`AWSSupport-TroubleshootCloudWatchAgent`

Descrição

O AWSSupport-TroubleshootCloudWatchAgentrunbook automatiza a solução de problemas do Amazon CloudWatch Agent em suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2). O runbook executa essa solução de problemas por meio de uma série de verificações básicas e (opcionais) estendidas.

As verificações básicas incluem o seguinte:

Verifique se há um perfil de instância AWS Identity and Access Management (IAM)
Verifique se as permissões necessárias do Amazon CloudWatch Agent IAM estão anexadas à instância do Amazon EC2

As verificações estendidas são realizadas somente se o ID de instância do Amazon EC2 fornecido for uma instância gerenciada pelo Systems Manager. Essas verificações estendidas incluem o seguinte:

Verifique o status do Amazon CloudWatch Agent na instância
Analise os registros do Amazon CloudWatch Agent em busca de problemas comuns e etapas relevantes de solução de problemas
Compacte os registros e arquivos de configuração relevantes na instância do Amazon EC2 e, opcionalmente, carregue-os em um bucket do Amazon Simple Storage Service (Amazon S3) de sua escolha
Execute uma verificação de conectividade entre a instância e os endpoints necessários

Importante

Quando o RunVpcReachabilityAnalyzer parâmetro é definido comotrue, esse runbook determinará se é necessário chamar o runbook filho,. AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 O runbook secundário usa o VPC Reachability Analyzer, que tem um custo associado. Para obter mais informações sobre preços, consulte a documentação de preços da Amazon VPC.

Importante

Esse runbook verifica apenas o papel do perfil da instância do IAM para obter as permissões necessárias. Se, em vez disso, você confiar nas credenciais definidas em um .aws/credentials arquivo, os resultados da verifyIamPermissions etapa podem ser imprecisos.

Como funciona?

O runbook executa as seguintes etapas:

getInstanceProfile: verifica se a instância fornecida do Amazon EC2 tem um perfil de instância do IAM anexado.
verifyIamPermissions: verifica o perfil da instância associado à instância para determinar se as permissões necessárias do IAM foram aplicadas.
getInstanceInformation: verifica se a instância tem um agente ativo do Systems Manager e busca o tipo de sistema operacional da instância.
getAgentStatus: verifica o status do Amazon CloudWatch Agent na instância (verificação estendida).
AnalyzeLogs/ analyzeLogsWindows: analisa e gera resultados dos registros do Amazon CloudWatch Agent com base no tipo de sistema operacional.
CollectLogs/ collectLogsWindows: agrupa e gera os arquivos relevantes de solução de problemas do Amazon CloudWatch Agent com base no tipo de sistema operacional.
checkEndpointReachability/checkEndpointReachabilityWindows: verifica se a instância pode alcançar os endpoints necessários com base no tipo de sistema operacional.
analyzeAwsEndpointReachabilityFromEC2: chama o runbook de automação infantil para verificar a acessibilidade da instância selecionada aos endpoints necessários (se habilitado).

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

ec2: DescribeInstances
objetivo: GetInstanceProfile
objetivo: GetRole
objetivo: ListAttachedRolePolicies
objetivo: ListRolePolicies
objetivo: GetRolePolicy
objetivo: GetPolicy
objetivo: GetPolicyVersion
objetivo: SimulatePrincipalPolicy
sms: DescribeInstanceInformation
sms: SendCommand
sms: GetCommandInvocation
sms: DescribeInstanceAssociationsStatus
sms: StartAutomationExecution

Exemplo de política:


{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "iam:GetInstanceProfile",
                "iam:GetRole",
                "iam:ListAttachedRolePolicies",
                "iam:ListRolePolicies",
                "iam:GetRolePolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:SimulatePrincipalPolicy",
                "ssm:DescribeInstanceInformation",
                "ssm:SendCommand",
                "ssm:GetCommandInvocation",
                "ssm:DescribeInstanceAssociationsStatus",
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
            }
        ]
        }

Instruções

Siga estas etapas para configurar a automação:

Navegue até AWSSupport-TroubleshootCloudWatchAgentem Systems Manager em Documentos.
Selecione Execute automation (Executar automação).
Para os parâmetros de entrada, insira o seguinte:
- AutomationAssumeRole (Opcional):
  - Descrição: (Opcional) O ARN da função do IAM que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
  - Tipo: AWS::IAM::Role::Arn
- InstanceId (Obrigatório):
  - Descrição: (Obrigatório) O ID da instância do Amazon EC2 na qual você deseja solucionar o problema do Amazon CloudWatch Agent.
  - Tipo: AWS::EC2::Instance::Id
  - Padrão de permissão: ^i-[0-9a-f]{8,17}$
- S3 UploadBucket (opcional):
  - Descrição: (Opcional) O nome de um bucket do Amazon S3 para carregar os registros coletados do Amazon CloudWatch Agent. O perfil da instância do Amazon EC2 deve ter as permissões corretas para fazer upload de arquivos para esse bucket. Isso também exige que a instância de destino do Amazon EC2 seja uma instância gerenciada pelo Systems Manager.
  - Tipo: AWS::S3::Bucket::Name
  - Padrão de permissão: ^$|^[a-z0-9][a-z0-9.-]{1,61}[a-z0-9]$
  - Padrão: ""
- S3 BucketOwnerAccountId (opcional):
  - Descrição: (Opcional) O número da AWS conta que possui o bucket do Amazon S3 para o qual você deseja fazer o upload dos registros do Amazon CloudWatch Agent. Se você não modificar esse parâmetro, os runbooks usarão o ID da AWS conta do usuário ou da função na qual a automação é executada.
  - Tipo: String
  - Padrão de permissão: ^\\{\\{ global:ACCOUNT_ID \\}\\}$|^[0-9]{12}$
  - Padrão: {{ global:ACCOUNT_ID }}
- Verifique o EC2 endpoint (opcional):
  - Descrição: (Opcional) Especifique true se a configuração do seu agente usa append_dimensions a opção de acrescentar dimensões métricas do Amazon EC2 às métricas coletadas pelo agente. Quando append_dimensions usado, o Amazon CloudWatch Agent exige conectividade com o endpoint da API do Amazon EC2, portanto, testes adicionais de conectividade serão realizados por meio das verificações estendidas.
  - Tipo: String
  - Valores permitidos: [true, false]
  - Padrão: false
- RunVpcReachabilityAnalyzer (Opcional):
  - Descrição: (Opcional) Especifique true a execução da automação AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 secundária se um problema de rede for determinado pelas verificações estendidas ou se o ID da instância especificado não for uma instância gerenciada.
  - Tipo: Boolean
  - Padrão: false
- RetainVpcReachabilityAnalysis (Opcional):
  - Descrição: (Opcional) Relevante somente se RunVpcReachabilityAnalyzer fortrue. Especifique true para manter o caminho do insight da rede e as análises relacionadas criadas pelo VPC Reachability Analyzer. Por padrão, esses recursos são excluídos após uma análise bem-sucedida.
  - Tipo: Boolean
  - Padrão: false
Selecione Executar.
A automação é iniciada.
O bucket realiza as seguintes etapas:
- getInstanceProfile:
  
  Verifica se a instância fornecida do Amazon EC2 tem um perfil de instância do IAM anexado.
- branchOnInstanceProfileStatus:
  
  Ramifica a automação para verificar as permissões necessárias do perfil da instância, caso o perfil da instância esteja anexado à instância.
- verifyIamPermissions:
  
  Verifica o perfil da instância associado à instância para determinar se as permissões necessárias do IAM foram aplicadas.
- getInstanceInformation:
  
  Verifica se a instância tem um agente ativo do Systems Manager e busca o tipo de sistema operacional da instância.
- branchOnManagedInstância:
  
  Ramifica a automação para realizar verificações estendidas se a instância for gerenciada.
- getAgentStatus:
  
  Verifica o status do Amazon CloudWatch Agent na instância.
- branchOnInstanceOsType:
  
  Ramifica a automação para executar um collection/analysis comando de log específico com base no sistema operacional.
- Analisar registros/: analyzeLogsWindows
  
  Analisa e gera resultados dos registros do Amazon CloudWatch Agent com base no tipo de sistema operacional.
- Coletar registros/collectLogsWindows:
  
  Agrupa e gera os arquivos relevantes de solução de problemas do Amazon CloudWatch Agent com base no tipo de sistema operacional.
- checkEndpointReachability/checkEndpointReachabilityWindows:
  
  Verifica se a instância pode alcançar os endpoints necessários com base no tipo de sistema operacional.
- branchOnRunVpcReachabilityAnalyzer:
  
  Ramifica a automação para executar a análise de acessibilidade da VPC, se ativada, e problemas de rede forem detectados.
- Gere endpoints:
  
  Gera um endpoint para verificar as falhas de verificação estendida e o valor deCheckEC2Endpoint.
- analyzeAwsEndpointReachabilityFromEC2:
  
  Chama o runbook de automação AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 para verificar a acessibilidade da instância selecionada aos endpoints necessários.
- Resultados do resultado:
  
  Produz os resultados das etapas de execução da automação.
Após a conclusão, revise a seção Saídas para obter os resultados detalhados da execução.

Referências

Automação do Systems Manager

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS-EnableCWAlarm

AWSSupport-TroubleshootCloudWatchAlarm