AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Wie behebe ich Probleme bei der Session-Manager-Protokollierung in Amazon S3 oder CloudWatch?

Lesedauer: 3 Minute

Ich möchte wissen, warum AWS Systems Manager Sessions Manager keine Protokolle an Amazon Simple Storage Service (Amazon S3) oder Amazon CloudWatch sendet.

Kurzbeschreibung

Im Folgenden sind Gründe aufgeführt, warum Session Manager keine Protokolle an Amazon S3 oder CloudWatch sendet:

Falsch konfigurierte Session Manager-Protokollierung
Falsche S3-Bucket-Berechtigungen und Richtlinie für AWS Identity and Access Management (IAM)
Probleme mit der Erreichbarkeit von Endpunkten in der Amazon Virtual Private Cloud (Amazon VPC)
Der IAM-Rolle fehlen die erforderlichen Berechtigungen für die CloudWatch-Protokollierung

Voraussetzungen:

Lösung

Hinweis: Wenn du beim Ausführen von AWS CLI-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Die Konfiguration der Session Manager-Protokollierung überprüfen

Zum Aktivieren der Protokollierung von Sitzungsdaten überprüfe, ob du Session Manager für Amazon S3 oder CloudWatch Logs konfiguriert hast.

Verwende bei der Konfiguration von CloudWatch Logs die folgenden bewährten Methoden:

Überprüfe die Session Manager-Einstellungen, um sicherzustellen, dass du CloudWatch Logs aktiviert hast.
Vergewissere dich, dass du einen gültigen Protokollgruppennamen angegeben hast.
Stelle sicher, dass die angegebene Protokollgruppe in CloudWatch vorhanden ist.

Amazon-S3-Bucket-Berechtigungen und IAM-Richtlinie überprüfen

Damit Session Manager Protokolle auf Amazon S3 hochladen kann, muss die IAM-Rolle, die du der Instance zugeordnet hast, über die erforderlichen Berechtigungen verfügen.

Gehe wie folgt vor, um Fehler bei fehlenden Protokollen in Amazon S3 zu beheben:

Stelle sicher, dass die Amazon Elastic Compute Cloud (Amazon EC2)-Instance-Profilrolle über die richtigen S3-IAM-Berechtigungen mit dem S3-Bucket-ARN verfügt.
Stelle sicher, dass die S3-Bucket-Richtlinie die Instance-Profilrolle als Prinzipal mit den erforderlichen S3-Aktionen im S3-Bucket zulässt.

Erreichbarkeit von Amazon-VPC-Endpunkten überprüfen

Wenn die Amazon EC2-Instance keinen Internetzugang hat, musst du Amazon VPC-Endpunkte für die Session Manager-Protokollierung bei Amazon S3 oder CloudWatch erstellen.

Überprüfe das Ende-zu-Ende-Netzwerk und stelle sicher, dass der HTTPS-Verkehr für die folgenden Endpunkte geöffnet ist:

HTTPS://ec2.region-code.amazonaws.com
HTTPS://ec2messages.region-code.amazonaws.com
HTTPS://ssm.region-code.amazonaws.com
HTTPS://ssmmessages.region-code.amazonaws.com
HTTPS://s3.region-code.amazonaws.com
HTTPS://monitoring.region-code.amazonaws.com

Um einen Endpunkt zu erstellen, siehe Herstellen einer Verbindung mit einem Endpunktdienst als Dienstverbraucher.

Eine IAM-Richtlinie für die CloudWatch-Protokollierung konfigurieren

Wenn Sitzungs- oder Stream-Protokolle in der CloudWatch-Protokollgruppe fehlen, verfügt die Instance-Profilrolle nicht über die richtigen IAM-Berechtigungen.

Um Protokollstreams zu erstellen und Protokollereignisse in CloudWatch zu speichern, muss Session Manager in der IAM-Richtlinie über die folgenden Berechtigungen verfügen:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:REGION:ACCOUNT-ID:log-group:LOG-GROUP-NAME:*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
}
]
}

Hinweis:

Ersetze in der vorherigen Richtlinie REGION, ACCOUNT-ID und LOG-GROUP-NAME durch die AWS-Region, AWS-Konto-ID und den Namen der Protokollgruppe.
Wenn du die CloudWatch-Protokollgruppe mit einem vom Kunden verwalteten Schlüssel von AWS Key Management Service (AWS KMS) verschlüsselt hast, gewähre der Instance-Profilrolle die Berechtigung, sie zu verwenden. Die AWS KMS-Schlüsselrichtlinie muss der Rolle den Zugriff auf den Schlüssel ermöglichen.

"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/ssm/my-log-group:*"

Zusätzliche Problembehandlung

Um Probleme mit CloudWatch Logs zu beheben, sieh dir den AWS CloudTrail-Ereignisverlauf an, der auf Aktionen und Zeitstempeln basiert. Weitere Informationen findest du unter Protokollieren von CloudWatch Logs-API- und Konsolenoperationen in AWS CloudTrail.

Relevanter Inhalt

Wie behebe ich Probleme mit CloudWatch-Protokollen, die nicht in S3-Buckets exportiert werden können?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie behebe ich langsame oder wechselhafte Geschwindigkeiten, wenn ich Daten von einem On-Premise-Client zu Amazon S3 herunterlade oder hochlade?
AWS OFFICIALAktualisiert vor 4 Monaten
Warum gibt es eine Diskrepanz bei den Speicher- und Größenmetriken zwischen der Amazon-S3-Konsole, CloudWatch und S3 Storage Lens?
AWS OFFICIALAktualisiert vor 7 Monaten
Wie behebe ich Probleme mit einer CloudWatch Logs Insights-Abfrage, die Fehler anzeigt oder nicht die erwarteten Ergebnisse zurückgibt?
AWS OFFICIALAktualisiert vor einem Jahr