Como soluciono problemas de registro em log do Gerenciador de Sessões no Amazon S3 ou no CloudWatch?

3 minuto de leitura

Quero saber por que não vejo logs no Amazon Simple Storage Service (Amazon S3) ou no Amazon CloudWatch ao trabalhar com o Gerenciador de Sessões, um recurso do AWS Systems Manager.

Descrição resumida

A seguir estão os motivos mais comuns pelos quais o Gerenciador de Sessões não está enviando logs para o Amazon S3 ou o CloudWatch:

O registro em log do Gerenciador de Sessões está configurado incorretamente
As permissões do bucket do Amazon S3 e a política do AWS Identity and Access Management (IAM) estão incorretas
Problemas de acessibilidade do endpoint da Amazon Virtual Private Cloud (Amazon VPC)

Pré-requisitos:

Resolução

O registro em log do Gerenciador de Sessões está configurado incorretamente

Para ativar os dados da sessão de registro em log, confirme se você configurou o Gerenciador de Sessões do registro em log do Amazon S3 ou do registro em log do CloudWatch.

Observação: ao configurar o registro em log no CloudWatch, revise as preferências do Gerenciador de Sessões para verificar se a opção do CloudWatch está selecionada e se um grupo de logs está definido. Além disso, verifique se o nome do grupo de logs fornecido é para um grupo de logs existente.

As permissões de bucket do Amazon S3 e a política do IAM estão incorretas

Para que o Systems Manager execute ações em suas instâncias, você deve conceder acesso por meio de um perfil do IAM. Para obter mais informações, consulte Verificar ou criar um perfil do IAM com permissões do Gerenciador de Sessões. Para solucionar problemas de logs ausentes no Amazon S3, conclua as seguintes etapas:

Verifique se a política do IAM está definida para o ARN do bucket do Amazon S3 correto.
Verifique se a política do bucket do Amazon S3 tem permissões de acesso ao recurso.

Problemas de acessibilidade do endpoint da Amazon VPC

Para ver os logs do Gerenciador de Sessões, você deve criar um endpoint para o Amazon S3 ou o CloudWatch.

Analise a rede completa e verifique se a permissão HTTPS está aberta para os seguintes endpoints:

HTTPS://ec2.region-code.amazonaws.com
HTTPS://ec2messages.region-code.amazonaws.com
HTTPS://ssm.region-code.amazonaws.com
HTTPS://ssmmessages.region-code.amazonaws.com
HTTPS://s3.region-code.amazonaws.com
HTTPS://monitoring.region-code.amazonaws.com

Para obter mais informações, consulte Conectar-se a um serviço de endpoint como o consumidor do serviço.

Solução de problemas adicionais

Para realizar a solução de problemas adicionais dos logs do CloudWatch, veja o Histórico de eventos do AWS CloudTrail com base em ações e carimbos de data e hora. Para obter mais informações, consulte as Informações de logs do CloudWatch no CloudTrail.

Informações relacionadas

Como soluciono problemas com o Gerenciador de Sessões do AWS Systems Manager?

Tópicos

Gestão e governança

Conteúdo relevante

Como gerenciar da melhor maneira possível os níveis de registro em log do AWS IoT no AWS IoT Core?
AWS OFICIALAtualizada há um ano
Como soluciono problemas de registro em log entre contas no CloudWatch?
AWS OFICIALAtualizada há 2 anos
Como soluciono problemas com o Gerenciador de Sessões do AWS Systems Manager?
AWS OFICIALAtualizada há um ano
Como usar os registros do SSM Agent para solucionar problemas com o SSM Agent na minha instância gerenciada?
AWS OFICIALAtualizada há um ano