Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Siapkan CloudWatch agen dengan Linux yang disempurnakan keamanan () SELinux
Jika sistem Anda mengaktifkan Linux (SELinux) yang disempurnakan keamanan, Anda harus menerapkan kebijakan keamanan yang sesuai untuk memastikan bahwa CloudWatch agen berjalan dalam domain terbatas.
## Prasyarat
Sebelum Anda dapat mengkonfigurasi SELinux untuk agen, periksa **prasyarat** berikut:
**Untuk melengkapi prasyarat untuk menggunakan agen dengan CloudWatch SELinux**
1. Jika Anda belum melakukannya, instal paket pengembangan SELinux kebijakan berikut:
```
sudo yum update
sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git
```
1. Jalankan perintah berikut untuk memeriksa SELinux status sistem Anda:
```
sestatus
```
Contoh output:
```
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: permissive
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33
```
Jika Anda menemukan bahwa saat SELinux ini dinonaktifkan, lakukan hal berikut:
1. Buka SELinux file dengan memasukkan perintah berikut:
```
sudo vi /etc/selinux/config
```
1. Atur `SELINUX` parameter ke salah satu `permissive` atau`enforcing`. Contoh:
```
SELINUX=enforcing
```
1. Simpan file dan reboot sistem untuk menerapkan perubahan.
```
sudo reboot
```
1. Pastikan CloudWatch agen berjalan sebagai `systemd` layanan. Ini diperlukan untuk menggunakannya dalam domain terbatas. SELinux
```
sudo systemctl status amazon-cloudwatch-agent
```
Jika agen dikonfigurasi dengan benar, output harus menunjukkan bahwa itu `active (running)` dan `enabled` saat startup.
## Konfigurasikan SELinux untuk agen
Setelah Anda menyelesaikan prasyarat, Anda dapat mengkonfigurasi. SELinux
**Untuk mengkonfigurasi SELinux untuk CloudWatch agen**
1. Kloning SELinux kebijakan untuk CloudWatch agen dengan memasukkan perintah berikut:
```
git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git
```
1. Arahkan ke repositori kloning dan kemudian perbarui izin skrip dengan memasukkan perintah berikut:
```
cd amazon-cloudwatch-agent-selinux
chmod +x amazon_cloudwatch_agent.sh
```
1. Gunakan `sudo` untuk menjalankan skrip instalasi SELinux kebijakan dengan memasukkan perintah berikut. Selama eksekusi, skrip meminta Anda untuk masuk `y` atau `n` mengizinkan restart otomatis. Restart ini memastikan bahwa agen bertransisi ke SELinux domain yang benar.
```
sudo ./amazon_cloudwatch_agent.sh
```
1. Jika CloudWatch agen belum dimulai ulang, mulai ulang untuk memastikan bahwa ia bertransisi ke domain yang benar: SELinux
```
sudo systemctl restart amazon-cloudwatch-agent
```
1. Verifikasi bahwa CloudWatch Agen berjalan di domain terbatas dengan memasukkan perintah berikut:
```
ps -efZ | grep amazon-cloudwatch-agent
```
Jika agen dibatasi dengan benar, output harus menunjukkan domain SELinux -confined alih-alih. `unconfined_service_t`
Berikut ini adalah contoh output ketika agen dibatasi dengan benar.
```
system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent
```
Setelah SELinux dikonfigurasi, Anda dapat melanjutkan untuk mengonfigurasi agen untuk mengumpulkan metrik, log, dan jejak. Untuk informasi selengkapnya, lihat [Buat atau edit file konfigurasi CloudWatch agen secara manual](CloudWatch-Agent-Configuration-File-Details.md).