique o parâmetro `CloudWatchOutputEnabled` e, opcionalmente, o parâmetro `CloudWatchLogGroupName`. Aqui está um exemplo.
------
#### [ Linux & macOS ]
```
aws ssm send-command \
--instance-ids "instance ID" \
--document-name "AWS-RunShellScript" \
--parameters "commands=echo helloWorld" \
--cloud-watch-output-config "CloudWatchOutputEnabled=true,CloudWatchLogGroupName=log group name"
```
------
#### [ Windows ]
```
aws ssm send-command ^
--document-name "AWS-RunPowerShellScript" ^
--parameters commands=["echo helloWorld"] ^
--targets "Key=instanceids,Values=an instance ID” ^
--cloud-watch-output-config '{"CloudWatchLogGroupName":"log group name","CloudWatchOutputEnabled":true}'
```
------
## Visualizar a saída de comandos no CloudWatch Logs
Assim que o comando começar a ser executado, o Systems Manager enviará o resultado para o CloudWatch Logs praticamente em tempo real. A saída no CloudWatch Logs usa o seguinte formato:
`CommandID/InstanceID/PluginID/stdout`
`CommandID/InstanceID/PluginID/stderr`
O resultado da execução é carregado a cada 30 segundos ou quando o buffer exceder 200 KB, o que acontecer primeiro.
**nota**
Fluxos de log são criados somente quando os dados de saída são disponibilizados. Por exemplo, se não houver dados de erro para uma execução, o stream stderr não é criado.
Veja a seguir um exemplo de saída do comando como ela é exibida no CloudWatch Logs.
```
Group - /aws/ssm/AWS-RunShellScript
Streams –
1234-567-8910/i-abcd-efg-hijk/AWS-RunPowerShellScript/stdout
24/1234-567-8910/i-abcd-efg-hijk/AWS-RunPowerShellScript/stderr
```
# Monitorar eventos do Systems Manager com o Amazon EventBridge
Amazon EventBridge: é um serviço de barramento de eventos sem servidor que permite conectar as aplicações a dados de diversas fontes. O EventBridge fornece um fluxo de dados em tempo real de suas próprias aplicações, de aplicações de software como serviço (SaaS) e de Serviços da AWS, roteando esses dados para destinos como o AWS Lambda. É possível configurar regras de roteamento que determinam o destino dos dados para criar arquiteturas de aplicações que reagem em tempo real a todas as fontes de dados. O EventBridge permite que você crie arquiteturas orientadas a eventos, que são vagamente acopladas e distribuídas.
Anteriormente, o EventBridge era chamado de Amazon CloudWatch Events. O EventBridge inclui novos recursos que permitem que você receba eventos de parceiros de SaaS e suas próprias aplicações. Os usuários do CloudWatch Events existentes do podem acessar o barramento, as regras e os eventos padrão existentes no novo console do EventBridge e no console do CloudWatch Events. O EventBridge usa a mesma API do CloudWatch Events, portanto, todo o uso existente da API do CloudWatch Events permanece o mesmo.
O EventBridge pode adicionar eventos de dezenas de Serviços da AWS às suas regras e destinos de mais de 20 Serviços da AWS.
O EventBridge fornece suporte para eventos do AWS Systems Manager e destinos do Systems Manager.
**Tipos de evento do Systems Manager compatíveis**
Entre os muitos tipos de eventos do Systems Manager que o EventBridge pode detectar estão:
+ Uma atualização do status da solicitação de acesso a nós just-in-time para aprovações manuais.
+ Uma solicitação de acesso a nós just-in-time que falhou.
+ Uma janela de manutenção sendo desligada.
+ Um fluxo de trabalho do Automation concluído com êxito. O Automation é uma ferramenta do AWS Systems Manager.
+ Um nó gerenciado que não está em conformidade com os patches.
+ O valor de um parâmetro sendo atualizado.
O EventBridge oferece suporte a eventos das seguintes ferramentas do AWS Systems Manager:
+ Acesso a nós just-in-time (Os eventos são emitidos com base no melhor esforço.)
+ Automation (Eventos são emitidos com base no melhor esforço).
+ Change Calendar (Eventos são emitidos com base no melhor esforço).
+ Conformidade
+ Inventário (Eventos são emitidos com base no melhor esforço).
+ Maintenance Windows (Eventos são emitidos com base no melhor esforço).
+ Parameter Store (Eventos são emitidos com base no melhor esforço).
+ Run Command (Eventos são emitidos com base no melhor esforço).
+ State Manager (Eventos são emitidos com base no melhor esforço).
Para obter detalhes completos sobre os tipos de evento do Systems Manager suportados, consulte [Referência: padrões e tipos de eventos do Amazon EventBridge para o Systems Manager](reference-eventbridge-events.md) e [Exemplos de eventos do Amazon EventBridge para Systems Manager](monitoring-systems-manager-event-examples.md).
**Tipos de destino do Systems Manager compatíveis**
O EventBridge oferece suporte às seguintes três ferramentas do Systems Manager como destinos de uma regra de evento:
+ Executar um fluxo de trabalho do Automation
+ Executar um documento de comando do Run Command (Os eventos são emitidos com base no melhor esforço).
+ Criar um OpsCenter OpsItem
Para obter sugestões de como usar esses destinos, consulte [Cenários de exemplo: destinos do Systems Manager em regras do Amazon EventBridge](monitoring-systems-manager-targets.md).
Para obter mais informações sobre o EventBridge e configurar regras, consulte [Conceitos básicos do Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html) no *Guia do usuário do Amazon EventBridge*. Para obter informações completas sobre como trabalhar com o EventBridge, consulte o [https://docs.aws.amazon.com/eventbridge/latest/userguide/](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
**Topics**
+ [Configurar o EventBridge para eventos do Systems Manager](monitoring-systems-manager-events.md)
+ [Exemplos de eventos do Amazon EventBridge para Systems Manager](monitoring-systems-manager-event-examples.md)
+ [Cenários de exemplo: destinos do Systems Manager em regras do Amazon EventBridge](monitoring-systems-manager-targets.md)
# Configurar o EventBridge para eventos do Systems Manager
Você pode usar o Amazon EventBridge para executar um evento de destino quando o status de AWS Systems Manager compatíveis for alterado, o estado mudar ou outras condições ocorrem. Você pode criar uma regra que será executada sempre que houver uma transição de estado ou status, ou quando houver uma transição para um ou mais estados que sejam de interesse.
O procedimento a seguir fornece etapas gerais para criar uma regra do EventBridge que se envolve quando um evento especificado é emitido pelo Systems Manager. Para obter uma lista de procedimentos neste manual do usuário que aborda cenários específicos, consulte **Mais informações**, no final deste tópico.
**nota**
Quando um serviço da Conta da AWS emite um evento, ele sempre vai para o barramento de eventos padrão da sua conta. Para escrever uma regra que responde a eventos de Serviços da AWS na sua conta, associe-a ao barramento de eventos padrão. Você pode criar uma regra em um barramento de eventos personalizado que procura eventos de Serviços da AWS, mas essa regra será acionada somente quando você receber esse evento de outra conta por meio da entrega de eventos entre contas. Para obter mais informações, consulte [Enviar e receber eventos do Amazon EventBridge entre Contas da AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html) no *Guia do usuário do Amazon EventBridge*.
**Para configurar o EventBridge para eventos do Systems Manager**
1. Abra o console do Amazon EventBridge em [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. No painel de navegação, escolha **Regras**.
1. Escolha **Create rule**.
1. Insira um nome e uma descrição para a regra.
Uma regra não pode ter o mesmo nome que outra regra na mesma Região da AWS e no mesmo barramento de eventos.
1. Em **Barramento de eventos**, selecione o barramento de eventos que você deseja associar a essa regra. Se você quiser que essa regra responda a eventos correspondentes provenientes da sua Conta da AWS, selecione **default** (padrão). Quando um AWS service (Serviço da AWS) na sua conta emite um evento, ele sempre vai para o barramento de eventos padrão da sua conta.
1. Em **Rule type**, escolha **Rule with an event pattern**.
1. Escolha **Próximo**.
1. Em **Event source**, escolha **Eventos da AWS ou eventos de parceiro do EventBridge**.
1. Na seção **Event patter** (Padrão de evento), selecione **Event pattern form** (Formulário de padrão de evento).
1. Em **Fonte do evento**, selecione **Serviços da AWS**.
1. Em **Serviço da AWS**, escolha **Systems Manager**.
1. Em **Event type** (Tipo de evento), siga um destes procedimentos:
+ Escolha **All Events** (Todos os eventos).
Se você selecionar **All Events** (Todos os eventos), todos os eventos emitidos pelo Systems Manager corresponderão à regra. Observe que essa opção pode resultar em muitas ações direcionadas ao evento.
+ Selecione o tipo de evento do Systems Manager a ser usado para essa regra. O EventBridge oferece suporte a eventos das seguintes ferramentas do AWS Systems Manager:
+ Automação
+ Change Calendar
+ Compliance
+ Inventário
+ Maintenance Windows
+ Parameter Store
+ Run Command
+ State Manager
**nota**
Para ações do Systems Manager, que não sejam compatíveis com o EventBridge, escolha uma chamada de API da AWS por meio do CloudTrail para criar uma regra de evento baseada em uma chamada de API, que é registrada pelo CloudTrail. Para ver um exemplo, consulte [Monitorar as atividades da sessão usando o Amazon EventBridge (console)](session-manager-auditing.md#session-manager-auditing-eventbridge-events).
1. (Opcional) Para tornar a regra mais específica, adicione valores de filtros. Por exemplo, se você escolheu **State Manager** e deseja limitar a regra ao estado de uma instância única gerenciada que é direcionada por uma associação, para **Specific type(s)** (Tipos específicos), escolha **EC2 State Manager Instance Association State Change** (Alteração de estado da associação de instância do EC2 State Manager).
Para obter detalhes completos sobre os tipos de detalhes compatíveis, consulte [Referência: padrões e tipos de eventos do Amazon EventBridge para o Systems Manager](reference-eventbridge-events.md).
Alguns tipos de detalhes têm outras opções compatíveis, como status. As opções disponíveis dependem da ferramenta que você selecionou.
1. Escolha **Próximo**.
1. Em **Target types** (Tipos de destinos), escolha **AWS service** (Serviço da ).
1. Em **Select a target** (Selecione um destino), escolha um destino, como um tópico do Amazon SNS ou uma função do AWS Lambda. O destino é acionado quando é recebido um evento que corresponde ao padrão de evento definido na regra.
1. Para muitos tipos de destino, o Eventbridge precisa de permissões para enviar eventos ao destino. Nesses casos, o Eventbridge pode criar a função do AWS Identity and Access Management (IAM) necessária para que sua regra seja executada.
+ Para criar um perfil do IAM automaticamente, escolha **Criar novo perfil para este recurso específico**.
+ Para usar um perfil do IAM criado anteriormente, escolha **Usar função existente**
1. (Opcional) Selecione **Adicionar outro destino** para adicionar outro destino a essa regra.
1. Escolha **Próximo**.
1. (Opcional) Insira uma ou mais tags para a regra. Para mais informações, consulte [Tags Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) em *Guia de Usuário Amazon EventBridge*.
1. Escolha **Próximo**.
1. Analise os detalhes da regra e selecione **Criar regra**.
**Mais informações**
+ [Criar um evento do EventBridge que use um runbook (console)](running-automations-event-bridge.md#automation-cwe-target-console)
+ [Transferência de dados para o Automation usando transformadores de entrada](automation-tutorial-eventbridge-input-transformers.md)
+ [Corrija problemas de conformidade usando o EventBridge](compliance-fixing.md)
+ [Visualizar ações de exclusão de inventário no EventBridge](inventory-custom.md#delete-custom-inventory-cwe)
+ [Configurar regras do EventBridge para criar OpsItems](OpsCenter-automatically-create-OpsItems-2.md)
+ [Configurar regras do EventBridge para parâmetros e políticas de parâmetros](sysman-paramstore-cwe.md#cwe-parameter-changes)
# Exemplos de eventos do Amazon EventBridge para Systems Manager
Veja a seguir exemplos, no formato JSON, de eventos EventBridge com suporte para o AWS Systems Manager.
**Topics**
+ [AWS Systems ManagerEventos do Automation do](#SSM-Automation-event-types)
+ [AWS Systems ManagerEventosChange Calendar](#SSM-Change-Management-event-types)
+ [AWS Systems ManagerEventosChange Manager](#SSM-Change-Manager-event-types)
+ [AWS Systems ManagerEventos do Compliance do](#SSM-Configuration-Compliance-event-types)
+ [AWS Systems ManagerEventosMaintenance Windows](#EC2_maintenance_windows_event_types)
+ [AWS Systems ManagerEventosParameter Store](#SSM-Parameter-Store-event-types)
+ [AWS Systems ManagerEventosOpsCenter](#SSM-OpsCenter-event-types)
+ [AWS Systems ManagerEventosRun Command](#SSM-Run-Command-event-types)
+ [AWS Systems ManagerEventosState Manager](#SSM-State-Manager-event-types)
## AWS Systems ManagerEventos do Automation do
**Notificação de alteração do status da etapa de automação**
```
{
"version": "0",
"id": "eeca120b-a321-433e-9635-dab369006a6b",
"detail-type": "EC2 Automation Step Status-change Notification",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-11-29T19:43:35Z",
"region": "us-east-1",
"resources": ["arn:aws:ssm:us-east-2:123456789012:automation-execution/333ba70b-2333-48db-b17e-a5e69c6f4d1c",
"arn:aws:ssm:us-east-2:123456789012:automation-definition/runcommand1:1"],
"detail": {
"ExecutionId": "333ba70b-2333-48db-b17e-a5e69c6f4d1c",
"Definition": "runcommand1",
"DefinitionVersion": 1.0,
"Status": "Success",
"EndTime": "Nov 29, 2024 7:43:25 PM",
"StartTime": "Nov 29, 2024 7:43:23 PM",
"Time": 2630.0,
"StepName": "runFixedCmds",
"Action": "aws:runCommand"
}
}
```
**Notificação de alteração de status de execução de automação**
```
{
"version": "0",
"id": "d290ece9-1088-4383-9df6-cd5b4ac42b99",
"detail-type": "EC2 Automation Execution Status-change Notification",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-11-29T19:43:35Z",
"region": "us-east-2",
"resources": ["arn:aws:ssm:us-east-2:123456789012:automation-execution/333ba70b-2333-48db-b17e-a5e69c6f4d1c",
"arn:aws:ssm:us-east-2:123456789012:automation-definition/runcommand1:1"],
"detail": {
"ExecutionId": "333ba70b-2333-48db-b17e-a5e69c6f4d1c",
"Definition": "runcommand1",
"DefinitionVersion": 1.0,
"Status": "Success",
"StartTime": "Nov 29, 2024 7:43:20 PM",
"EndTime": "Nov 29, 2024 7:43:26 PM",
"Time": 5753.0,
"ExecutedBy": "arn:aws:iam::123456789012:user/userName"
}
}
```
## AWS Systems ManagerEventosChange Calendar
Use as informações deste tópico para planejar e entender o comportamento dos eventos do EventBridge para o AWS Systems Manager Change Calendar.
**nota**
No momento, não são permitidas alterações de estado para calendários compartilhados de outras Contas da AWS.
### Integração do Change Calendar com o Amazon EventBridge
O AWS Systems Manager Change Calendar se integra ao Amazon EventBridge para notificar você sobre mudanças no estado do calendário. Esteja ciente dos seguintes comportamentos relacionados à arquitetura de agendamento subjacente:
Tempo e confiabilidade dos eventos
+ O EventBridge entrega notificações com base no melhor esforço possível, com uma tolerância de programação de até 15 minutos.
+ Os eventos de mudança de estado refletem as transições gerais do status do calendário, e não eventos individuais do calendário.
+ Quando vários eventos do calendário ocorrem simultaneamente, o EventBridge gera somente um evento por mudança real de estado do calendário.
+ O EventBridge aciona eventos somente quando o estado geral do calendário muda (por exemplo, de FECHADO para ABERTO), e não para eventos individuais do calendário que não resultam em uma mudança de estado.
+ Eventos consultivos que não modificam o estado do calendário não acionam as notificações do EventBridge.
Considerações sobre modificações e tempo dos eventos
+ Se você modificar os eventos do calendário em até 15 minutos do horário de início ou término programado, o EventBridge poderá gerar notificações duplicadas ou notificações perdidas.
+ Esse comportamento ocorre porque o sistema de programação pode não ter tempo suficiente para atualizar ou cancelar adequadamente as notificações programadas anteriormente.
+ Para eventos recorrentes, esse comportamento geralmente afeta somente a primeira ocorrência após a modificação.
Eventos adjacentes e sobrepostos
+ Quando os eventos do calendário são programados com 5 minutos de diferença um do outro, os eventos de transição de estado podem ou não ocorrer, dependendo da mudança de estado real.
+ A criação de eventos sobrepostos em determinadas ordens pode gerar eventos adicionais do EventBridge mesmo quando nenhuma mudança de estado real ocorre.
+ Para garantir um comportamento previsível, evite criar ou modificar eventos do calendário próximos aos horários de execução.
Práticas recomendadas
+ Crie suas regras do EventBridge e a automação downstream para lidar com possíveis eventos duplicados.
+ Implemente a idempotência em seus fluxos de trabalho de automação para evitar problemas causados por notificações duplicadas.
+ Reserve antecedência suficiente (pelo menos 15 minutos) ao criar ou modificar eventos do calendário.
+ Teste suas integrações do EventBridge minuciosamente com os padrões de eventos do calendário específico.
**Calendário ABERTO**
```
{
"version": "0",
"id": "47a3f03a-f30d-1011-ac9a-du3bdEXAMPLE",
"detail-type": "Calendar State Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-09-19T18:00:07Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:document/MyCalendar"
],
"detail": {
"state": "OPEN",
"atTime": "2024-09-19T18:00:07Z",
"nextTransitionTime": "2024-10-11T18:00:07Z"
}
}
```
**Calendário FECHADO**
```
{
"version": "0",
"id": "f30df03a-1011-ac9a-47a3-f761eEXAMPLE",
"detail-type": "Calendar State Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-09-17T21:40:02Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:document/MyCalendar"
],
"detail": {
"state": "CLOSED",
"atTime": "2024-08-17T21:40:00Z",
"nextTransitionTime": "2024-09-19T18:00:07Z"
}
}
```
## AWS Systems ManagerEventosChange Manager
**Notificação de atualização do status da solicitação de alteração: exemplo 1**
```
{
"version": "0",
"id": "feab80c1-a8ff-c721-b8b1-96ce70939696",
"detail-type": "Change Request Status Update",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-10-24T10:51:52Z",
"region": "us-east-1",
"resources": [
"arn:aws:ssm:us-west-2:123456789012:opsitem/oi-12345abcdef",
"arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1"
],
"detail": {
"change-request-id": "d0585556-80f6-4522-8dad-dada6d45b67d",
"change-request-title": "A change request title",
"ops-item-id": "oi-12345abcdef",
"ops-item-created-by": "arn:aws:iam::123456789012:user/JohnDoe",
"ops-item-created-time": "2024-10-24T10:50:33.180334Z",
"ops-item-modified-by": "arn:aws:iam::123456789012:user/JohnDoe",
"ops-item-modified-time": "2024-10-24T10:50:33.180340Z",
"ops-item-status": "InProgress",
"change-template-document-name": "MyChangeTemplate",
"runbook-document-arn": "arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1",
"runbook-document-version": "1",
"auto-approve": true,
"approvers": [
"arn:aws:iam::123456789012:user/JaneDoe"
]
}
}
```
**Notificação de atualização do status da solicitação de alteração: exemplo 2**
```
{
"version": "0",
"id": "25ce6b03-2e4e-1a2b-2a8f-6c9de8d278d2",
"detail-type": "Change Request Status Update",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-10-24T10:51:52Z",
"region": "us-east-1",
"resources": [
"arn:aws:ssm:us-west-2:123456789012:opsitem/oi-abcdef12345",
"arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1"
],
"detail": {
"change-request-id": "d0585556-80f6-4522-8dad-dada6d45b67d",
"change-request-title": "A change request title",
"ops-item-id": "oi-abcdef12345",
"ops-item-created-by": "arn:aws:iam::123456789012:user/JohnDoe",
"ops-item-created-time": "2024-10-24T10:50:33.180334Z",
"ops-item-modified-by": "arn:aws:iam::123456789012:user/JohnDoe",
"ops-item-modified-time": "2024-10-24T10:50:33.997163Z",
"ops-item-status": "Rejected",
"change-template-document-name": "MyChangeTemplate",
"runbook-document-arn": "arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1",
"runbook-document-version": "1",
"auto-approve": true,
"approvers": [
"arn:aws:iam::123456789012:user/JaneDoe"
]
}
}
```
## AWS Systems ManagerEventos do Compliance do
Veja a seguir exemplos dos eventos do Compliance do AWS Systems Manager.
**Conformidade de associação**
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "Configuration Compliance State Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-07-17T19:03:26Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
],
"detail": {
"last-runtime": "2024-01-01T10:10:10Z",
"compliance-status": "compliant",
"resource-type": "managed-instance",
"resource-id": "i-01234567890abcdef",
"compliance-type": "Association"
}
}
```
**Não conformidade de associação**
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "Configuration Compliance State Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-07-17T19:02:31Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
],
"detail": {
"last-runtime": "2024-01-01T10:10:10Z",
"compliance-status": "non_compliant",
"resource-type": "managed-instance",
"resource-id": "i-01234567890abcdef",
"compliance-type": "Association"
}
}
```
**Conformidade de patch**
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "Configuration Compliance State Change",
"source": "aws.123456789012",
"account": "123456789012",
"time": "2024-07-17T19:03:26Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
],
"detail": {
"resource-type": "managed-instance",
"resource-id": "i-01234567890abcdef",
"compliance-status": "compliant",
"compliance-type": "Patch",
"patch-baseline-id": "PB789",
"severity": "critical"
}
}
```
**Não conformidade de patch**
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "Configuration Compliance State Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-07-17T19:02:31Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
],
"detail": {
"resource-type": "managed-instance",
"resource-id": "i-01234567890abcdef",
"compliance-status": "non_compliant",
"compliance-type": "Patch",
"patch-baseline-id": "PB789",
"severity": "critical"
}
}
```
## AWS Systems ManagerEventosMaintenance Windows
Veja a seguir exemplos dos eventos do para o Systems Manager Maintenance Windows.
**Registrar um destino**
Os valores de status válidos incluem `REGISTERED` e `DEREGISTERED`.
```
{
"version":"0",
"id":"01234567-0123-0123-0123-0123456789ab",
"detail-type":"Maintenance Window Target Registration Notification",
"source":"aws.ssm",
"account":"123456789012",
"time":"2024-11-16T00:58:37Z",
"region":"us-east-2",
"resources":[
"arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0ed7251d3fcf6e0c2",
"arn:aws:ssm:us-east-2:123456789012:windowtarget/e7265f13-3cc5-4f2f-97a9-7d3ca86c32a6"
],
"detail":{
"window-target-id":"e7265f13-3cc5-4f2f-97a9-7d3ca86c32a6",
"window-id":"mw-0ed7251d3fcf6e0c2",
"status":"REGISTERED"
}
}
```
**Tipo de execução da janela**
Confira os valores de status válidos:
+ `CANCELLED`
+ `CANCELLING`
+ `FAILED`
+ `IN_PROGRESS`
+ `PENDING`
+ `SKIPPED_OVERLAPPING`
+ `SUCCESS TIMED_OUT`
```
{
"version":"0",
"id":"01234567-0123-0123-0123-0123456789ab",
"detail-type":"Maintenance Window Execution State-change Notification",
"source":"aws.ssm",
"account":"123456789012",
"time":"2025-06-02T14:52:18Z",
"region":"us-east-2",
"resources":[
"arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
],
"detail":{
"start-time":"2025-06-02T14:48:28.039273Z",
"end-time":"2025-06-02T14:52:18.083773Z",
"window-id":"mw-0ed7251d3fcf6e0c2",
"window-execution-id":"14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE",
"status":"SUCCESS"
}
}
```
**Tipo de execução de tarefa**
Os valores de status válidos incluem `IN_PROGRESS`, `SUCCESS`, `FAILED` e `TIMED_OUT`.
```
{
"version":"0",
"id":"01234567-0123-0123-0123-0123456789ab",
"detail-type":"Maintenance Window Task Execution State-change Notification",
"source":"aws.ssm",
"account":"123456789012",
"time":"2025-06-02T14:52:18Z",
"region":"us-east-2",
"resources":[
"arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
],
"detail":{
"start-time":"2025-06-02T14:48:28.039273Z",
"task-execution-id":"6417e808-7f35-4d1a-843f-123456789012",
"end-time":"2025-06-02T14:52:18.083773Z",
"window-id":"mw-0ed7251d3fcf6e0c2",
"window-execution-id":"14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE",
"status":"SUCCESS"
}
}
```
**Destino de tarefa processada**
Os valores de status válidos incluem `IN_PROGRESS`, `SUCCESS`, `FAILED` e `TIMED_OUT`.
```
{
"version":"0",
"id":"01234567-0123-0123-0123-0123456789ab",
"detail-type":"Maintenance Window Task Target Invocation State-change Notification",
"source":"aws.ssm",
"account":"123456789012",
"time":"2025-06-02T14:52:18Z",
"region":"us-east-2",
"resources":[
"arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-123456789012345678"
],
"detail":{
"start-time":"2025-06-02T14:48:28.039273Z",
"end-time":"2025-06-02T14:52:18.083773Z",
"window-id":"mw-0ed7251d3fcf6e0c2",
"window-execution-id":"791b72e0-f0da-4021-8b35-f95dfEXAMPLE",
"task-execution-id":"c9b05aba-197f-4d8d-be34-e73fbEXAMPLE",
"window-target-id":"e32eecb2-646c-4f4b-8ed1-205fbEXAMPLE",
"status":"SUCCESS",
"owner-information":"Owner"
}
}
```
**Alteração do estado da janela**
Os valores de status válidos incluem `ENABLED` e `DISABLED`.
```
{
"version":"0",
"id":"01234567-0123-0123-0123-0123456789ab",
"detail-type":"Maintenance Window State-change Notification",
"source":"aws.ssm",
"account":"123456789012",
"time":"2024-11-16T00:58:37Z",
"region":"us-east-2",
"resources":[
"arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
],
"detail":{
"window-id":"mw-0c50858d01EXAMPLE",
"status":"DISABLED"
}
}
```
## AWS Systems ManagerEventosParameter Store
Veja a seguir exemplos dos eventos do para o Systems Manager Parameter Store.
**Criar parâmetro**
```
{
"version": "0",
"id": "6a7e4feb-b491-4cf7-a9f1-bf3703497718",
"detail-type": "Parameter Store Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-05-22T16:43:48Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:parameter/MyExampleParameter"
],
"detail": {
"operation": "Create",
"name": "MyExampleParameter",
"type": "String",
"description": "Sample Parameter"
}
}
```
**Atualizar parâmetro**
```
{
"version": "0",
"id": "9547ef2d-3b7e-4057-b6cb-5fdf09ee7c8f",
"detail-type": "Parameter Store Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-05-22T16:44:48Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:parameter/MyExampleParameter"
],
"detail": {
"operation": "Update",
"name": "MyExampleParameter",
"type": "String",
"description": "Sample Parameter"
}
}
```
**Excluir parâmetro**
```
{
"version": "0",
"id": "80e9b391-6a9b-413c-839a-453b528053af",
"detail-type": "Parameter Store Change",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-05-22T16:45:48Z",
"region": "us-east-2",
"resources": [
"arn:aws:ssm:us-east-2:123456789012:parameter/MyExampleParameter"
],
"detail": {
"operation": "Delete",
"name": "MyExampleParameter",
"type": "String",
"description": "Sample Parameter"
}
}
```
## AWS Systems ManagerEventosOpsCenter
**Criar notificações do OpsCenter OpsItem**
```
{
"version": "0",
"id": "aae66adc-7aac-f0c0-7854-7691e8c079b8",
"detail-type": "OpsItem Create",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-10-19T02:48:11Z",
"region": "us-east-1",
"resources": [
"arn:aws:ssm:us-west-2:123456789012:opsitem/oi-123456abcdef"
],
"detail": {
"created-by": "arn:aws:iam::123456789012:user/JohnDoe",
"created-time": "2024-10-19T02:46:53.629361Z",
"source": "aws.ssm",
"status": "Open",
"ops-item-id": "oi-123456abcdef",
"title": "An issue title",
"ops-item-type": "/aws/issue",
"description": "A long description may appear here"
}
}
```
**Atualizar notificação do OpsCenter OpsItem**
```
{
"version": "0",
"id": "2fb5b168-b725-41dd-a890-29311200089c",
"detail-type": "OpsItem Update",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-10-19T02:48:11Z",
"region": "us-east-1",
"resources": [
"arn:aws:ssm:us-west-2:123456789012:opsitem/oi-123456abcdef"
],
"detail": {
"created-by": "arn:aws:iam::123456789012:user/JohnDoe",
"created-time": "2024-10-19T02:46:54.049271Z",
"modified-by": "arn:aws:iam::123456789012:user/JohnDoe",
"modified-time": "2024-10-19T02:46:54.337354Z",
"source": "aws.ssm",
"status": "Open",
"ops-item-id": "oi-123456abcdef",
"title": "An issue title",
"ops-item-type": "/aws/issue",
"description": "A long description may appear here"
}
}
```
## AWS Systems ManagerEventosRun Command
**Run Command Notificação de alteração de status**
```
{
"version": "0",
"id": "51c0891d-0e34-45b1-83d6-95db273d1602",
"detail-type": "EC2 Command Status-change Notification",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-07-10T21:51:32Z",
"region": "us-east-2",
"resources": ["arn:aws:ec2:us-east-2:123456789012:instance/i-02573cafcfEXAMPLE"],
"detail": {
"command-id": "e8d3c0e4-71f7-4491-898f-c9b35bee5f3b",
"document-name": "AWS-RunPowerShellScript",
"expire-after": "2024-07-14T22:01:30.049Z",
"parameters": {
"executionTimeout": ["3600"],
"commands": ["date"]
},
"requested-date-time": "2024-07-10T21:51:30.049Z",
"status": "Success"
}
}
```
**Run Command Notificação de alteração de status de invocação do**
```
{
"version": "0",
"id": "4780e1b8-f56b-4de5-95f2-95dbEXAMPLE",
"detail-type": "EC2 Command Invocation Status-change Notification",
"source": "aws.ssm",
"account": "123456789012",
"time": "2024-07-10T21:51:32Z",
"region": "us-east-2",
"resources": ["arn:aws:ec2:us-east-2:123456789012:instance/i-02573cafcfEXAMPLE"],
"detail": {
"command-id": "e8d3c0e4-71f7-4491-898f-c9b35bee5f3b",
"document-name": "AWS-RunPowerShellScript",
"instance-id": "i-02573cafcfEXAMPLE",
"requested-date-time": "2024-07-10T21:51:30.049Z",
"status": "Success"
}
}
```
## AWS Systems ManagerEventosState Manager
**State Manager Alteração do estado do**
```
{
"version":"0",
"id":"db839caf-6f6c-40af-9a48-25b2ae2b7774",
"detail-type":"EC2 State Manager Association State Change",
"source":"aws.ssm",
"account":"123456789012",
"time":"2024-05-16T23:01:10Z",
"region":"us-east-2",
"resources":[
"arn:aws:ssm:us-east-2::document/AWS-RunPowerShellScript"
],
"detail":{
"association-id":"6e37940a-23ba-4ab0-9b96-5d0a1a05464f",
"document-name":"AWS-RunPowerShellScript",
"association-version":"1",
"document-version":"Optional.empty",
"targets":"[{\"key\":\"InstanceIds\",\"values\":[\"i-12345678\"]}]",
"creation-date":"2024-02-13T17:22:54.458Z",
"last-successful-execution-date":"2024-05-16T23:00:01Z",
"last-execution-date":"2024-05-16T23:00:01Z",
"last-updated-date":"2024-02-13T17:22:54.458Z",
"status":"Success",
"association-status-aggregated-count":"{\"Success\":1}",
"schedule-expression":"cron(0 */30 * * * ? *)",
"association-cwe-version":"1.0"
}
}
```
**State Manager Alteração do estado da associação da instância do**
```
{
"version":"0",
"id":"6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type":"EC2 State Manager Instance Association State Change",
"source":"aws.ssm",
"account":"123456789012",
"time":"2024-02-23T15:23:48Z",
"region":"us-east-2",
"resources":[
"arn:aws:ec2:us-east-2:123456789012:instance/i-12345678",
"arn:aws:ssm:us-east-2:123456789012:document/my-custom-document"
],
"detail":{
"association-id":"34fcb7e0-9a14-4984-9989-0e04e3f60bd8",
"instance-id":"i-02573cafcfEXAMPLE",
"document-name":"my-custom-document",
"document-version":"1",
"targets":"[{\"key\":\"instanceids\",\"values\":[\"i-02573cafcfEXAMPLE\"]}]",
"creation-date":"2024-02-23T15:23:48Z",
"last-successful-execution-date":"2024-02-23T16:23:48Z",
"last-execution-date":"2024-02-23T16:23:48Z",
"status":"Success",
"detailed-status":"",
"error-code":"testErrorCode",
"execution-summary":"testExecutionSummary",
"output-url":"sampleurl",
"instance-association-cwe-version":"1"
}
}
```
# Cenários de exemplo: destinos do Systems Manager em regras do Amazon EventBridge
Ao especificar o destino a ser invocado em uma regra do Amazon EventBridge, você pode escolher entre mais de 20 tipos de destinos e adicionar até cinco destinos a cada regra.
Entre os vários destinos, é possível escolher entre Automation, OpsCenter e Run Command, que são ferramentas do AWS Systems Manager, como ações de destino quando um evento do EventBridge ocorre.
Veja a seguir vários exemplos de maneiras como você pode usar essas ferramentas como o destino de uma regra do EventBridge.
**Exemplos de automação**
Você pode configurar uma regra do EventBridge para iniciar fluxos de trabalho do Automation quando ocorrerem eventos como os seguintes:
+ Quando um alarme do Amazon CloudWatch relatar que um nó gerenciado mostrou falha em uma verificação de status (`StatusCheckFailed_Instance=1`), execute o runbook do Automation `AWSSupport-ExecuteEC2Rescue` nesse nó.
+ Quando um evento `EC2 Instance State-change Notification` ocorrer porque uma nova instância do Amazon Elastic Compute Cloud (Amazon EC2) está em execução, execute o runbook `AWS-AttachEBSVolume` do Automation na instância.
+ Quando um volume do Amazon Elastic Block Store (Amazon EBS) for criado e disponibilizado, execute o runbook `AWS-CreateSnapshot` do Automation no volume.
**Exemplos do OpsCenter**
Você pode configurar uma regra do EventBridge para criar um novo OpsItem quando ocorrerem incidentes como os seguintes:
+ Um evento de controle de utilização está ocorrendo para o Amazon DynamoDB ou a performance do volume do Amazon EBS foi reduzida.
+ Um grupo do Amazon EC2 Auto Scaling falhará ao executar um nó gerenciado ou se um fluxo de trabalho do Systems Manager Automation falhar.
+ Uma instância do EC2 altera o estado de `Running` para `Stopped`.
**Run CommandExemplos da**
Você pode configurar uma regra do EventBridge para executar um documento de comando do Systems Manager no Run Command quando ocorrerem eventos como os seguintes:
+ Quando um grupo do Auto Scaling estiver prestes a terminar, um script Run Command poderá capturar os arquivos de log do nó, antes que ele seja encerrado.
+ Quando um novo nó for criado em um grupo do Auto Scaling, uma ação de destino do Run Command pode ativar a função de servidor Web ou instalar o software nesse nó.
+ Quando um nó gerenciado estiver fora da conformidade, uma ação de destino Run Command pode atualizar os patches nesse nó executando o documento `AWS-RunPatchBaseline`.
# Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS
É possível configurar o Amazon Simple Notification Service (Amazon SNS) para enviar notificações sobre o status dos comandos que você envia usando o Run Command ou Maintenance Windows, ambos ferramentas do AWS Systems Manager. O Amazon SNS coordena e gerencia a entrega e o envio de notificações a clientes e endpoints que assinam tópicos do Amazon SNS. Você pode receber uma notificação sempre que um comando muda para um novo estado ou atinge um estado específico, como *Failed (Falha)* ou *Timed out (Tempo limite)*. Nos casos em que você envia um comando para vários nós, você pode receber uma notificação para cada cópia do comando enviado para um nó específico. Cada cópia é chamada de uma *invocação*.
O Amazon SNS pode entregar notificações como HTTP ou HTTPS POST, e-mail (SMTP, texto sem formatação ou no formato JSON) ou como uma mensagem postada em uma fila do Amazon Simple Queue Service (Amazon SQS). Para obter mais informações, consulte [O que é o Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Para obter exemplos da estrutura dos dados JSON incluídos na notificação do Amazon SNS fornecida pelo Run Command e Maintenance Windows, consulte [Exemplo de notificações do Amazon SNS para AWS Systems Manager](monitoring-sns-examples.md).
**Importante**
Observe as seguintes informações importantes:
Não há suporte para tópicos FIFO do Amazon Simple Notification Service.
O Amazon Q Developer em aplicações de chat não é compatível com o monitoramento do Systems Manager com o Amazon SNS. Caso deseje usar o Amazon Q Developer para monitorar o Systems Manager, será necessário usá-lo com o Amazon EventBridge. Para obter informações sobre como monitorar o Systems Manager usando o EventBridge, consulte [Monitorar eventos do Systems Manager com o Amazon EventBridge](monitoring-eventbridge-events.md). Para obter informações sobre o Amazon EventBridge e o Amazon Q Developer em aplicações de chat, consulte [Tutorial: criação de uma regra do EventBridge que envia notificações para o Amazon Q Developer em aplicações de chat](https://docs.aws.amazon.com/chatbot/latest/adminguide/create-eventbridge-rule.html) no *Guia do administrador do Amazon Q Developer em aplicações de chat*.
## Configurar notificações do Amazon SNS para o AWS Systems Manager
As tarefas Run Command e Maintenance Windows, registradas para uma janela de manutenção, podem enviar notificações do Amazon SNS para tarefas de comando que entram nos seguintes status:
+ Em andamento
+ Bem-sucedida
+ Failed
+ Timed Out
+ Cancelado
Para obter informações sobre as condições que fazem com que um comando entre em um desses status, consulte [Noções básicas sobre status de comando](monitor-commands.md).
**nota**
Os comandos enviados usando o Run Command também relatam o status Cancelando e Pendente. Esses status não são capturados pelas notificações do Amazon SNS.
### Notificações do Amazon SNS de resumo de comandos
Se você configurar o Run Command ou uma tarefa do Run Command na janela de manutenção para notificações do Amazon SNS, o Amazon SNS enviará mensagens de resumo que incluem as informações a seguir.
****
| Campo | Tipo | Descrição |
| --- | --- | --- |
| eventTime | String | A hora em que o evento foi iniciado. O carimbo de hora é importante, pois o Amazon SNS não garante a ordem de entrega das mensagens. Exemplo: 2016-04-26T13:15:30Z |
| documentName | String | O nome do documento do SSM usado para executar esse comando. |
| commandId | String | O ID gerado pelo Run Command após o envio do comando. |
| expiresAfter | Data | Se esse tempo for atingido e o comando ainda não tiver iniciado a execução, ele não executará. |
| outputS3BucketName | String | O bucket do Amazon Simple Storage Service (Amazon S3) em que respostas para a execução do comando devem ser armazenadas. |
| outputS3KeyPrefix | String | O caminho de diretório do Amazon S3 dentro do bucket no qual as respostas para a execução do comando devem ser armazenadas. |
| requestedDateTime | String | A data e a hora em que a solicitação foi enviada para esse nó específico. |
| instanceIds | StringList | Os nós que foram selecionados pelo comando. Os IDs de instância só serão incluídos na mensagem de resumo se a tarefa do Run Command direcionar IDs de instância diretamente. Os IDs de instância não serão incluídos na mensagem de resumo se a tarefa Run Command tiver sido emitida usando o direcionamento com base em tags. |
| status | String | Status do comando para o comando. |
### Notificações do Amazon SNS com base em invocação
Se você enviar um comando para vários nós, o Amazon SNS poderá enviar mensagens sobre cada cópia ou invocação desse comando. As mensagens incluem as seguintes informações.
****
| Campo | Tipo | Descrição |
| --- | --- | --- |
| eventTime | String | A hora em que o evento foi iniciado. O carimbo de hora é importante, pois o Amazon SNS não garante a ordem de entrega das mensagens. Exemplo: 2016-04-26T13:15:30Z |
| documentName | String | O nome do documento SSM usado para executar esse comando. |
| requestedDateTime | String | A data e a hora em que a solicitação foi enviada para esse nó específico. |
| commandId | String | O ID gerado pelo Run Command após o envio do comando. |
| instanceId | String | A instância que foi direcionada pelo comando. |
| status | String | Status do comando para essa invocação. |
Para configurar notificações do Amazon SNS quando um comando mudar de status, conclua as tarefas a seguir.
**nota**
Se você não estiver configurando notificações do Amazon SNS para sua janela de manutenção, poderá ignorar a Tarefa 5 apresentada posteriormente neste tópico.
**Topics**
+ [Notificações do Amazon SNS de resumo de comandos](#monitoring-sns-configure-summary)
+ [Notificações do Amazon SNS com base em invocação](#monitoring-sns-configure-invocation)
+ [Tarefa 1: Criar e assinar um tópico do Amazon SNS](#monitoring-configure-sns)
+ [Tarefa 2: Criar uma política do IAM para notificações do Amazon SNS](#monitoring-iam-policy)
+ [Tarefa 3: Criar uma função do IAM para notificações do Amazon SNS](#monitoring-iam-notifications)
+ [Tarefa 4: Configurar o acesso do usuário](#monitoring-sns-passpolicy)
+ [Tarefa 5: Anexar a política iam:PassRole à função da janela de manutenção](#monitoring-sns-passpolicy-mw)
### Tarefa 1: Criar e assinar um tópico do Amazon SNS
Um *tópico* do Amazon SNS é um canal de comunicação que o Run Command e as tarefas do Run Command registradas em uma janela de manutenção usam para enviar notificações sobre o status dos comandos. O Amazon SNS é compatível com diferentes protocolos de comunicação, incluindo HTTP/S, e-mail e outros Serviços da AWS, como o Amazon Simple Queue Service (Amazon SQS). Para começar rapidamente, recomendamos que você comece com o protocolo de e-mail. Para obter informações sobre como criar um tópico, consulte [Criar um tópico do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
**nota**
Depois de criar o tópico, copie ou anote o **ARN do tópico**. Você especifica esse ARN ao enviar um comando que esteja configurado para retornar notificações de status.
Após criar o tópico, inscreva-se nele especificando um **Endpoint**. Se você selecionou o protocolo de e-mail, o endpoint é o endereço de e-mail no qual você deseja receber notificações. Para obter mais informações sobre como se inscrever em um tópico, consulte [Inscrever-se em um tópico do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
O Amazon SNS envia um e-mail de confirmação de *Notificações AWS* para o endereço de e-mail que você especificar. Abra o e-mail e selecione o link **Confirm subscription (Confirmar assinatura)**.
Você receberá uma mensagem de confirmação da AWS. O Amazon SNS agora está configurado para receber notificações e enviar a notificação como um e-mail para o endereço de e-mail que você especificou.
### Tarefa 2: Criar uma política do IAM para notificações do Amazon SNS
Use o procedimento a seguir para criar uma política personalizada do AWS Identity and Access Management (IAM) que forneça permissões para acionar notificações do Amazon SNS.
**Para criar uma política do IAM personalizada SNS para notificações do Amazon SNS**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Policies** e, em seguida, **Create Policy**. (Se aparecer um botão **Get Started**, selecione-o e, em seguida, clique em **Create Policy**).
1. Selecione a guia **JSON**.
1. Substitua o conteúdo padrão por um dos seguintes, dependendo se o tópico do Amazon SNS usa a criptografia do AWS KMS:
------
#### [ SNS topic not encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:sns-topic-name"
}
]
}
```
------
A *região* representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como `us-east-2` para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de *região* com suporte, consulte a coluna **Region** em [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) no *Referência geral da Amazon Web Services*.
**account-id** representa o identificador de 12 dígitos para a Conta da AWS, no formato `123456789012`.
*sns-topic-name* representa o nome do tópico do Amazon SNS que você deseja usar para publicar notificações.
------
#### [ SNS topic encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:sns-topic-name"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
}
]
}
```
------
A *região* representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como `us-east-2` para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de *região* com suporte, consulte a coluna **Region** em [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) no *Referência geral da Amazon Web Services*.
**account-id** representa o identificador de 12 dígitos para a Conta da AWS, no formato `123456789012`.
*sns-topic-name* representa o nome do tópico do Amazon SNS que você deseja usar para publicar notificações.
*kms-key-id* representa o ID da chave do KMS de criptografia simétrica no AWS KMS a ser usada para criptografar e descriptografar o tópico, no formato `1234abcd-12ab-34cd-56ef-12345EXAMPLE`.
**nota**
Há uma taxa pelo uso da criptografia do AWS KMS. Para obter mais informações, consulte [Managing Amazon SNS encryption keys and costs](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html) no *Guia do desenvolvedor do AWS Key Management Service*.
------
1. Escolha **Próximo: etiquetas**.
1. (Opcional) Adicione um ou mais pares de chave-valor de etiqueta para organizar, monitorar ou controlar acesso para essa política.
1. Escolha **Próximo: revisar**.
1. Na página **Revisar política**, em **Nome**, digite um nome para a política em linha. Por exemplo: **my-sns-publish-permissions**.
1. (Opcional) Em **Descrição**, digite uma descrição para a política.
1. Escolha **Criar política**.
### Tarefa 3: Criar uma função do IAM para notificações do Amazon SNS
Use o procedimento a seguir para criar uma função de serviço do IAM para notificações do Amazon SNS. Essa função de serviço é usada pelo Systems Manager para iniciar notificações do Amazon SNS. Em todos os procedimentos subsequentes, essa função é chamada de função do IAM do Amazon SNS.
**Para criar uma função de serviço do IAM para notificações do Amazon SNS**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do console do IAM, escolha **Perfis** e, em seguida, **Criar perfil**.
1. Escolha o tipo de perfil de **AWS service (Serviço da AWS)** e, em seguida, selecione o Systems Manager.
1. Escolha o caso de uso do Systems Manager. Em seguida, escolha **Próximo**.
1. Na página **Attach permissions policies (Anexar políticas de permissões)**, marque a caixa à esquerda do nome da política personalizada criada na Tarefa 2. Por exemplo: **my-sns-publish-permissions**.
1. (Opcional) Defina um [limite de permissões](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço.
Expanda a seção **Limite de permissões** e escolha **Usar um limite de permissões para controlar o número máximo de permissões de funções**. O IAM inclui uma lista das políticas gerenciadas pela AWS e pelo cliente em sua conta. Selecione a política a ser usada para o limite de permissões ou escolha **Criar política** para abrir uma nova guia no navegador e criar uma nova política a partir do zero. Para obter mais informações, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) no *Guia do usuário do IAM*. Depois de criar a política, feche essa guia e retorne à guia original para selecionar a política a ser usada para o limite de permissões.
1. Escolha **Próximo**.
1. Se possível, insira um nome de função ou sufixo de nome de função para ajudar a identificar o propósito desta função. Os nomes de função devem ser exclusivos em sua Conta da AWS. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, não é possível criar perfis denominados **PRODROLE** e **prodrole**. Como várias entidades podem fazer referência à função, não é possível editar o nome da função depois que ela é criada.
1. (Opcional) Em **Descrição da função**, insira uma descrição para a nova função.
1. Selecione **Editar** nas seções **Etapa 1: selecionar entidades confiáveis** ou **Etapa 2: selecionar permissões** para editar os casos de uso e as permissões para a função.
1. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte [Marcar recursos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.
1. Revise a função e escolha **Criar função**.
1. Escolha o nome da função e depois copie ou anote o valor do **Role ARN** (ARN da função). Esse nome do recurso da Amazon (ARN) para a função é usado quando você envia um comando que foi configurado para retornar notificações do Amazon SNS.
1. A página **Summary** (Resumo) é aberta.
### Tarefa 4: Configurar o acesso do usuário
Se uma entidade do IAM (usuário, perfil ou grupo) receber permissões de administrador, o usuário ou o perfil terá acesso a Run Command e Maintenance Windows, que são ferramentas do AWS Systems Manager.
Para entidades que não têm permissões de administrador, um administrador deve conceder as permissões a seguir à entidade do IAM:
+ A política gerenciada `AmazonSSMFullAccess` ou uma política que forneça permissões comparáveis.
+ As permissões `iam:PassRole` para o perfil criado em [Tarefa 3: Criar uma função do IAM para notificações do Amazon SNS](#monitoring-iam-notifications). Por exemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/sns-role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
}
]
}
```
------
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos no Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM*.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
**Para configurar acesso de usuário e anexar a política `iam:PassRole` a uma conta de usuário**
1. No painel de navegação do IAM, escolha **Users** (Usuários) e selecione a conta de usuário que deseja configurar.
1. Na guia **Permissions** (Permissões), na lista de políticas, verifique se a política **AmazonSSMFullAccess** está listada ou se existe uma política comparável que conceda à conta permissão para acessar o Systems Manager.
1. Escolha **Add inline policy** (Adicionar política em linha).
1. Na página **Create policy** (Criar política), selecione a guia **Visual editor** (Editor visual).
1. Selecione **Choose a service** (Escolher um serviço) e, em seguida, **IAM**.
1. Para **Actions** (Ações), na caixa de texto **Filter actions** (Filtrar ações), insira **PassRole** e selecione a caixa de verificação ao lado de **PassRole**.
1. Em **Resources** (Recursos), verifique se **Specific** (Específico) está selecionado e, em seguida, selecione **Add ARN** (Adicionar ARN).
1. No campo **Specify ARN for role** (Especificar ARN para função), cole o ARN da função do IAM do Amazon SNS que você copiou no final da Tarefa 3. O sistema preenche automaticamente os campos **Account (Conta)** e **Role name with path (Nome de função com caminho)**.
1. Escolha **Add** (Adicionar).
1. Escolha **Review policy** (Revisar política).
1. Na página **Review Policy** (Revisar política), insira um nome e depois escolha **Create Policy** (Criar política).
### Tarefa 5: Anexar a política iam:PassRole à função da janela de manutenção
Ao registrar uma tarefa do Run Command em uma janela de manutenção, você especifica o nome de recurso da Amazon (ARN) de uma função de serviço. Essa função de serviço é usada pelo Systems Manager para executar tarefas registradas para a janela de manutenção. Para configurar notificações do Amazon SNS para uma tarefa registrada do Run Command, anexe uma política `iam:PassRole` à função de serviço da janela de manutenção especificada. Se você não pretende configurar a tarefa registrada para notificações do Amazon SNS, essa tarefa pode ser ignorada.
A política `iam:PassRole` permite que a função de serviço do Maintenance Windows transmita a função do IAM do Amazon SNS criada na Tarefa 3 ao serviço Amazon SNS. O procedimento a seguir mostra como anexar a política `iam:PassRole` à função de serviço do Maintenance Windows.
**nota**
Use uma função de serviço personalizada para sua janela de manutenção para enviar notificações relacionadas às tarefas do Run Command registradas. Para mais informações, consulte [Configurar o Maintenance Windows](setting-up-maintenance-windows.md).
Se for necessário criar um perfil de serviço personalizado para tarefas de janela de manutenção, consulte [Configurar o Maintenance Windows](setting-up-maintenance-windows.md).
**Para anexar sua política `iam:PassRole` à função do Maintenance Windows**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Roles** (Funções) e selecione a função do IAM do Amazon SNS criada na Tarefa 3.
1. Copie ou anote o **Role ARN** (ARN da função) e retorne à seção **Roles** (Funções) do console do IAM.
1. Selecione a função de serviço personalizada Maintenance Windows que você criou na lista **Role name** (Nome da função).
1. Na guia **Permissions** (Permissões), verifique se a política `AmazonSSMMaintenanceWindowRole` está listada ou se existe uma política comparável que dê permissão de janelas de manutenção à API do Systems Manager. Se não estiver, escolha **Adicionar permissões, Anexar políticas** para anexá-la.
1. Escolha **Add permissions, Create inline policy** (Adicionar permissões, Criar política em linha).
1. Selecione a guia **Visual Editor** (Editor visual).
1. Para **Service** (Serviço), selecione **IAM**.
1. Para **Actions** (Ações), na caixa de texto **Filter actions** (Filtrar ações), insira **PassRole** e selecione a caixa de verificação ao lado de **PassRole**.
1. Em **Resources (Recursos)**, escolha **Specific (Específico)** e **Add ARN (Adicionar ARN)**.
1. Na caixa **Specify ARN for role** (Especificar ARN para função), cole o ARN da função do IAM do Amazon SNS criada na Tarefa 3 e escolha **Add** (Adicionar).
1. Selecione **Revisar política**.
1. Na página **Revisar política**, especifique um nome para a política `PassRole` e, em seguida, escolha **Criar política**.
# Exemplo de notificações do Amazon SNS para AWS Systems Manager
É possível configurar o Amazon Simple Notification Service (Amazon SNS) para enviar notificações sobre o status dos comandos que você envia usando o Run Command ou Maintenance Windows, ambos ferramentas do AWS Systems Manager.
**nota**
Este guia não aborda como configurar notificações usando o Run Command ou a Maintenance Windows. Para obter informações sobre como configurar o Run Command ou o Maintenance Windows para enviar notificações do Amazon SNS sobre o status dos comandos, consulte [Configurar notificações do Amazon SNS para o AWS Systems Manager](monitoring-sns-notifications.md#monitoring-sns-configure).
Os exemplos a seguir mostram a estrutura da saída JSON retornada por notificações do Amazon SNS, quando estas estão configuradas para o Run Command ou o Maintenance Windows.
**Exemplo de saída JSON para mensagens de resumo de comandos usando o direcionamento de IDs de instância**
```
{
"commandId": "a8c7e76f-15f1-4c33-9052-0123456789ab",
"documentName": "AWS-RunPowerShellScript",
"instanceIds": [
"i-1234567890abcdef0",
"i-9876543210abcdef0"
],
"requestedDateTime": "2019-04-25T17:57:09.17Z",
"expiresAfter": "2019-04-25T19:07:09.17Z",
"outputS3BucketName": "amzn-s3-demo-bucket",
"outputS3KeyPrefix": "runcommand",
"status": "InProgress",
"eventTime": "2019-04-25T17:57:09.236Z"
}
```
**Exemplo de saída JSON para mensagens de resumo de comandos usando o direcionamento com base em tags**
```
{
"commandId": "9e92c686-ddc7-4827-b040-0123456789ab",
"documentName": "AWS-RunPowerShellScript",
"instanceIds": [],
"requestedDateTime": "2019-04-25T18:01:03.888Z",
"expiresAfter": "2019-04-25T19:11:03.888Z",
"outputS3BucketName": "",
"outputS3KeyPrefix": "",
"status": "InProgress",
"eventTime": "2019-04-25T18:01:05.825Z"
}
```
**Exemplo de saída JSON para mensagens de invocação**
```
{
"commandId": "ceb96b84-16aa-4540-91e3-925a9a278b8c",
"documentName": "AWS-RunPowerShellScript",
"instanceId": "i-1234567890abcdef0",
"requestedDateTime": "2019-04-25T18:06:05.032Z",
"status": "InProgress",
"eventTime": "2019-04-25T18:06:05.099Z"
}
```
# Usar o Run Command para enviar um comando que retorna notificações de status
Os procedimentos a seguir mostram como usar a AWS Command Line Interface (AWS CLI) ou o console do AWS Systems Manager para enviar um comando por meio do Run Command, uma ferramenta do AWS Systems Manager, que é configurado para retornar notificações de status.
## Enviar um Run Command que retorna notificações (console)
Use o procedimento a seguir para enviar um comando por meio do Run Command que esteja configurado para retornar notificações de status usando o console do Systems Manager.
**Como enviar um comando que retorne notificações (console)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Run Command**.
1. Selecione **Run command**.
1. Na lista **Command document** (Documento de comando), escolha um documento do Systems Manager.
1. Na seção **Command parameters**, especifique valores para os parâmetros necessários.
1. Na seção **Targets** (Destinos), escolha os nós gerenciados nos quais você quer executar essa operação, especificando as etiquetas, selecionando as instâncias ou dispositivos de borda manualmente ou especificando um grupo de recursos.
**dica**
Se um nó gerenciado que você espera ver não estiver listado, consulte [Solução de problemas de disponibilidade do nó gerenciado](fleet-manager-troubleshooting-managed-nodes.md) para obter dicas de solução de problemas.
1. Para **Other parameters (Outros parâmetros)**:
+ Em **Comment** (Comentário), digite as informações sobre esse comando.
+ Em **Timeout (seconds) (Tempo limite [segundos])**, especifique o número de segundos para o sistema aguardar até a falha de execução do comando total.
1. Para **Rate control** (Controle de taxa):
+ Em **Concurrency** (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.
**nota**
Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.
+ Em **Error threshold** (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.
1. (Opcional) Em **Output options (Opções de saída)**, para salvar a saída do comando em um arquivo, selecione a caixa **Write command output to an S3 bucket (Gravar saída do comando em um bucket do S3)**. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil de instância (para instâncias do EC2) ou perfil de serviço do IAM (máquinas ativadas para ambientes híbridos) atribuído à instância, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar um perfil de serviço do IAM para um ambiente híbrido](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço do IAM associado ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
1. Na seção **SNS Notifications**, escolha **Enable SNS notifications**.
1. Em **IAM role** (Função do IAM), escolha o ARN da função do IAM do Amazon SNS que você criou na Tarefa 3 em [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md).
1. Para **SNS topic** (Tópico do SNS), insira o ARN do tópico do Amazon SNS a ser usado.
1. Em **Event notifications** (Notificações de eventos), escolha os eventos para os quais deseja receber notificações.
1. Em **Change notifications** (Alterar notificações), escolha receber notificações apenas para o resumo do comando (**Command status changes**) (Alterações de status do comando) ou para cada cópia de um comando enviado a vários nós (**Command status on each instance changes**) (O status do comando em cada instância é alterado).
1. Escolha **Executar**.
1. Verifique se há uma mensagem do Amazon SNS em seu e-mail e abra o e-mail. O Amazon SNS pode levar alguns minutos para enviar a mensagem de e-mail.
## Enviar um Run Command que retorna notificações (CLI)
Use o procedimento a seguir para enviar um comando por meio do Run Command que esteja configurado para retornar notificações de status usando a AWS CLI.
**Para enviar um comando que retorne notificações (CLI)**
1. Abra a AWS CLI.
1. Especifique parâmetros no comando a seguir para definir destinos com base nos IDs dos nós gerenciados.
```
aws ssm send-command --instance-ids "ID-1, ID-2" --document-name "Name" --parameters '{"commands":["input"]}' --service-role "SNSRoleARN" --notification-config '{"NotificationArn":"SNSTopicName","NotificationEvents":["All"],"NotificationType":"Command"}'
```
Veja um exemplo a seguir.
```
aws ssm send-command --instance-ids "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" --document-name "AWS-RunPowerShellScript" --parameters '{"commands":["Get-Process"]}' --service-role "arn:aws:iam::111122223333:role/SNS_Role" --notification-config '{"NotificationArn":"arn:aws:sns:us-east-1:111122223333:SNSTopic","NotificationEvents":["All"],"NotificationType":"Command"}'
```
**Comandos alternativos**
Especifique parâmetros no comando a seguir para direcionar instâncias gerenciadas usando tags.
```
aws ssm send-command --targets "Key=tag:TagName,Values=TagKey" --document-name "Name" --parameters '{"commands":["input"]}' --service-role "SNSRoleARN" --notification-config '{"NotificationArn":"SNSTopicName","NotificationEvents":["All"],"NotificationType":"Command"}'
```
Veja um exemplo a seguir.
```
aws ssm send-command --targets "Key=tag:Environment,Values=Dev" --document-name "AWS-RunPowerShellScript" --parameters '{"commands":["Get-Process"]}' --service-role "arn:aws:iam::111122223333:role/SNS_Role" --notification-config '{"NotificationArn":"arn:aws:sns:us-east-1:111122223333:SNSTopic","NotificationEvents":["All"],"NotificationType":"Command"}'
```
1. Pressione **Enter**.
1. Verifique se há uma mensagem do Amazon SNS em seu e-mail e abra o e-mail. O Amazon SNS pode levar alguns minutos para enviar a mensagem de e-mail.
Para ter mais informações, consulte [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) na *Referência de comandos da AWS CLI*.
# Usar uma janela de manutenção para enviar um comando que retorna notificações de status
Os procedimentos a seguir mostram como registrar uma tarefa do Run Command com sua janela de manutenção usando o console do AWS Systems Manager ou a AWS Command Line Interface (AWS CLI). O Run Command é uma ferramenta do AWS Systems Manager. Os procedimentos também descrevem como configurar a tarefa do Run Command para retornar notificações de status.
**Antes de começar**
Se você não tiver criado uma janela de manutenção ou destinos registrados, consulte [Crie e gerencie janelas de manutenção usando o console](sysman-maintenance-working.md) para obter instruções sobre como criar uma janela de manutenção e registrar destinos.
Para receber notificações do serviço Amazon Simple Notification Service (Amazon SNS), anexe uma política `iam:PassRole` à função de serviço do Maintenance Windows especificada na tarefa registrada. Se você não tiver adicionado as permissões `iam:PassRole` à sua função de serviço do Maintenance Windows, consulte [Tarefa 5: Anexar a política iam:PassRole à função da janela de manutenção](monitoring-sns-notifications.md#monitoring-sns-passpolicy-mw).
## Registrar uma tarefa do Run Command em uma janela de manutenção que retorna notificações (console)
Use o procedimento a seguir para registrar uma tarefa do Run Command que esteja configurada para retornar notificações de status à janela de manutenção usando o console do Systems Manager.
**Como registrar uma tarefa do Run Command na janela de manutenção que retorna notificações (console)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Maintenance Windows**.
1. Selecione a janela de manutenção para a qual você deseja registrar uma tarefa do Run Command configurada para enviar notificações do Amazon Simple Notification Service (Amazon SNS).
1. Selecione **Actions** (Ações) e depois **Register run command task** (Registrar tarefa de comando de execução).
1. No campo **Name** (Nome), insira um nome para a tarefa.
1. (Opcional) No campo **Description** (Descrição), insira uma descrição.
1. Em **Command document** (Documento do comando), escolha um documento do comando.
1. Em **Task priority (Prioridade da tarefa)**, especifique uma prioridade para essa tarefa. Zero (`0`) é a prioridade mais alta. As tarefas em uma janela de manutenção são agendadas em ordem de prioridade. Tarefas que têm a mesma prioridade estão agendadas em paralelo.
1. Na seção **Targets** (Destinos), selecione um grupo de destino registrado ou selecione destinos não registrados.
1. Para **Rate control** (Controle de taxa):
+ Em **Concurrency** (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.
**nota**
Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.
+ Em **Error threshold** (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.
1. Na área **IAM service role** (Função de serviço do IAM), escolha a função de serviço do Maintenance Windows que tenha permissões `iam:PassRole` para a função do SNS.
**nota**
Adicione permissões do `iam:PassRole` a função Maintenance Windows para permitir que o Systems Manager passe a função do SNS ao Amazon SNS. Se você não tiver adicionado permissões `iam:PassRole`, consulte a Tarefa 5, no tópico [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md).
1. (Opcional) Em **Opções de saída**, para salvar a saída de comando em um arquivo, selecione a caixa **Habilitar a gravação da saída no S3**. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil da instância atribuído ao nó gerenciado, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar um perfil de serviço do IAM para um ambiente híbrido](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço IAM associada ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
1. Na seção **SNS notifications** (Notificações do SNS), faça o seguinte:
+ Selecione **Enable SNS Notifications** (Habilitar notificações do SNS).
+ Para **IAM role** (Função do IAM), escolha o nome do recurso da Amazon (ARN) da função do IAM do Amazon SNS que você criou na Tarefa 3 em [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md) para iniciar o Amazon SNS.
+ Para **SNS topic** (Tópico do SNS), insira o ARN do tópico do Amazon SNS a ser usado.
+ Em **Event type** (Tipo de evento) escolha os eventos para os quais deseja receber notificações.
+ Em **Notification type** (Tipo de notificação), escolha receber notificações para cada cópia de um comando enviado a vários nós (invocações) ou o resumo de comandos.
1. Na seção **Parameters** (Parâmetros), insira os parâmetros necessários com base no documento do Command que você escolheu.
1. Selecione **Register Run command task** (Registrar tarefa do Run Command).
1. Depois da próxima vez que a janela de manutenção for executada, verifique se recebeu um e-mail do Amazon SNS e abra a mensagem de e-mail. O Amazon SNS pode levar alguns minutos para enviar o e-mail.
## Registrar uma tarefa do Run Command em uma janela de manutenção que retorna notificações (CLI)
Use o procedimento a seguir para registrar uma tarefa do Run Command que esteja configurada para retornar notificações de status à janela de manutenção usando a AWS CLI.
**Para registrar uma tarefa do Run Command com a janela de manutenção que retorna notificações (CLI)**
**nota**
Para gerenciar melhor suas opções de tarefas, esse procedimento usa a opção de comando `--cli-input-json`, com valores de opção armazenados em um arquivo JSON.
1. Na sua máquina local, crie um arquivo chamado `RunCommandTask.json`.
1. Cole o conteúdo a seguir no arquivo .
```
{
"Name": "Name",
"Description": "Description",
"WindowId": "mw-0c50858d01EXAMPLE",
"ServiceRoleArn": "arn:aws:iam::account-id:role/MaintenanceWindowIAMRole",
"MaxConcurrency": "1",
"MaxErrors": "1",
"Priority": 3,
"Targets": [
{
"Key": "WindowTargetIds",
"Values": [
"e32eecb2-646c-4f4b-8ed1-205fbEXAMPLE"
]
}
],
"TaskType": "RUN_COMMAND",
"TaskArn": "CommandDocumentName",
"TaskInvocationParameters": {
"RunCommand": {
"Comment": "Comment",
"TimeoutSeconds": 3600,
"NotificationConfig": {
"NotificationArn": "arn:aws:sns:region:account-id:SNSTopicName",
"NotificationEvents": [
"All"
],
"NotificationType": "Command"
},
"ServiceRoleArn": "arn:aws:iam::account-id:role/SNSIAMRole"
}
}
}
```
1. Substitua os valores de exemplo por informações sobre seus próprios recursos.
Você também pode restaurar opções omitidas deste exemplo se quiser usá-las. Por exemplo, você pode salvar a saída do comando em um bucket do S3.
Para ter mais informações, consulte [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-task-with-maintenance-window.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-task-with-maintenance-window.html) na *Referência de comandos da AWS CLI*.
1. Salve o arquivo.
1. No diretório da sua máquina local em que você salvou o arquivo, execute o comando a seguir.
```
aws ssm register-task-with-maintenance-window --cli-input-json file://RunCommandTask.json
```
**Importante**
Não se esqueça de incluir `file://` antes do nome de arquivo. Ele é obrigatório nesse comando.
Se houver êxito, o comando retornará informações semelhantes às mostradas a seguir.
```
{
"WindowTaskId": "j2l8d5b5c-mw66-tk4d-r3g9-1d4d1EXAMPLE"
}
```
1. Após a próxima execução da janela de manutenção, verifique se recebeu um e-mail do Amazon SNS e abra a mensagem do e-mail. O Amazon SNS pode levar alguns minutos para enviar o e-mail.
Para obter mais informações sobre como registrar tarefas para uma janela de manutenção na linha de comando, consulte [Registrar tarefas com a janela de manutenção](mw-cli-tutorial-tasks.md).