View a markdown version of this page

AWSSupport-CollectEKSInstanceLogs - AWS Systems Manager Referência do Automation Runbook

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-CollectEKSInstanceLogs

Descrição

O runbook AWSSupport-CollectEKSInstanceLogs reúne arquivos de log relacionados ao sistema operacional e ao Amazon Elastic Kubernetes Service (Amazon EKS) de uma instância do Amazon Elastic Compute Cloud (Amazon EC2) para ajudar a solucionar problemas comuns. Enquanto a automação reúne os arquivos de log associados, são feitas alterações na estrutura do sistema de arquivos, incluindo a criação de diretórios temporários, a cópia dos arquivos de log nos diretórios temporários e a compactação dos arquivos de log em um arquivamento. Essa atividade pode resultar em aumento da CPUUtilization na instância do Amazon EC2. Para obter mais informações sobreCPUUtilization, consulte Métricas de instância no Guia CloudWatch do usuário da Amazon.

Se especificar um valor para o parâmetro LogDestination, a automação avaliará o status da política do bucket do Amazon Simple Storage Service (Amazon S3) que você especificar. Para ajudar na segurança dos logs coletados da sua instância do Amazon EC2, se o status da política isPublic estiver definido como true, ou se a lista de controle de acesso (ACL) conceder permissões de READ|WRITE ao grupo predefinido All Users do Amazon S3, os logs não serão carregados. Para obter mais informações sobre grupos predefinidos do Amazon S3, consulte Grupos predefinidos do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

nota

Essa automação requer pelo menos 10% do espaço em disco disponível no volume raiz do Amazon Elastic Block Store (Amazon EBS) anexado à sua instância do Amazon EC2. Se não houver espaço em disco disponível suficiente no volume raiz, a automação será interrompida.

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux

Parâmetros

  • AutomationAssumeRole

    Tipo: String

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • EKSInstanceIdentificação

    Tipo: string

    Descrição: (Obrigatório) ID da instância Amazon EKS do Amazon EC2 da qual você deseja coletar registros.

  • LogDestination

    Tipo: string

    Descrição: (Opcional) O bucket do Amazon Simple Storage Service (Amazon S3) em sua conta para o qual fazer o upload dos registros arquivados.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ssm:SendCommand

Permissões do IAM necessárias para o perfil de instância do Amazon EC2

O perfil de instância usado pelo EKSInstanceId deve ter a política gerenciada SSMManaged InstanceCore da Amazon Amazon anexada a ele.

Ele também precisa ser capaz de acessar o bucket do LogDestination Amazon S3 para poder carregar os registros coletados. Abaixo está um exemplo de uma política do IAM que poderia ser anexada a esse perfil de instância:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketAcl"
      ],
      "Resource": [
        "arn:aws:s3:::LogDestination/*",
        "arn:aws:s3:::LogDestination"
      ]
    }
  ]
}

Se LogDestination usa AWS KMS criptografia, uma declaração adicional deve ser adicionada à política do IAM, concedendo acesso à AWS KMS chave usada na criptografia:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketAcl"
      ],
      "Resource": [
        "arn:aws:s3:::LogDestination/*",
        "arn:aws:s3:::LogDestination"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:REGION:ACCOUNT:key/KMS-KEY-ID"
    }
  ]
}

Etapas do documento

  • aws:assertAwsResourceProperty :Confirma se o sistema operacional do valor especificado no parâmetro EKSInstanceId é Linux.

  • aws:runCommand :Reúne arquivos de log relacionados ao sistema operacional e ao Amazon EKS, compactando-os em um arquivo no diretório /var/log.

  • aws:branch :Confirma se um valor foi especificado para o parâmetro de LogDestination.

  • aws:runCommand- Carrega o arquivo de log no bucket do Amazon S3 que você especifica no LogDestination parâmetro.