統合 CloudWatch エージェントがメトリクスやログイベントを CloudWatch にプッシュしないのはなぜですか?
Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに統合 CloudWatch エージェントを設定して、メトリクスとログを Amazon CloudWatch に投稿しました。しかし、CloudWatch コンソールにメトリクスやログが表示されません。統合 CloudWatch エージェントがメトリクスとログを CloudWatch にプッシュしないのはなぜですか?
簡単な説明
統合 CloudWatch エージェントがメトリクスやログを CloudWatch にプッシュしない理由はいくつかあります。例えば、エージェントがメトリクスを発行できないようにしているアクセス許可または接続エラーがある可能性があります。統合 CloudWatch エージェントログを確認すると、次のようなエラーが表示される場合があります。
- エージェントログエラー: エンドポイントに接続できません
- エージェントログエラー: アクセス許可が不十分です
解決方法
注: AWS Command Line Interface (AWS CLI) コマンドの実行中にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください。
統合 CloudWatch エージェントログを確認する
エージェントログファイルを使用して、統合 CloudWatch エージェントパッケージで発生した問題のトラブルシューティングに役立ててください。次のような一般的な問題が発生している可能性があります。
- 必要な AWS サービスエンドポイントまたは VPC エンドポイントへの接続の問題が発生しています。
- CloudWatch へのサポート API コールを行うための正しいアクセス許可がありません。
- ログファイルがローカルファイルシステムに存在しません。
ログに次のエラーのいずれかが表示される場合があります。
エージェントログエラー: エンドポイントに接続できません
2021-08-30T04:07:46Z E! cloudwatch: code: RequestError, message: send request failed, original error: Post "https://monitoring.us-east-1.amazonaws.com/": dial tcp 172.31.11.121:443: i/o timeout 2021-08-30T04:07:46Z W! 210 retries, going to sleep 1m0s before retrying. 2021-08-30T04:07:46Z E! cloudwatch: code: RequestError, message: send request failed, original error: Post "https://monitoring.us-east-1.amazonaws.com/": dial tcp 172.31.11.121:443: i/o timeout 2021-08-30T04:07:46Z W! 211 retries, going to sleep 1m0s before retrying.
エージェントログエラー: アクセス許可が不十分です
2021-08-30T02:15:45Z E! cloudwatch: code: AccessDenied, message: User: arn:aws:sts::123456789012:assumed-role/cwagent/i-0744de7c842d2c2ba is not authorized to perform: cloudwatch:PutMetricData, original error: 2021-08-30T02:15:45Z W! 1 retries, going to sleep 400ms before retrying. 2021-08-30T02:15:46Z E! WriteToCloudWatch failure, err: AccessDenied: User: arn:aws:sts::123456789012:assumed-role/cwagent/i-0744de7c842d2c2ba is not authorized to perform: cloudwatch:PutMetricData status code: 403, request id: f1171fd0-05b6-4f7d-bac2-629c8594c46e
CloudWatch エンドポイントへの接続を確認する
CloudWatch へのトラフィックがパブリックインターネットを通過してはいけない場合は、代わりに VPC エンドポイントを使用できます。VPC エンドポイントを使用している場合は、以下を確認します。
- プライベートネームサーバーを使用している場合は、DNS 解決によって正確な応答が得られたことを確認します。
- CloudWatch エンドポイントがプライベート IP アドレスに解決されることを確認します。
- VPC エンドポイントに関連付けられているセキュリティグループが、ホストからのインバウンドトラフィックを許可していることを確認します。
1. メトリクスエンドポイントへの接続を確認します。
$ telnet monitoring.us-east-1.amazonaws.com 443 Trying 52.46.138.115... Connected to monitoring.amazonaws.com. Escape character is '^]'. ^] telnet> quit Connection closed.
2. ログエンドポイントへの接続を確認します。
$ telnet logs.us-east-1.amazonaws.com 443 Trying 3.236.94.218... Connected to logs.us-east-1.amazonaws.com. Escape character is '^]'. ^] telnet> quit Connection closed
3. VPC エンドポイントがプライベート IP アドレスに解決されることを確認します。
$ dig monitoring.us-east-1.amazonaws.com +short 172.31.11.121 172.31.0.13
統合 CloudWatch エージェント設定を確認する
エージェント設定ファイルには、CloudWatch に発行されるメトリクスとログの詳細が記載されています。エージェント設定ファイルを確認して、発行するログとメトリクスが含まれていることを確認します。
ホストがメトリクスとログを発行するアクセス許可を持っていることを確認する
AWS 管理ポリシー CloudWatchAgentServerPolicy と CloudWatchAgentAdminPolicy は、統合 CloudWatch エージェントをデプロイし、正しいアクセス許可があるかどうかを確認するのに役立ちます。これらのポリシーを参考にして、ホストが正しいアクセス許可を持っていることを確認します。
これらの例の AWS CLI の出力には、アクセス許可が不十分であることが示されています。
このエージェント開始コマンド出力は、EC2 インスタンスに IAM ロールがアタッチされていないことを示しています。
$ /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -c ssm:CWT-Web-Server -s ****** processing amazon-cloudwatch-agent ****** /opt/aws/amazon-cloudwatch-agent/bin/config-downloader --output-dir /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d --download-source ssm:CWT-Web-Server --mode ec2 --config /opt/aws/amazon-cloudwatch-agent/etc/common-config.toml --multi-config default Region: us-east-1 credsConfig: map[] Error in retrieving parameter store content: NoCredentialProviders: no valid providers in chain. Deprecated. For verbose messaging see aws.Config.CredentialsChainVerboseErrors Fail to fetch/remove json config: NoCredentialProviders: no valid providers in chain. Deprecated. For verbose messaging see aws.Config.CredentialsChainVerboseErrors Fail to fetch the config!
このエージェント起動コマンド出力は、不正な IAM ロールが EC2 インスタンスにアタッチされていることを示しています。
$ /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -c ssm:CWT-Web-Server -s ****** processing amazon-cloudwatch-agent ****** /opt/aws/amazon-cloudwatch-agent/bin/config-downloader --output-dir /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d --download-source ssm:CWT-Web-Server --mode ec2 --config /opt/aws/amazon-cloudwatch-agent/etc/common-config.toml --multi-config default Region: us-east-1 credsConfig: map[] Error in retrieving parameter store content: AccessDeniedException: User: arn:aws:sts::123456789012:assumed-role/cwagent/i-0744de7c842d2c2ba is not authorized to perform: ssm:GetParameter on resource: arn:aws:ssm:us-east-1:123456789012:parameter/CWT-Web-Server status code: 400, request id: b85b0a7a-0fb1-47b4-924f-be8cf43a3b4d Fail to fetch/remove json config: AccessDeniedException: User: arn:aws:sts::123456789012:assumed-role/cwagent/i-0744de7c842d2c2ba is not authorized to perform: ssm:GetParameter on resource: arn:aws:ssm:us-east-1:123456789012:parameter/CWT-Web-Server status code: 400, request id: b85b0a7a-0fb1-47b4-924f-be8cf43a3b4d Fail to fetch the config!
場合によっては、IAM ユーザーがコマンドラインにいることがあります。obtain user/role コマンドは、インスタンスに関連付けられた IAM ユーザーまたはロールを返します。
$ aws sts get-caller-identity { "UserId": "AROA123456789012ABCDE:i-0744de7c842d2c2ba", "Account": "123456789012", "Arn": "arn:aws:sts::123456789012:assumed-role/CloudWatchAgentServerRole/i-0744de7c842d2c2ba" }
エージェントが正しく起動することを確認する
エージェントは、設定ファイルを引数として渡して AWS CLI を使用して起動するように設計されています。次の有効な起動コマンドを使用してください。
Linux コマンド:
- `$ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -s -c file:configuration-file-path` - `$ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -s -c ssm:configuration-parameter-store-name`
Windows コマンド:
- `& "C:\Program Files\Amazon\AmazonCloudWatchAgent\amazon-cloudwatch-agent-ctl.ps1" -a fetch-config -m ec2 -s -c file:"C:\Program Files\Amazon\AmazonCloudWatchAgent\config.json"` - `& "C:\Program Files\Amazon\AmazonCloudWatchAgent\amazon-cloudwatch-agent-ctl.ps1" -a fetch-config -m ec2 -s -c ssm:configuration-parameter-store-name`
重要: Windows コントロールパネルからエージェントを起動しないでください。
エージェントが実行中であることを確認する
メトリクスとログを発行するには、エージェントが実行されている必要があります。このコマンドを実行して、エージェントがアクティブであることを確認します。
$ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -m ec2 -a status { "status": "running", "starttime": "2021-08-30T02:13:44+00:00", "configstatus": "configured", "cwoc_status": "stopped", "cwoc_starttime": "", "cwoc_configstatus": "not configured", "version": "1.247349.0b251399" }
エージェント設定を更新した後、エージェントを再起動します
エージェントは、設定ファイルへの変更を自動的に登録しません。エージェント設定が更新され、新規または異なるメトリクスとログが含まれる場合は、次のコマンドを使用してエージェントを再起動します。
$ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -m ec2 -a stop ****** processing cwagent-otel-collector ****** cwagent-otel-collector has already been stopped ****** processing amazon-cloudwatch-agent ****** Redirecting to /bin/systemctl stop amazon-cloudwatch-agent.service $ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -s -c file:config.json ****** processing amazon-cloudwatch-agent ****** /opt/aws/amazon-cloudwatch-agent/bin/config-downloader --output-dir /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d --download-source file:config.json --mode ec2 --config /opt/aws/amazon-cloudwatch-agent/etc/common-config.toml --multi-config default Successfully fetched the config and saved in /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d/file_config.json.tmp Start configuration validation... /opt/aws/amazon-cloudwatch-agent/bin/config-translator --input /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.json --input-dir /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d --output /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.toml --mode ec2 --config /opt/aws/amazon-cloudwatch-agent/etc/common-config.toml --multi-config default 2021/08/31 02:45:37 Reading json config file path: /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d/file_config.json.tmp ... Valid Json input schema. I! Detecting run_as_user... Configuration validation first phase succeeded /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent -schematest -config /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.toml Configuration validation second phase succeeded Configuration validation succeeded amazon-cloudwatch-agent has already been stopped Redirecting to /bin/systemctl restart amazon-cloudwatch-agent.service $ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -m ec2 -a status { "status": "running", "starttime": "2021-08-31T02:45:37+0000", "configstatus": "configured", "cwoc_status": "stopped", "cwoc_starttime": "", "cwoc_configstatus": "not configured", "version": "1.247349.0b251399" }
関連情報
統合 CloudWatch エージェントをインストールして設定し、メトリクスとログを EC2 インスタンスから CloudWatch にプッシュする方法を教えてください。
関連するコンテンツ
- 質問済み 9ヶ月前lg...
- 質問済み 8ヶ月前lg...
- 質問済み 6ヶ月前lg...
- 質問済み 1年前lg...
- AWS公式更新しました 2年前
- AWS公式更新しました 2年前
- AWS公式更新しました 2年前