View a markdown version of this page

AWSSupport-TroubleshootCloudWatchAgent - AWS Systems Manager Referensi Buku Runbook Otomasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-TroubleshootCloudWatchAgent

Deskripsi

AWSSupport-TroubleshootCloudWatchAgentRunbook mengotomatiskan pemecahan masalah Agen Amazon di CloudWatch instans Amazon Elastic Compute Cloud (Amazon EC2). Runbook melakukan pemecahan masalah ini melalui serangkaian pemeriksaan dasar, dan (opsional) yang diperluas.

Pemeriksaan dasar meliputi yang berikut:

  • Periksa profil instans AWS Identity and Access Management (IAM)

  • Verifikasi apakah izin IAM CloudWatch Agen Amazon yang diperlukan dilampirkan ke instans Amazon EC2

Pemeriksaan tambahan hanya dilakukan jika ID instans Amazon EC2 yang disediakan adalah instans yang dikelola Systems Manager. Pemeriksaan yang diperpanjang ini meliputi yang berikut:

  • Periksa status CloudWatch Agen Amazon pada instans

  • Menganalisis log CloudWatch Agen Amazon untuk masalah umum dan langkah-langkah pemecahan masalah yang relevan

  • Zip log dan file konfigurasi yang relevan di instans Amazon EC2 dan unggah secara opsional ke bucket Amazon Simple Storage Service (Amazon S3) pilihan Anda

  • Lakukan pemeriksaan konektivitas antara instance dan titik akhir yang diperlukan

penting

Ketika RunVpcReachabilityAnalyzer parameter diatur ketrue, runbook ini akan menentukan apakah ada kebutuhan untuk memanggil runbook anak,. AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 Runbook anak menggunakan VPC Reachability Analyzer yang memiliki biaya terkait. Untuk informasi lebih lanjut tentang harga, lihat dokumentasi harga Amazon VPC.

penting

Runbook ini hanya memeriksa peran profil instans IAM Anda untuk izin yang diperlukan. Jika Anda mengandalkan kredensi yang ditentukan dalam .aws/credentials file, hasil verifyIamPermissions langkah mungkin tidak akurat.

Bagaimana cara kerjanya?

Runbook melakukan langkah-langkah berikut:

  • getInstanceProfile: Memverifikasi apakah instans Amazon EC2 yang disediakan memiliki profil instans IAM yang dilampirkan.

  • verifyIamPermissions: Memeriksa profil instance yang terkait dengan instance untuk menentukan apakah izin IAM yang diperlukan diterapkan.

  • getInstanceInformation: Memeriksa apakah instance memiliki agen Systems Manager yang aktif, dan mengambil jenis OS instance.

  • getAgentStatus: Memeriksa status CloudWatch Agen Amazon pada instance (cek diperpanjang).

  • AnalyzeLogs/ analyzeLogsWindows: Menganalisis dan mengeluarkan temuan log CloudWatch Agen Amazon berdasarkan jenis OS.

  • CollectLogs/ collectLogsWindows: Bundel dan output file pemecahan masalah CloudWatch Agen Amazon yang relevan berdasarkan jenis OS.

  • checkEndpointReachability/checkEndpointReachabilityWindows: Memeriksa apakah instance dapat mencapai titik akhir yang diperlukan berdasarkan jenis OS.

  • analyzeAwsEndpointReachabilityFromEC2: Memanggil runbook otomatisasi anak untuk memeriksa jangkauan instance yang dipilih ke titik akhir yang diperlukan (jika diaktifkan).

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

/

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • EC2: DescribeInstances

  • saya: GetInstanceProfile

  • saya: GetRole

  • saya: ListAttachedRolePolicies

  • saya: ListRolePolicies

  • saya: GetRolePolicy

  • saya: GetPolicy

  • saya: GetPolicyVersion

  • saya: SimulatePrincipalPolicy

  • ssm: DescribeInstanceInformation

  • ssm: SendCommand

  • ssm: GetCommandInvocation

  • ssm: DescribeInstanceAssociationsStatus

  • ssm: StartAutomationExecution

Contoh Kebijakan: 

{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "iam:GetInstanceProfile",
                "iam:GetRole",
                "iam:ListAttachedRolePolicies",
                "iam:ListRolePolicies",
                "iam:GetRolePolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:SimulatePrincipalPolicy",
                "ssm:DescribeInstanceInformation",
                "ssm:SendCommand",
                "ssm:GetCommandInvocation",
                "ssm:DescribeInstanceAssociationsStatus",
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
            }
        ]
        }

Instruksi

Ikuti langkah-langkah ini untuk mengonfigurasi otomatisasi:

  1. Arahkan ke AWSSupport-TroubleshootCloudWatchAgentSystems Manager di bawah Documents.

  2. Pilih Jalankan otomatisasi.

  3. Untuk parameter input, masukkan yang berikut ini:

    • AutomationAssumeRole (Opsional):

      • Deskripsi: (Opsional) ARN dari peran IAM yang memungkinkan Systems Manager Automation untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

      • Tipe: AWS::IAM::Role::Arn

    • InstanceId (Diperlukan):

      • Deskripsi: (Wajib) ID instans Amazon EC2 yang ingin Anda gunakan untuk memecahkan masalah Agen Amazon CloudWatch .

      • Tipe: AWS::EC2::Instance::Id

      • Izinkan Pola: ^i-[0-9a-f]{8,17}$

    • S3 UploadBucket (Opsional):

      • Deskripsi: (Opsional) Nama bucket Amazon S3 untuk mengunggah log CloudWatch Agen Amazon yang dikumpulkan. Profil instans Amazon EC2 harus memiliki izin yang benar untuk mengunggah file ke bucket ini. Ini juga mengharuskan instans Amazon EC2 target menjadi instans yang dikelola Systems Manager.

      • Tipe: AWS::S3::Bucket::Name

      • Izinkan Pola: ^$|^[a-z0-9][a-z0-9.-]{1,61}[a-z0-9]$

      • Default: ""

    • S3 BucketOwnerAccountId (Opsional):

      • Deskripsi: (Opsional) Nomor AWS Akun yang memiliki bucket Amazon S3 tempat Anda ingin mengunggah log Agen CloudWatch Amazon. Jika Anda tidak mengubah parameter ini, runbook menggunakan ID AWS akun pengguna atau peran di mana Otomasi berjalan.

      • Tipe: String

      • Izinkan Pola: ^\\{\\{ global:ACCOUNT_ID \\}\\}$|^[0-9]{12}$

      • Default: {{ global:ACCOUNT_ID }}

    • Periksa EC2 Endpoint (Opsional):

      • Deskripsi: (Opsional) Tentukan true apakah konfigurasi agen Anda menggunakan opsi append_dimensions untuk menambahkan dimensi metrik Amazon EC2 ke metrik yang dikumpulkan oleh agen. Saat append_dimensions digunakan, CloudWatch Agen Amazon memerlukan konektivitas ke titik akhir API Amazon EC2, sehingga pengujian konektivitas tambahan akan dilakukan melalui pemeriksaan yang diperluas.

      • Tipe: String

      • Nilai yang Diizinkan: [true, false]

      • Default: false

    • RunVpcReachabilityAnalyzer (Opsional):

      • Deskripsi: (Opsional) Tentukan true untuk menjalankan otomatisasi AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 anak jika masalah jaringan ditentukan oleh pemeriksaan yang diperluas, atau jika ID instans yang ditentukan bukan instance terkelola.

      • Tipe: Boolean

      • Default: false

    • RetainVpcReachabilityAnalysis (Opsional):

      • Deskripsi: (Opsional) Hanya relevan jika RunVpcReachabilityAnalyzer adatrue. Tentukan true untuk mempertahankan jalur wawasan jaringan dan analisis terkait yang dibuat oleh VPC Reachability Analyzer. Secara default, sumber daya tersebut dihapus setelah analisis berhasil.

      • Tipe: Boolean

      • Default: false

  4. Pilih Jalankan.

  5. Otomatisasi dimulai.

  6. Dokumen melakukan langkah-langkah berikut:

    • getInstanceProfile:

      Memverifikasi apakah instans Amazon EC2 yang disediakan memiliki profil instans IAM yang dilampirkan.

    • branchOnInstanceProfileStatus:

      Mem-cabang otomatisasi untuk memeriksa izin profil instans yang diperlukan jika profil instance dilampirkan ke instance.

    • verifyIamPermissions:

      Memeriksa profil instance yang terkait dengan instance untuk menentukan apakah izin IAM yang diperlukan diterapkan.

    • getInstanceInformation:

      Memeriksa apakah instans memiliki agen Systems Manager yang aktif, dan mengambil jenis OS instance.

    • branchOnManagedContoh:

      Cabang otomatisasi untuk melakukan pemeriksaan diperpanjang jika instance dikelola.

    • getAgentStatus:

      Memeriksa status CloudWatch Agen Amazon pada instance.

    • branchOnInstanceOsType:

      Cabang otomatisasi untuk menjalankan collection/analysis perintah log tertentu berdasarkan OS.

    • analyzeLogsWindowsAnalyzeLogs/:

      Menganalisis dan mengeluarkan temuan log CloudWatch Agen Amazon berdasarkan jenis OS.

    • collectLogsWindowsCollectLogs/:

      Bundel dan output file pemecahan masalah CloudWatch Agen Amazon yang relevan berdasarkan jenis OS.

    • checkEndpointReachability/checkEndpointReachabilityJendela:

      Memeriksa apakah instance dapat mencapai titik akhir yang diperlukan berdasarkan jenis OS.

    • branchOnRunVpcReachabilityAnalyzer:

      Memcabangkan otomatisasi untuk menjalankan analisis jangkauan VPC jika diaktifkan dan masalah jaringan terdeteksi.

    • GenerateEndPoints:

      Menghasilkan titik akhir untuk memeriksa dari kegagalan pemeriksaan diperpanjang dan nilai. CheckEC2Endpoint

    • analyzeAwsEndpointReachabilityFromEC2:

      Memanggil runbook otomatisasi, AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 untuk memeriksa jangkauan instance yang dipilih ke titik akhir yang diperlukan.

    • OutputTemuan:

      Menghasilkan hasil dari langkah-langkah eksekusi otomatisasi.

  7. Setelah selesai, tinjau bagian Output untuk hasil eksekusi yang terperinci.

Referensi

Otomatisasi Systems Manager