Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWSSupport-TroubleshootCloudWatchAgent
Beschreibung
Das AWSSupport-TroubleshootCloudWatchAgentRunbook automatisiert die Fehlerbehebung beim Amazon CloudWatch Agent auf Ihren Amazon Elastic Compute Cloud (Amazon EC2) -Instances. Das Runbook führt diese Fehlerbehebung durch eine Reihe grundlegender und (optionaler) erweiterter Prüfungen durch.
Die grundlegenden Prüfungen umfassen Folgendes:
Suchen Sie nach einem AWS Identity and Access Management (IAM-) Instanzprofil
Überprüfen Sie, ob die erforderlichen Amazon CloudWatch Agent IAM-Berechtigungen mit der Amazon EC2 EC2-Instance verknüpft sind
Die erweiterten Prüfungen werden nur durchgeführt, wenn es sich bei der angegebenen Amazon EC2-Instance-ID um eine von Systems Manager verwaltete Instance handelt. Diese erweiterten Prüfungen beinhalten Folgendes:
Überprüfen Sie den Status des CloudWatch Amazon-Agenten auf der Instance
Analysieren Sie die Protokolle des CloudWatch Amazon-Agenten auf häufig auftretende Probleme und relevante Schritte zur Fehlerbehebung
Komprimieren Sie die relevanten Protokolle und Konfigurationsdateien auf der Amazon EC2 EC2-Instance und laden Sie sie optional in einen Amazon Simple Storage Service (Amazon S3) -Bucket Ihrer Wahl hoch
Führen Sie eine Konnektivitätsprüfung zwischen der Instance und den erforderlichen Endpunkten durch
Wichtig
Wenn der RunVpcReachabilityAnalyzer Parameter auf gesetzt isttrue, bestimmt dieses Runbook, ob das untergeordnete Runbook, aufgerufen werden muss. AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 Das untergeordnete Runbook verwendet VPC Reachability Analyzer, was mit Kosten verbunden ist. Weitere Informationen zur Preisgestaltung finden Sie in der Amazon VPC-Preisdokumentation
Wichtig
Dieses Runbook überprüft nur Ihre IAM-Instance-Profilrolle auf die erforderlichen Berechtigungen. Wenn Sie sich stattdessen auf die in einer .aws/credentials Datei definierten Anmeldeinformationen verlassen, sind die Ergebnisse dieses verifyIamPermissions Schritts möglicherweise ungenau.
Wie funktioniert es?
Das Runbook führt die folgenden Schritte aus:
getInstanceProfile: Überprüft, ob an die bereitgestellte Amazon EC2 EC2-Instance ein IAM-Instance-Profil angehängt ist.
verifyIamPermissions: Überprüft das mit der Instance verknüpfte Instance-Profil, um festzustellen, ob die erforderlichen IAM-Berechtigungen angewendet wurden.
getInstanceInformation: Prüft, ob die Instanz über einen aktiven Systems Manager Manager-Agenten verfügt, und ruft den Betriebssystemtyp der Instanz ab.
getAgentStatus: Prüft den Status des CloudWatch Amazon-Agenten auf der Instance (erweiterte Prüfung).
AnalyzeLogs/ analyzeLogsWindows: Analysiert und gibt Ergebnisse von Amazon CloudWatch Agent-Protokollen basierend auf dem Betriebssystemtyp aus.
CollectLogs/ collectLogsWindows: Bündelt und gibt die relevanten Amazon CloudWatch Agent-Fehlerbehebungsdateien basierend auf dem Betriebssystemtyp aus.
checkEndpointReachability/checkEndpointReachabilityWindows: Prüft je nach Betriebssystemtyp, ob die Instance die erforderlichen Endpunkte erreichen kann.
analyzeAwsEndpointReachabilityFromEC2: Ruft das untergeordnete Automatisierungs-Runbook auf, um die Erreichbarkeit der ausgewählten Instanz für die erforderlichen Endpunkte zu überprüfen (falls aktiviert).
Führen Sie diese Automatisierung aus (Konsole)
Art des Dokuments
Automatisierung
Eigentümer
Amazon
Plattformen
/
Erforderliche IAM-Berechtigungen
Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.
ec2: DescribeInstances
ich bin: GetInstanceProfile
ich bin: GetRole
ich bin: ListAttachedRolePolicies
ich bin: ListRolePolicies
ich bin: GetRolePolicy
ich bin: GetPolicy
ich bin: GetPolicyVersion
ich bin: SimulatePrincipalPolicy
ssm: DescribeInstanceInformation
ssm: SendCommand
ssm: GetCommandInvocation
ssm: DescribeInstanceAssociationsStatus
ssm: StartAutomationExecution
Beispiel für eine Richtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "iam:GetInstanceProfile", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:GetRolePolicy", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:SimulatePrincipalPolicy", "ssm:DescribeInstanceInformation", "ssm:SendCommand", "ssm:GetCommandInvocation", "ssm:DescribeInstanceAssociationsStatus", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
Anweisungen
Gehen Sie wie folgt vor, um die Automatisierung zu konfigurieren:
-
Navigieren Sie
AWSSupport-TroubleshootCloudWatchAgentim Systems Manager unter Dokumente zu. -
Wählen Sie Execute automation (Automatisierung ausführen).
-
Geben Sie für die Eingabeparameter Folgendes ein:
-
AutomationAssumeRole (Fakultativ):
Beschreibung: (Optional) Der ARN der IAM-Rolle, der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen auszuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.
Typ:
AWS::IAM::Role::Arn
-
InstanceId (Erforderlich):
Beschreibung: (Erforderlich) Die ID der Amazon EC2 EC2-Instance, auf der Sie Fehler beim Amazon CloudWatch Agent beheben möchten.
Typ:
AWS::EC2::Instance::IdMuster zulassen:
^i-[0-9a-f]{8,17}$
-
S3 UploadBucket (fakultativ):
Beschreibung: (Optional) Der Name eines Amazon S3 S3-Buckets zum Hochladen der gesammelten Amazon CloudWatch Agent-Protokolle. Das Amazon EC2 EC2-Instance-Profil muss über die richtigen Berechtigungen verfügen, um Dateien in diesen Bucket hochzuladen. Dies erfordert auch, dass es sich bei der Amazon EC2 EC2-Zielinstanz um eine von Systems Manager verwaltete Instance handelt.
Typ:
AWS::S3::Bucket::NameMuster zulassen:
^$|^[a-z0-9][a-z0-9.-]{1,61}[a-z0-9]$Standard:
""
-
S3 BucketOwnerAccountId (fakultativ):
Beschreibung: (Optional) Die AWS Kontonummer, der der Amazon S3 S3-Bucket gehört, in den Sie die Amazon CloudWatch Agent-Logs hochladen möchten. Wenn Sie diesen Parameter nicht ändern, verwenden die Runbooks die AWS Konto-ID des Benutzers oder der Rolle, in der die Automatisierung ausgeführt wird.
Typ:
StringMuster zulassen:
^\\{\\{ global:ACCOUNT_ID \\}\\}$|^[0-9]{12}$Standard:
{{ global:ACCOUNT_ID }}
-
EC2Endpunkt überprüfen (optional):
Beschreibung: (Optional) Geben Sie an,
trueob Ihre Agentenkonfiguration die Option verwendetappend_dimensions, Amazon EC2-Metrikdimensionen an die vom Agenten gesammelten Metriken anzuhängen. Wenn der Amazon CloudWatch Agent verwendetappend_dimensionswird, benötigt er Konnektivität zum Amazon EC2 EC2-API-Endpunkt, sodass zusätzliche Konnektivitätstests im Rahmen der erweiterten Prüfungen durchgeführt werden.Typ:
StringZulässige Werte:
[true, false]Standard:
false
-
RunVpcReachabilityAnalyzer (Fakultativ):
Beschreibung: (Optional) Geben Sie
truean, dass dieAWSSupport-AnalyzeAWSEndpointReachabilityFromEC2untergeordnete Automatisierung ausgeführt werden soll, wenn durch die erweiterten Prüfungen ein Netzwerkproblem festgestellt wurde oder wenn es sich bei der angegebenen Instanz-ID nicht um eine verwaltete Instanz handelt.Typ:
BooleanStandard:
false
-
RetainVpcReachabilityAnalysis (Optional):
Beschreibung: (Optional) Nur relevant, wenn
RunVpcReachabilityAnalyzeres isttrue. Geben Sietruean, dass der Netzwerkerkenntpfad und die zugehörigen Analysen, die von VPC Reachability Analyzer erstellt wurden, beibehalten werden sollen. Standardmäßig werden diese Ressourcen nach erfolgreicher Analyse gelöscht.Typ:
BooleanStandard:
false
-
-
Wählen Sie Ausführen aus.
-
Die Automatisierung wird initiiert.
-
Das Dokument führt die folgenden Schritte aus:
-
getInstanceProfile:
Überprüft, ob an die bereitgestellte Amazon EC2 EC2-Instance ein IAM-Instance-Profil angehängt ist.
-
branchOnInstanceProfileStatus:
Verzweigt die Automatisierung, um zu überprüfen, ob die erforderlichen Berechtigungen für das Instance-Profil erforderlich sind, wenn das Instance-Profil an die Instance angehängt ist.
-
verifyIamPermissions:
Überprüft das mit der Instanz verknüpfte Instanzprofil, um festzustellen, ob die erforderlichen IAM-Berechtigungen angewendet wurden.
-
getInstanceInformation:
Überprüft, ob die Instanz über einen aktiven Systems Manager Manager-Agenten verfügt, und ruft den Betriebssystemtyp der Instanz ab.
-
branchOnManagedInstanz:
Verzweigt die Automatisierung, um erweiterte Prüfungen durchzuführen, ob die Instanz verwaltet wird.
-
getAgentStatus:
Prüft den Status des CloudWatch Amazon-Agenten auf der Instance.
-
branchOnInstanceOsType:
Verzweigt die Automatisierung so, dass sie je nach Betriebssystem einen bestimmten collection/analysis Protokollbefehl ausführt.
-
Protokolle analysieren/: analyzeLogsWindows
Analysiert und gibt Ergebnisse von Amazon CloudWatch Agent-Protokollen basierend auf dem Betriebssystemtyp aus.
-
CollectLogs/ collectLogsWindows:
Bündelt und gibt die relevanten Amazon CloudWatch Agent-Fehlerbehebungsdateien basierend auf dem Betriebssystemtyp aus.
-
checkEndpointReachability/checkEndpointReachabilityWindows:
Überprüft, ob die Instanz je nach Betriebssystemtyp die erforderlichen Endpunkte erreichen kann.
-
branchOnRunVpcReachabilityAnalyzer:
Verzweigt die Automatisierung, um eine VPC-Erreichbarkeitsanalyse durchzuführen, falls diese Option aktiviert ist und Netzwerkprobleme erkannt werden.
-
Endpunkte generieren:
Generiert einen Endpunkt zur Überprüfung anhand der Fehler bei erweiterten Prüfungen und dem Wert von.
CheckEC2Endpoint -
analyzeAwsEndpointReachabilityFromEC2:
Ruft das Automatisierungs-Runbook
AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2auf, um die Erreichbarkeit der ausgewählten Instanz für die erforderlichen Endpunkte zu überprüfen. -
Ergebnisse ausgeben:
Gibt die Ergebnisse der Schritte zur Ausführung der Automatisierung aus.
-
-
Nach Abschluss des Vorgangs finden Sie im Abschnitt Ausgaben die detaillierten Ergebnisse der Ausführung.
Referenzen
Systems Manager Automation
