`AWSSupport-TroubleshootCloudWatchAgent`

Descrizione

Il AWSSupport-TroubleshootCloudWatchAgentrunbook automatizza la risoluzione dei problemi di Amazon CloudWatch Agent sulle tue istanze Amazon Elastic Compute Cloud (Amazon EC2). Il runbook esegue questa risoluzione dei problemi attraverso una serie di controlli di base e (facoltativi) estesi.

I controlli di base includono quanto segue:

Verifica la presenza di un profilo di istanza AWS Identity and Access Management (IAM)
Verifica se le autorizzazioni IAM di Amazon CloudWatch Agent necessarie sono collegate all'istanza Amazon EC2

I controlli estesi vengono eseguiti solo se l'ID dell'istanza Amazon EC2 fornito è un'istanza gestita da Systems Manager. Questi controlli estesi includono quanto segue:

Verifica lo stato dell' CloudWatch agente Amazon sull'istanza
Analizza i log di Amazon CloudWatch Agent per individuare i problemi più comuni e le relative procedure di risoluzione
Comprimi i log e i file di configurazione pertinenti sull'istanza Amazon EC2 e, facoltativamente, caricali in un bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) di tua scelta
Esegui un controllo della connettività tra l'istanza e gli endpoint richiesti

Importante

Quando il RunVpcReachabilityAnalyzer parametro è impostato sutrue, questo runbook determinerà se è necessario chiamare il runbook secondario,. AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 Il runbook secondario utilizza VPC Reachability Analyzer, che ha un costo associato. Per ulteriori informazioni sui prezzi, consulta la documentazione sui prezzi di Amazon VPC.

Importante

Questo runbook verifica solo il ruolo del profilo dell'istanza IAM per verificare le autorizzazioni necessarie. Se invece ti affidi alle credenziali definite in un .aws/credentials file, i risultati del verifyIamPermissions passaggio potrebbero essere imprecisi.

Come funziona?

Il runbook esegue i seguenti passaggi:

getInstanceProfile: verifica se all'istanza Amazon EC2 fornita è associato un profilo di istanza IAM.
verifyIamPermissions: verifica il profilo dell'istanza associato all'istanza per determinare se vengono applicate le autorizzazioni IAM necessarie.
getInstanceInformation: verifica se l'istanza ha un agente Systems Manager attivo e recupera il tipo di sistema operativo dell'istanza.
getAgentStatus: verifica lo stato dell' CloudWatch agente Amazon sull'istanza (controllo esteso).
AnalyzeLogs/ analyzeLogsWindows: analizza e restituisce i risultati dei log di Amazon CloudWatch Agent in base al tipo di sistema operativo.
collectLogs/ collectLogsWindows: raggruppa e genera i file di risoluzione dei problemi di CloudWatch Amazon Agent pertinenti in base al tipo di sistema operativo.
checkEndpointReachability/checkEndpointReachabilityWindows: verifica se l'istanza può raggiungere gli endpoint richiesti in base al tipo di sistema operativo.
analyzeAwsEndpointReachabilityFromEC2: richiama il runbook di automazione secondario per verificare la raggiungibilità dell'istanza selezionata verso gli endpoint richiesti (se abilitato).

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

ec2: DescribeInstances
obiettivo: GetInstanceProfile
Io sono: GetRole
Io sono: ListAttachedRolePolicies
Io sono: ListRolePolicies
Io sono: GetRolePolicy
Io sono: GetPolicy
Io sono: GetPolicyVersion
Io sono: SimulatePrincipalPolicy
sms: DescribeInstanceInformation
ssm: SendCommand
ssm: GetCommandInvocation
ssm: DescribeInstanceAssociationsStatus
ssm: StartAutomationExecution

Politica di esempio:


{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "iam:GetInstanceProfile",
                "iam:GetRole",
                "iam:ListAttachedRolePolicies",
                "iam:ListRolePolicies",
                "iam:GetRolePolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:SimulatePrincipalPolicy",
                "ssm:DescribeInstanceInformation",
                "ssm:SendCommand",
                "ssm:GetCommandInvocation",
                "ssm:DescribeInstanceAssociationsStatus",
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
            }
        ]
        }

Istruzioni

Segui questi passaggi per configurare l'automazione:

Accedere AWSSupport-TroubleshootCloudWatchAgenta Systems Manager nella sezione Documenti.
Seleziona Execute automation (Esegui automazione).
Per i parametri di input, immettete quanto segue:
- AutomationAssumeRole (Facoltativo):
  - Descrizione: (Facoltativo) L'ARN del ruolo IAM che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.
  - Tipo: AWS::IAM::Role::Arn
- InstanceId (Obbligatorio):
  - Descrizione: (Obbligatorio) L'ID dell'istanza Amazon EC2 su cui desideri risolvere i problemi di Amazon CloudWatch Agent.
  - Tipo: AWS::EC2::Instance::Id
  - Pattern consentito: ^i-[0-9a-f]{8,17}$
- S3 UploadBucket (opzionale):
  - Descrizione: (Facoltativo) Il nome di un bucket Amazon S3 per caricare i log di Amazon CloudWatch Agent raccolti. Il profilo dell'istanza Amazon EC2 deve disporre delle autorizzazioni corrette per caricare file in questo bucket. Ciò richiede inoltre che l'istanza Amazon EC2 di destinazione sia un'istanza gestita da Systems Manager.
  - Tipo: AWS::S3::Bucket::Name
  - Pattern di autorizzazione: ^$|^[a-z0-9][a-z0-9.-]{1,61}[a-z0-9]$
  - Impostazione predefinita: ""
- S3 BucketOwnerAccountId (opzionale):
  - Descrizione: (Facoltativo) Il numero di AWS account proprietario del bucket Amazon S3 in cui desideri caricare i log di Amazon CloudWatch Agent. Se non modifichi questo parametro, i runbook utilizzano l'ID AWS account dell'utente o del ruolo in cui viene eseguita l'automazione.
  - Tipo: String
  - Pattern consentito: ^\\{\\{ global:ACCOUNT_ID \\}\\}$|^[0-9]{12}$
  - Impostazione predefinita: {{ global:ACCOUNT_ID }}
- Check EC2 Endpoint (opzionale):
  - Descrizione: (Facoltativo) Specificate true se la configurazione dell'agente utilizza l'opzione append_dimensions per aggiungere le dimensioni dei parametri di Amazon EC2 ai parametri raccolti dall'agente. Quando append_dimensions viene utilizzato, Amazon CloudWatch Agent richiede la connettività all'endpoint dell'API Amazon EC2, pertanto verranno eseguiti test di connettività aggiuntivi tramite i controlli estesi.
  - Tipo: String
  - Valori consentiti: [true, false]
  - Impostazione predefinita: false
- RunVpcReachabilityAnalyzer (Facoltativo):
  - Descrizione: (Facoltativo) true Specificare di eseguire l'automazione AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 secondaria se un problema di rete è determinato dai controlli estesi o se l'ID dell'istanza specificato non è un'istanza gestita.
  - Tipo: Boolean
  - Impostazione predefinita: false
- RetainVpcReachabilityAnalysis (Facoltativo):
  - Descrizione: (Facoltativa) Rilevante solo se lo RunVpcReachabilityAnalyzer ètrue. trueSpecificare se conservare il percorso di analisi della rete e le relative analisi create da VPC Reachability Analyzer. Per impostazione predefinita, tali risorse vengono eliminate dopo un'analisi riuscita.
  - Tipo: Boolean
  - Impostazione predefinita: false
Seleziona Esegui.
L'automazione viene avviata.
Il documento esegue le seguenti operazioni:
- getInstanceProfile:
  
  Verifica se l'istanza Amazon EC2 fornita ha un profilo di istanza IAM collegato.
- branchOnInstanceProfileStatus:
  
  Suddivide l'automazione per verificare le autorizzazioni necessarie al profilo dell'istanza se il profilo dell'istanza è collegato all'istanza.
- verifyIamPermissions:
  
  Controlla il profilo di istanza associato all'istanza per determinare se vengono applicate le autorizzazioni IAM necessarie.
- getInstanceInformation:
  
  Verifica se l'istanza ha un agente Systems Manager attivo e recupera il tipo di sistema operativo dell'istanza.
- branchOnManagedIstanza:
  
  Suddivide l'automazione per eseguire controlli estesi se l'istanza è gestita.
- getAgentStatus:
  
  Verifica lo stato dell' CloudWatch agente Amazon sull'istanza.
- branchOnInstanceOsType:
  
  Suddivide l'automazione per eseguire uno specifico collection/analysis comando di registro in base al sistema operativo.
- Analizza i registri/: analyzeLogsWindows
  
  Analizza e restituisce i risultati dei log di Amazon CloudWatch Agent in base al tipo di sistema operativo.
- collectLogsWindowsRaccogli logs/:
  
  Raggruppa e genera i file di risoluzione dei problemi di Amazon CloudWatch Agent pertinenti in base al tipo di sistema operativo.
- checkEndpointReachability/Windows: checkEndpointReachability
  
  Verifica se l'istanza può raggiungere gli endpoint richiesti in base al tipo di sistema operativo.
- branchOnRunVpcReachabilityAnalyzer:
  
  Suddivide l'automazione per eseguire l'analisi della raggiungibilità del VPC, se abilitata e vengono rilevati problemi di rete.
- Genera endpoint:
  
  Genera un endpoint da controllare in base agli errori di controllo estesi e al valore di. CheckEC2Endpoint
- analyzeAwsEndpointReachabilityFromEC2:
  
  Richiama il runbook di automazione AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 per verificare la raggiungibilità dell'istanza selezionata verso gli endpoint richiesti.
- Risultati dell'output:
  
  Emette i risultati delle fasi di esecuzione dell'automazione.
Dopo il completamento, consulta la sezione Output per i risultati dettagliati dell'esecuzione.

Riferimenti

Systems Manager Automation

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS-EnableCWAlarm

AWSSupport-TroubleshootCloudWatchAlarm