AWSSupport-TroubleshootCloudWatchAgent - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-TroubleshootCloudWatchAgent

Descripción

El AWSSupport-TroubleshootCloudWatchAgentmanual automatiza la solución de problemas del Amazon CloudWatch Agent en sus instancias de Amazon Elastic Compute Cloud (Amazon EC2). El manual realiza esta solución de problemas mediante una serie de comprobaciones básicas y ampliadas (opcionales).

Las comprobaciones básicas incluyen las siguientes:

  • Compruebe si hay un AWS Identity and Access Management perfil de instancia (IAM)

  • Compruebe si los permisos de IAM de Amazon CloudWatch Agent necesarios están adjuntos a la instancia Amazon EC2

Las comprobaciones ampliadas solo se realizan si el ID de instancia de Amazon EC2 proporcionado es una instancia gestionada por Systems Manager. Entre estas comprobaciones ampliadas se incluyen las siguientes:

  • Comprueba el estado del CloudWatch agente de Amazon en la instancia

  • Analice los registros del Amazon CloudWatch Agent para ver los problemas comunes y los pasos de solución de problemas relevantes

  • Comprima los registros y archivos de configuración pertinentes en la instancia de Amazon EC2 y, si lo desea, cárguelos en el depósito de Amazon Simple Storage Service (Amazon S3) que prefiera

  • Realice una comprobación de conectividad entre la instancia y los puntos de enlace necesarios

importante

Cuando el RunVpcReachabilityAnalyzer parámetro esté establecido entrue, este manual determinará si es necesario llamar al runbook secundario,. AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 El manual secundario utiliza el Reachability Analyzer de VPC, que tiene un costo asociado. Para obtener más información sobre los precios, consulte la documentación de precios de Amazon VPC.

importante

Este manual solo comprueba el rol de su perfil de instancia de IAM para ver si tiene los permisos necesarios. Si, por el contrario, se basa en las credenciales definidas en un .aws/credentials archivo, es posible que los resultados del verifyIamPermissions paso no sean precisos.

¿Cómo funciona?

El manual de ejecución lleva a cabo los siguientes pasos:

  • getInstanceProfile: Comprueba si la instancia Amazon EC2 proporcionada tiene un perfil de instancia de IAM adjunto.

  • verifyIamPermissions: Comprueba el perfil de instancia asociado a la instancia para determinar si se han aplicado los permisos de IAM necesarios.

  • getInstanceInformation: Comprueba si la instancia tiene un agente de Systems Manager activo y busca el tipo de sistema operativo de la instancia.

  • getAgentStatus: Comprueba el estado del CloudWatch agente de Amazon en la instancia (comprobación ampliada).

  • AnalyzeLogs/ analyzeLogsWindows: analiza y genera los resultados de los registros de Amazon CloudWatch Agent en función del tipo de sistema operativo.

  • CollectLogs/ collectLogsWindows: agrupa y genera los archivos de solución de problemas de Amazon CloudWatch Agent correspondientes en función del tipo de sistema operativo.

  • checkEndpointReachability/checkEndpointReachabilityWindows: comprueba si la instancia puede alcanzar los puntos finales requeridos en función del tipo de sistema operativo.

  • analyzeAwsEndpointReachabilityFromEC2: Consulta el manual de automatización secundario para comprobar si la instancia seleccionada es accesible a los puntos finales necesarios (si está activado).

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

/

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ec2: DescribeInstances

  • objetivo: GetInstanceProfile

  • objetivo: GetRole

  • objetivo: ListAttachedRolePolicies

  • objetivo: ListRolePolicies

  • objetivo: GetRolePolicy

  • objetivo: GetPolicy

  • objetivo: GetPolicyVersion

  • objetivo: SimulatePrincipalPolicy

  • ssm: DescribeInstanceInformation

  • ssm: SendCommand

  • ssm: GetCommandInvocation

  • ssm: DescribeInstanceAssociationsStatus

  • ssm: StartAutomationExecution

Ejemplo de política: 

{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "iam:GetInstanceProfile",
                "iam:GetRole",
                "iam:ListAttachedRolePolicies",
                "iam:ListRolePolicies",
                "iam:GetRolePolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:SimulatePrincipalPolicy",
                "ssm:DescribeInstanceInformation",
                "ssm:SendCommand",
                "ssm:GetCommandInvocation",
                "ssm:DescribeInstanceAssociationsStatus",
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
            }
        ]
        }

Instrucciones

Siga estos pasos para configurar la automatización:

  1. Navegue hasta AWSSupport-TroubleshootCloudWatchAgentSystems Manager en Documentos.

  2. Elija Execute automation (Ejecutar automatización).

  3. Para los parámetros de entrada, introduzca lo siguiente:

    • AutomationAssumeRole (Opcional):

      • Descripción: (opcional) El ARN del rol de IAM que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

      • Tipo: AWS::IAM::Role::Arn

    • InstanceId (Obligatorio):

      • Descripción: (Obligatorio) El ID de la instancia de Amazon EC2 en la que desea solucionar los problemas del Amazon CloudWatch Agent.

      • Tipo: AWS::EC2::Instance::Id

      • Patrón de permisos: ^i-[0-9a-f]{8,17}$

    • S3 UploadBucket (opcional):

      • Descripción: (opcional) El nombre de un depósito de Amazon S3 para cargar los registros de Amazon CloudWatch Agent recopilados. El perfil de instancia de Amazon EC2 debe tener los permisos correctos para cargar archivos en este bucket. Esto también requiere que la instancia Amazon EC2 de destino sea una instancia gestionada por Systems Manager.

      • Tipo: AWS::S3::Bucket::Name

      • Patrón de permisos: ^$|^[a-z0-9][a-z0-9.-]{1,61}[a-z0-9]$

      • Valor predeterminado: ""

    • S3 BucketOwnerAccountId (opcional):

      • Descripción: (opcional) El número de AWS cuenta propietario del depósito de Amazon S3 en el que desea cargar los registros de Amazon CloudWatch Agent. Si no modificas este parámetro, los manuales utilizan el ID de AWS cuenta del usuario o rol en el que se ejecuta la automatización.

      • Tipo: String

      • Patrón de permisos: ^\\{\\{ global:ACCOUNT_ID \\}\\}$|^[0-9]{12}$

      • Valor predeterminado: {{ global:ACCOUNT_ID }}

    • Compruebe el EC2 punto final (opcional):

      • Descripción: (opcional) Especifique true si la configuración de su agente utiliza la opción de append_dimensions añadir las dimensiones métricas de Amazon EC2 a las métricas recopiladas por el agente. Cuando append_dimensions se utiliza, el Amazon CloudWatch Agent requiere conectividad con el punto final de la API de Amazon EC2, por lo que se realizarán pruebas de conectividad adicionales mediante las comprobaciones ampliadas.

      • Tipo: String

      • Valores permitidos: [true, false]

      • Valor predeterminado: false

    • RunVpcReachabilityAnalyzer (Opcional):

      • Descripción: (opcional) Especifique true que se ejecute la automatización AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 secundaria si las comprobaciones ampliadas determinan un problema de red o si el ID de instancia especificado no es una instancia administrada.

      • Tipo: Boolean

      • Valor predeterminado: false

    • RetainVpcReachabilityAnalysis (Opcional):

      • Descripción: (opcional) Solo es relevante si lo RunVpcReachabilityAnalyzer estrue. Especifique si desea true conservar la ruta de conocimiento de la red y los análisis relacionados creados por el Reachability Analyzer de VPC. De forma predeterminada, esos recursos se eliminan después de un análisis exitoso.

      • Tipo: Boolean

      • Valor predeterminado: false

  4. Seleccione Ejecutar.

  5. Se inicia la automatización.

  6. Este documento realiza los siguientes pasos:

    • getInstanceProfile:

      Comprueba si la instancia Amazon EC2 proporcionada tiene un perfil de instancia de IAM adjunto.

    • branchOnInstanceProfileStatus:

      Ramifica la automatización para comprobar los permisos de perfil de instancia necesarios si el perfil de instancia está adjunto a la instancia.

    • verifyIamPermissions:

      Comprueba el perfil de instancia asociado a la instancia para determinar si se han aplicado los permisos de IAM necesarios.

    • getInstanceInformation:

      Comprueba si la instancia tiene un agente de Systems Manager activo y busca el tipo de sistema operativo de la instancia.

    • branchOnManagedInstancia:

      Ramifica la automatización para realizar comprobaciones ampliadas si la instancia está gestionada.

    • getAgentStatus:

      Comprueba el estado del Amazon CloudWatch Agent en la instancia.

    • branchOnInstanceOsType:

      Ramifica la automatización para ejecutar un collection/analysis comando de registro específico en función del sistema operativo.

    • Analice los registros/ analyzeLogsWindows:

      Analiza y genera los resultados de los registros de Amazon CloudWatch Agent en función del tipo de sistema operativo.

    • CollectLogs/ collectLogsWindows:

      Agrupa y genera los archivos de solución de problemas de Amazon CloudWatch Agent correspondientes en función del tipo de sistema operativo.

    • checkEndpointReachability/checkEndpointReachabilityWindows:

      Comprueba si la instancia puede alcanzar los puntos finales necesarios en función del tipo de sistema operativo.

    • branchOnRunVpcReachabilityAnalyzer:

      Ramifica la automatización para ejecutar el análisis de accesibilidad de la VPC si está habilitada y se detectan problemas de red.

    • Genere puntos finales:

      Genera un punto final para comprobar los errores de comprobación prolongados y el valor de. CheckEC2Endpoint

    • analyzeAwsEndpointReachabilityFromEC2:

      Llama al manual de automatización AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 para comprobar la accesibilidad de la instancia seleccionada a los puntos finales necesarios.

    • Hallazgos de salida:

      Genera los resultados de los pasos de ejecución de la automatización.

  7. Una vez finalizada, revise la sección de resultados para ver los resultados detallados de la ejecución.

Referencias

Automatización de Systems Manager