AWSSupport-TroubleshootCloudWatchAgent - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-TroubleshootCloudWatchAgent

Description

Le AWSSupport-TroubleshootCloudWatchAgentrunbook automatise le dépannage de l' CloudWatch agent Amazon sur vos instances Amazon Elastic Compute Cloud (Amazon EC2). Le runbook effectue ce dépannage par le biais d'une série de vérifications de base et (facultatives) étendues.

Les contrôles de base sont les suivants :

  • Rechercher un profil d'instance Gestion des identités et des accès AWS (IAM)

  • Vérifiez si les autorisations IAM Amazon CloudWatch Agent nécessaires sont associées à l'instance Amazon EC2

Les contrôles étendus ne sont effectués que si l'ID d'instance Amazon EC2 fourni est une instance gérée par Systems Manager. Ces contrôles étendus incluent les suivants :

  • Vérifiez le statut de l' CloudWatch agent Amazon sur l'instance

  • Analysez les journaux de l' CloudWatch agent Amazon pour détecter les problèmes courants et les étapes de dépannage pertinentes

  • Compressez les journaux et les fichiers de configuration pertinents sur l'instance Amazon EC2 et téléchargez-les éventuellement dans un compartiment Amazon Simple Storage Service (Amazon S3) de votre choix

  • Effectuez un contrôle de connectivité entre l'instance et les points de terminaison requis

Important

Lorsque le RunVpcReachabilityAnalyzer paramètre est défini surtrue, ce runbook déterminera s'il est nécessaire d'appeler le runbook enfant,. AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 Le runbook enfant utilise l'Analyzer de Reachability Analyzer VPC, qui a un coût associé. Pour plus d'informations sur la tarification, consultez la documentation de tarification d'Amazon VPC.

Important

Ce runbook vérifie uniquement les autorisations nécessaires dans votre rôle de profil d'instance IAM. Si vous vous fiez plutôt aux informations d'identification définies dans un .aws/credentials fichier, les résultats de l'verifyIamPermissionsétape risquent d'être inexacts.

Fonctionnement

Le runbook exécute les étapes suivantes :

  • getInstanceProfile: Vérifie si un profil d'instance IAM est attaché à l'instance Amazon EC2 fournie.

  • verifyIamPermissions: Vérifie le profil d'instance associé à l'instance pour déterminer si les autorisations IAM nécessaires sont appliquées.

  • getInstanceInformation: Vérifie si l'instance possède un agent Systems Manager actif et récupère le type de système d'exploitation de l'instance.

  • getAgentStatus: Vérifie le statut de l' CloudWatch agent Amazon sur l'instance (vérification étendue).

  • AnalyzeLogs/ analyzeLogsWindows : analyse et génère les résultats des journaux Amazon CloudWatch Agent en fonction du type de système d'exploitation.

  • CollectLogs/ collectLogsWindows : regroupe et génère les fichiers de dépannage pertinents de l' CloudWatch agent Amazon en fonction du type de système d'exploitation.

  • checkEndpointReachability/checkEndpointReachabilityWindows : vérifie si l'instance peut atteindre les points de terminaison requis en fonction du type de système d'exploitation.

  • analyzeAwsEndpointReachabilityFromEC2: Appelle le runbook d'automatisation des enfants pour vérifier l'accessibilité de l'instance sélectionnée aux points de terminaison requis (si activé).

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

/

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • EC2 : DescribeInstances

  • iam : GetInstanceProfile

  • iam : GetRole

  • iam : ListAttachedRolePolicies

  • iam : ListRolePolicies

  • iam : GetRolePolicy

  • iam : GetPolicy

  • iam : GetPolicyVersion

  • iam : SimulatePrincipalPolicy

  • SMS : DescribeInstanceInformation

  • SMS : SendCommand

  • SMS : GetCommandInvocation

  • SMS : DescribeInstanceAssociationsStatus

  • SMS : StartAutomationExecution

Exemple de politique : 

{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "iam:GetInstanceProfile",
                "iam:GetRole",
                "iam:ListAttachedRolePolicies",
                "iam:ListRolePolicies",
                "iam:GetRolePolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:SimulatePrincipalPolicy",
                "ssm:DescribeInstanceInformation",
                "ssm:SendCommand",
                "ssm:GetCommandInvocation",
                "ssm:DescribeInstanceAssociationsStatus",
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
            }
        ]
        }

Instructions

Pour configurer l'automatisation, procédez comme suit :

  1. Accédez AWSSupport-TroubleshootCloudWatchAgentà Systems Manager sous Documents.

  2. Sélectionnez Execute automation (Exécuter l'automatisation).

  3. Pour les paramètres d'entrée, entrez ce qui suit :

    • AutomationAssumeRole (Facultatif) :

      • Description : (Facultatif) L'ARN du rôle IAM qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

      • Type : AWS::IAM::Role::Arn

    • InstanceId (Obligatoire) :

      • Description : (Obligatoire) L'ID de l'instance Amazon EC2 sur laquelle vous souhaitez dépanner l'agent Amazon CloudWatch .

      • Type : AWS::EC2::Instance::Id

      • Autoriser le modèle : ^i-[0-9a-f]{8,17}$

    • S3 UploadBucket (facultatif) :

      • Description : (Facultatif) Le nom d'un compartiment Amazon S3 pour télécharger les journaux Amazon CloudWatch Agent collectés. Le profil d'instance Amazon EC2 doit disposer des autorisations appropriées pour charger des fichiers dans ce compartiment. Cela nécessite également que l'instance Amazon EC2 cible soit une instance gérée par Systems Manager.

      • Type : AWS::S3::Bucket::Name

      • Autoriser le modèle : ^$|^[a-z0-9][a-z0-9.-]{1,61}[a-z0-9]$

      • Valeur par défaut : ""

    • S3 BucketOwnerAccountId (facultatif) :

      • Description : (Facultatif) Le numéro de AWS compte propriétaire du compartiment Amazon S3 dans lequel vous souhaitez télécharger les journaux Amazon CloudWatch Agent. Si vous ne modifiez pas ce paramètre, les runbooks utilisent l'ID de AWS compte de l'utilisateur ou du rôle dans lequel l'automatisation s'exécute.

      • Type : String

      • Autoriser le modèle : ^\\{\\{ global:ACCOUNT_ID \\}\\}$|^[0-9]{12}$

      • Valeur par défaut : {{ global:ACCOUNT_ID }}

    • Vérifiez le EC2 point de terminaison (facultatif) :

      • Description : (Facultatif) Spécifiez true si la configuration de votre agent utilise l'option append_dimensions permettant d'ajouter des dimensions métriques Amazon EC2 aux métriques collectées par l'agent. Lorsqu'il append_dimensions est utilisé, l' CloudWatch agent Amazon nécessite une connectivité au point de terminaison de l'API Amazon EC2. Des tests de connectivité supplémentaires seront donc effectués via les contrôles étendus.

      • Type : String

      • Valeurs autorisées : [true, false]

      • Valeur par défaut : false

    • RunVpcReachabilityAnalyzer (Facultatif) :

      • Description : (Facultatif) Spécifiez true l'AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2exécution de l'automatisation secondaire si un problème réseau est déterminé par les vérifications étendues ou si l'ID d'instance spécifié n'est pas une instance gérée.

      • Type : Boolean

      • Valeur par défaut : false

    • RetainVpcReachabilityAnalysis (Facultatif) :

      • Description : (Facultatif) Pertinent uniquement si tel RunVpcReachabilityAnalyzer est le castrue. Spécifiez true pour conserver le chemin d'accès au réseau et les analyses associées créées par VPC Reachability Analyzer. Par défaut, ces ressources sont supprimées après une analyse réussie.

      • Type : Boolean

      • Valeur par défaut : false

  4. Sélectionnez Exécuter.

  5. L'automatisation démarre.

  6. Le document exécute les étapes suivantes :

    • getInstanceProfile:

      Vérifie si un profil d'instance IAM est attaché à l'instance Amazon EC2 fournie.

    • branchOnInstanceProfileStatus:

      Branche l'automatisation pour vérifier les autorisations de profil d'instance nécessaires si le profil d'instance est attaché à l'instance.

    • verifyIamPermissions:

      Vérifie le profil d'instance associé à l'instance pour déterminer si les autorisations IAM nécessaires sont appliquées.

    • getInstanceInformation:

      Vérifie si l'instance possède un agent Systems Manager actif et extrait le type de système d'exploitation de l'instance.

    • branchOnManagedInstance :

      Branche l'automatisation pour effectuer des vérifications étendues si l'instance est gérée.

    • getAgentStatus:

      Vérifie le statut de l' CloudWatch agent Amazon sur l'instance.

    • branchOnInstanceOsType:

      Branche l'automatisation pour exécuter une collection/analysis commande de journal spécifique en fonction du système d'exploitation.

    • Journaux d'analyse/ : analyzeLogsWindows

      Analyse et génère les résultats des journaux Amazon CloudWatch Agent en fonction du type de système d'exploitation.

    • Collectez les logs/ collectLogsWindows :

      Regroupe et génère les fichiers de dépannage Amazon CloudWatch Agent pertinents en fonction du type de système d'exploitation.

    • checkEndpointReachability/checkEndpointReachabilityFenêtres :

      Vérifie si l'instance peut atteindre les points de terminaison requis en fonction du type de système d'exploitation.

    • branchOnRunVpcReachabilityAnalyzer:

      Branche l'automatisation pour exécuter une analyse de l'accessibilité des VPC si cette option est activée et que des problèmes de réseau sont détectés.

    • Générez des points de terminaison :

      Génère un point de terminaison à vérifier à partir des échecs de vérification étendus et de la valeur deCheckEC2Endpoint.

    • analyzeAwsEndpointReachabilityFromEC2:

      Appelle le runbook d'automatisation AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 pour vérifier l'accessibilité de l'instance sélectionnée aux points de terminaison requis.

    • Conclusions relatives aux résultats :

      Affiche les résultats des étapes d'exécution de l'automatisation.

  7. Une fois l'exécution terminée, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.

Références

Systems Manager Automation