如何解决会话管理器记录日志到 Amazon S3 或 CloudWatch 时出现的问题?

1 分钟阅读
0

我想知道为什么我在使用会话管理器(AWS Systems Manager 的一项功能)时看不到 Amazon Simple Storage Service(Amazon S3)或 Amazon CloudWatch 中的日志。

简短描述

以下是会话管理器不向 Amazon S3 或 CloudWatch 发送日志的最常见原因:

  • 会话管理器日志记录配置错误
  • Amazon S3 桶权限和 AWS Identity and Access Management(IAM)策略不正确
  • Amazon Virtual Private Cloud(Amazon VPC)端点可访问性问题

先决条件:

解决方法

会话管理器日志记录配置错误

要激活日志记录会话数据,请确认您已为 Amazon S3 日志记录CloudWatch 日志记录配置了会话管理器。

**注意:**配置记录日志到 CloudWatch 时,请查看会话管理器首选项,以验证是否已选择 CloudWatch 选项并定义了日志组。此外,请验证提供的日志组名称是否适用于现有日志组。

Amazon S3 桶权限和 IAM 策略不正确

要让 Systems Manager 对您的实例执行操作,您必须通过 IAM 角色授予访问权限。有关详细信息,请参阅验证或创建具有会话管理器权限的 IAM 角色。要解决 Amazon S3 中丢失的日志问题,请完成下列步骤:

  • 检查是否为正确的 Amazon S3 桶 ARN 设置了 IAM 策略。
  • 检查 Amazon S3 桶策略是否具有访问资源的权限。

Amazon VPC 端点可访问性问题

要查看会话管理器日志,您必须创建到 Amazon S3 或 CloudWatch 的端点。

查看端到端联网,检查以下端点的 HTTPS 权限是否已打开:

  • HTTPS://ec2.region-code.amazonaws.com
  • HTTPS://ec2messages.region-code.amazonaws.com
  • HTTPS://ssm.region-code.amazonaws.com
  • HTTPS://ssmmessages.region-code.amazonaws.com
  • HTTPS://s3.region-code.amazonaws.com
  • HTTPS://monitoring.region-code.amazonaws.com

有关详细信息,请参阅以服务使用者身份连接到端点服务

其他故障排除

要对 CloudWatch 日志执行其他故障排除,请根据操作和时间戳查看 AWS CloudTrail 事件历史记录。有关详细信息,请参阅 CloudTrail 中的 CloudWatch Logs 信息

相关信息

如何解决 AWS Systems Manager 会话管理器的问题?

AWS 官方
AWS 官方已更新 10 个月前