【 Domain 1的组织复杂性设计（Design for Organizational Complexity）】——-将LINUX系统日志内容推送至CloudWatch（Pushing Linux system logs to CloudWatch）

Hello大家好，欢迎回来，我们今天的课程内容是CloudWatch日志。在这节课我们进行实操演示，推送LINUX系统的系统日志内容至CloudWatch的日志组。

我们开始今天的课程内容。

在演示之前，先介绍下后面演示的架构。

我们已经在东京区域启动了一台EC2，我们后面要将这台EC2的系统messages日志内容，发送至位于中央区域的CloudWatch日志组，这样的话，研发人员或者需要访问这个日志的人员，只需要访问CloudWatch日志组，就可以查看/检索EC2的messages日志内容，当然，我们只是拿messages日志举例，您同样可以配置将运行在EC2中的应用程序的日志内容推送至CloudWatch日志组。

为了达到这个目的，我们需要完成以下配置：

• 首先，为EC2分配IAM角色，作用是允许EC2创建日志组且将日志内容发送至日志组等权限。
• 其次，在EC2上安装和配置CloudWatch logs代理。
• 最后，启动CloudWatch logs代理。

以上都完成后，EC2的messages日志自动从实例流向您在安装代理时创建的日志流。代理会确认它已启动，并保持运行状态，直到您禁用它为止，之后就可以在CloudWatch日志组中查看到EC2的messages日志的内容了。

那我们就开始配置吧，第一步，为EC2分配IAM角色，以允许EC2创建日志组且将日志发送至日志组等权限。

第一步：为EC2分配IAM角色

首先让我们先来到东京EC2的管理控制台，可以看到目前我们将要用于测试的这台EC2是没有分配IAM角色的，所以现在我们要为它分配IAM角色。

访问IAM控制台，角色-创建角色，然后附加策略，搜索CloudWatchAgentServerPolicy，然后附加到角色。然后为角色起个名称，我们就叫做CloudWatchAgentServerRole，然后完成创建角色，这样的话IAM角色就创建完成了。

然后我们回到EC2管理控制台，将创建的这个角色附加到EC2上。我们选择EC2，然后实例设置，附加IAM角色，完成附加角色。

我们看下角色附加的这个策略的内容，CreatLogGroup，允许创建日志组以及PutLogEvents允许将日志内容从操作系统推送至创建的日志组等等。

好的，我们现在就完成了第一步的配置，为EC2分配IAM角色，以允许EC2创建日志组且将日志发送至日志组等权限。

我们继续第二步配置，，在EC2上安装和配置CloudWatch logs代理。

在此之前，我们先访问下cloudwatch控制台，东京区域，可以看到目前是没有日志组的。

接下来切换到终端，开始第二步配置，在EC2上安装和配置CloudWatch logs代理，代理的作用的推送EC2日志内容至Cloudwatch。

第二步：在EC2上安装和配置CloudWatch logs代理

切换到终端，登陆东京EC2，我使用的是amazon linux 2操作系统，所以可以使用yum安装cloudwatch logs 代理。

如果您使用的是其他版本的linux，安装 CloudWatch Logs 代理的过程取决于EC2 实例是运行 Amazon Linux、Ubuntu、CentOS 还是 Red Hat。请根据实例上的 Linux 版本采用适当的步骤，这些步骤可通过查阅AWS官方的文档获得。

我们继续，通过yum方式安装cloudwatch logs 代理，输入命令yum install -y awslogs，awslogs是代理程序的软件包名称。现在awslogs这个代理已经安装完成了。

下一步，我们就要对 CloudWatch Logs 代理进行配置，首先我们先来到awslogs配置文件的目录 /etc/awslogs/ ，我们主要需要关注awscli.conf awslogs.conf这两个配置文件，首先我们先来看一下awscli.conf 这个文件，这里可以指定创建日志组的aws区域，我们将其修改为东京区域ap-northeast-1，然后保存退出。

我们在看一下另一个配置文件 awslogs.conf，vim awslogs.conf ，然后我们看下最后面的内容，默认有一个/var/log/messages配置，这个配置会建立一个日志组，名称为/var/log/messages，这个日志组对应的文件是系统的messages日志，这是默认就存在的配置，当然您也可以在这里添加更多的日志，比如应用程序日志，将其相应的信息填到此配置文件中，CloudWatch Logs 代理就会将其内容推送至cloudwatch控制台。

我们这个演示不在添加日志了，就使用默认配置，将EC2系统中的messages日志内容推送至cloudwatch日志组。

第三步：启动CloudWatch logs代理

好，第二步完成了，我们进行最后一步，运行CloudWatch Logs 代理,systemctl start awslogsd，然后看下运行情况，现在代理已经是running的状态了

CloudWatch Logs 代理程序启动后生成的日志文件在/var/log/awslogs.log，可以通过tail -f 来查看。

好的，现在已经完成了配置并启动了CloudWatch Logs 代理程序，现在让我们切换到cloudwatch控制台，进入到日志组。

查看CloudWatch 日志组

目前我们可以看到一个名为/var/log/messages的日志组，EC2系统的messages日志内容已经成功发送过来了。

这个日志组就是之前我们在CloudWatch Logs 代理配置文件awslogs.conf中那个默认的日志组，让我们在切换到终端，看下CloudWatch Logs 代理的配置文件awslogs.conf，如果您还需要将应用程序日志内容推送至cloudwatch，只需要在这里新增配置内容，将应用程序日志内容配置成推送至不同名称的日志组，比如applications日志组。

这样的话在cloudwatch控制台(切换到cloudwatch控制台)，就会生成不同的日志组，您就可以针对不同的日志组分配权限，比如应用程序日志组分配给对应研发权限，方便研发人员排查BUG；而系统messages日志组，您可以将其查看权限分配给对应运维人员。通过将不同的日志内容推送到不同的日志组然后将查看不同的日志组权限分配给不同的人员，这是一个很好的实践。

好的，以上就是今天的内容，我们进行实操演示，推送LINUX系统的系统日志内容至CloudWatch的日志组，希望对您有所帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• AWS爱好者网址：www.iloveaws.cn
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识
• 加入【AWS知识星球】持续学习。

我们今天的课程就到这里，感谢大家的观看，我们下一课程再见。

【 Domain 1的组织复杂性设计（Design for Organizational Complexity）】——-理解CloudWatch Logs

Hello大家好，欢迎回来，我们今天的视频课程内容是理解CloudWatch Logs，我们开始今天课程内容。

将日志的内容集中存储

无论我们的服务器运行着是windows还是linux操作系统，每个操作系统都会产生日志文件。服务器可产生很多类型的日志文件，如系统日志、安全日志，如果您的应用程序在系统中运行，可能还包括应用程序产生的日志。

当应用程序遇到问题需要调试的时候， 就需要访问日志文件，一般会怎么做呢？因为日志文件生成并存储在服务器中，如果要调试应用程序，调查程序BUG，就需要访问服务器。

让我们举个例子，假设有个php程序运行在linux服务器上，出于某种原因，这个php的应用程序没有按照预期的情况正常运行，开发人员想要查看日志文件，这时候该怎么办？在这个场景下很多组织都是为开发人员分配了SSH权限，然后开发人员SSH服务器后查看日志调试。

这当然不是一个很好的安全实践，可能会造成不可控风险等。当前很多组织中，都会建立并遵循开发/部署流程和规范，并不会分配开发人员直接登录生产环境的服务器权限，也就是说开发人员无法访问服务器，那在这种情况下，开发人员怎么通过服务器上的日志文件进行调试排查问题呢？答案是集中式日志存储架构，将日志文件从系统中拉取并放置一个中心区域集中存储，并提供给开发人员查看/调试。

将/var/log/messages日志内容推送至cloudwatch日志组快速演示

为了让大家更好的理解，我们下面在举个例子。

切换到终端，我已登陆一台东京的EC2，进入到系统的/var/log目录，可以看到目录里面有很多日志文件。

假设我们要使用/var/log/messages日志来调试，一种方式是，像我现在这样手动ssh登陆到这台服务器上，然后通过tail、grep等命令，对messages日志进行检索并查看与排查问题相关的记录，并定位问题。然而，前面讨论过，最理想的方式是将这个文件推送到中心区域，然后在中心区域检索日志。

因为我们这节课是CloudWatch logs内容，针对以上这个场景，我在EC2上安装了CloudWatch logs代理，通过CloudWatch logs代理，将EC2中的messages日志内容推送至cloudwatch 日志组，然后可在cloudwatch日志组中检索日志，我们已经将上述的环境和服务都配置好了，现在快速演示下。

我们现在打开cloudwatch控制台，打开日志组，我们会看到一个/var/log/messages日志组，进入后是我之前登陆的EC2实例ID，然后可以看到刚刚登陆的那台EC2中的/var/log/messages日志所有内容，全部在这个日志组里面。

以上，我们只是拿messages日志举例，同样，在实际环境中，您也可以推送所有服务器上的应用程序的日志至一个中央区域日志服务器，这个中央区域日志服务器可以是cloudwatch，可以是rsyslog，也可以是EasticSearch等等。最重要的一点是，当您将所有的日志文件都推送到了一个中央区域的日志服务器后，在有调试BUG或者其他需要检索日志文件的时候，您就不需要分配服务器的ssh登陆权限给相应的人员，在登陆服务器查询对应的日志文件了。

以上，就是今天的CloudWatch logs的内容，在下节课我们将从头开始配置，实现将一个ec2的日志推送至CloudWatch的日志组的整个操作步骤。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• AWS爱好者网址：www.iloveaws.cn
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识
• 加入【AWS知识星球】持续学习。

我们今天的课程就到这里，感谢大家的观看，我们下一课程再见。