Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Richten Sie den CloudWatch Agenten mit Linux mit erweiterter Sicherheit (SELinux) ein
<a name="CloudWatch-Agent-SELinux"></a>

Wenn auf Ihrem System Security-Enhanced Linux (SELinux) aktiviert ist, müssen Sie die entsprechenden Sicherheitsrichtlinien anwenden, um sicherzustellen, dass der Agent in einer begrenzten Domäne ausgeführt wird. CloudWatch 

## Voraussetzungen
<a name="CloudWatch-Agent-SELinux-prerequisites"></a>

Bevor Sie SELinux für den Agenten konfigurieren können, überprüfen Sie die folgenden **Voraussetzungen**:

**Um die Voraussetzungen für die Verwendung des Agenten mit SELinux zu erfüllen CloudWatch**

1. Falls noch nicht erfolgt, installieren Sie die folgenden SELinux-Richtlinienentwicklungspakete:

   ```
   sudo yum update
   sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git
   ```

1. Führen Sie den folgenden Befehl aus, um den SELinux-Status Ihres Systems zu überprüfen:

   ```
   sestatus
   ```

   Beispielausgabe:

   ```
   SELinux status:                 enabled
   SELinuxfs mount:                /sys/fs/selinux
   SELinux root directory:         /etc/selinux
   Loaded policy name:             targeted
   Current mode:                   permissive
   Mode from config file:          permissive
   Policy MLS status:              enabled
   Policy deny_unknown status:     allowed
   Memory protection checking:     actual (secure)
   Max kernel policy version:      33
   ```

   Wenn Sie feststellen, dass SELinux derzeit deaktiviert ist, führen Sie die folgenden Schritte aus:

   1. Öffnen Sie die SELinux-Datei, indem Sie den folgenden Befehl eingeben:

      ```
      sudo vi /etc/selinux/config
      ```

   1. Setzen Sie den `SELINUX`-Parameter auf `permissive` oder `enforcing`. Beispiel:

      ```
      SELINUX=enforcing
      ```

   1. Speichern Sie die Datei und starten Sie das System neu, um die Änderungen zu übernehmen.

      ```
      sudo reboot
      ```

1. Stellen Sie sicher, dass der CloudWatch Agent als Dienst ausgeführt wird. `systemd` Das ist erforderlich, um ihn innerhalb einer begrenzten SELinux-Domain zu verwenden.

   ```
   sudo systemctl status amazon-cloudwatch-agent
   ```

   Wenn der Agent korrekt konfiguriert ist, sollte beim Start `active (running)` und `enabled` ausgegeben werden.

## Konfigurieren von SELinux für den Agenten
<a name="CloudWatch-Agent-SELinux-configure"></a>

Sobald die Voraussetzungen erfüllt sind, können Sie SELinux konfigurieren.

**Um SELinux für den Agenten zu konfigurieren CloudWatch**

1. Klonen Sie die SELinux-Richtlinie für den CloudWatch Agenten, indem Sie den folgenden Befehl eingeben:

   ```
   git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git
   ```

1. Navigieren Sie zum geklonten Repository und aktualisieren Sie dann die Skriptberechtigungen, indem Sie die folgenden Befehle eingeben:

   ```
   cd amazon-cloudwatch-agent-selinux  
   chmod +x amazon_cloudwatch_agent.sh
   ```

1. Verwenden Sie `sudo` zum Ausführen des Installationsskripts für die SELinux-Richtlinie, indem Sie den folgenden Befehl eingeben. Während der Ausführung fordert Sie das Skript auf, `y` oder `n` einzugeben, um den automatischen Neustart zu ermöglichen. Der Neustart stellt sicher, dass der Agent zur richtigen SELinux-Domain wechselt.

   ```
   sudo ./amazon_cloudwatch_agent.sh
   ```

1. Wenn der CloudWatch Agent noch nicht neu gestartet wurde, starten Sie ihn neu, um sicherzustellen, dass er zur richtigen SELinux-Domäne wechselt:

   ```
   sudo systemctl restart amazon-cloudwatch-agent
   ```

1. Stellen Sie sicher, dass der CloudWatch Agent in der beschränkten Domäne ausgeführt wird, indem Sie den folgenden Befehl eingeben:

   ```
   ps -efZ | grep amazon-cloudwatch-agent
   ```

   Wenn der Agent korrekt eingeschränkt ist, sollte in der Ausgabe eine SELinux-confined Domäne anstelle von angegeben `unconfined_service_t` werden.

   Nachstehend finden Sie ein Beispiel für eine Ausgabe, wenn der Agent korrekt eingeschränkt wurde.

   ```
   system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent
   ```

Nachdem SELinux konfiguriert wurde, können Sie damit fortfahren, den Agenten so zu konfigurieren, dass er Metriken, Protokolle und Ablaufverfolgungen erfasst. Weitere Informationen finden Sie unter [Erstellen oder bearbeiten Sie die CloudWatch Agenten-Konfigurationsdatei manuell](CloudWatch-Agent-Configuration-File-Details.md).