統合 CloudWatch エージェントがメトリクスやログイベントを CloudWatch にプッシュしないのはなぜですか?

最終更新日: 2022 年 4 月 26 日

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに統合 CloudWatch エージェントを設定して、メトリクスとログを Amazon CloudWatch に投稿しました。しかし、CloudWatch コンソールにメトリクスやログが表示されません。統合 CloudWatch エージェントがメトリクスとログを CloudWatch にプッシュしないのはなぜですか?

簡単な説明

統合 CloudWatch エージェントがメトリクスやログを CloudWatch にプッシュしない理由はいくつかあります。例えば、エージェントがメトリクスを発行できないようにしているアクセス許可または接続エラーがある可能性があります。統合 CloudWatch エージェントログを確認すると、次のようなエラーが表示される場合があります。

  • エージェントログエラー: エンドポイントに接続できません
  • エージェントログエラー: アクセス許可が不十分です

解決方法

注: AWS Command Line Interface (AWS CLI) コマンドの実行中にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください

統合 CloudWatch エージェントログを確認する

エージェントログファイルを使用して、統合 CloudWatch エージェントパッケージで発生した問題のトラブルシューティングに役立ててください。次のような一般的な問題が発生している可能性があります。

ログに次のエラーのいずれかが表示される場合があります。

エージェントログエラー: エンドポイントに接続できません

2021-08-30T04:07:46Z E! cloudwatch: code: RequestError, message: send request failed, original error: Post "https://monitoring.us-east-1.amazonaws.com/": dial tcp 172.31.11.121:443: i/o timeout
2021-08-30T04:07:46Z W! 210 retries, going to sleep 1m0s before retrying.
2021-08-30T04:07:46Z E! cloudwatch: code: RequestError, message: send request failed, original error: Post "https://monitoring.us-east-1.amazonaws.com/": dial tcp 172.31.11.121:443: i/o timeout
2021-08-30T04:07:46Z W! 211 retries, going to sleep 1m0s before retrying.

エージェントログエラー: アクセス許可が不十分です

2021-08-30T02:15:45Z E! cloudwatch: code: AccessDenied, message: User: arn:aws:sts::123456789012:assumed-role/cwagent/i-0744de7c842d2c2ba is not authorized to perform: cloudwatch:PutMetricData, original error: 
2021-08-30T02:15:45Z W! 1 retries, going to sleep 400ms before retrying.
2021-08-30T02:15:46Z E! WriteToCloudWatch failure, err:  AccessDenied: User: arn:aws:sts::123456789012:assumed-role/cwagent/i-0744de7c842d2c2ba is not authorized to perform: cloudwatch:PutMetricData
    status code: 403, request id: f1171fd0-05b6-4f7d-bac2-629c8594c46e

CloudWatch エンドポイントへの接続を確認する

CloudWatch へのトラフィックがパブリックインターネットを通過してはいけない場合は、代わりに VPC エンドポイントを使用できます。VPC エンドポイントを使用している場合は、以下を確認します。

  • プライベートネームサーバーを使用している場合は、DNS 解決によって正確な応答が得られたことを確認します。
  • CloudWatch エンドポイントがプライベート IP アドレスに解決されることを確認します。
  • VPC エンドポイントに関連付けられているセキュリティグループが、ホストからのインバウンドトラフィックを許可していることを確認します。

1.    メトリクスエンドポイントへの接続を確認します。

$ telnet monitoring.us-east-1.amazonaws.com 443
Trying 52.46.138.115...
Connected to monitoring.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

2.    ログエンドポイントへの接続を確認します。

$ telnet logs.us-east-1.amazonaws.com 443
Trying 3.236.94.218...
Connected to logs.us-east-1.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed

3.    VPC エンドポイントがプライベート IP アドレスに解決されることを確認します。

$ dig monitoring.us-east-1.amazonaws.com +short
172.31.11.121
172.31.0.13

統合 CloudWatch エージェント設定を確認する

エージェント設定ファイルには、CloudWatch に発行されるメトリクスとログの詳細が記載されています。エージェント設定ファイルを確認して、発行するログとメトリクスが含まれていることを確認します。

ホストがメトリクスとログを発行するアクセス許可を持っていることを確認する

AWS 管理ポリシー CloudWatchAgentServerPolicy CloudWatchAgentAdminPolicy は、統合 CloudWatch エージェントをデプロイし、正しいアクセス許可があるかどうかを確認するのに役立ちます。これらのポリシーを参考にして、ホストが正しいアクセス許可を持っていることを確認します。

これらの例の AWS CLI の出力には、アクセス許可が不十分であることが示されています。

このエージェント開始コマンド出力は、EC2 インスタンスに IAM ロールがアタッチされていないことを示しています。

$ /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -c ssm:CWT-Web-Server -s
****** processing amazon-cloudwatch-agent ******
/opt/aws/amazon-cloudwatch-agent/bin/config-downloader --output-dir /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d --download-source ssm:CWT-Web-Server --mode ec2 --config /opt/aws/amazon-cloudwatch-agent/etc/common-config.toml --multi-config default
Region: us-east-1
credsConfig: map[]
Error in retrieving parameter store content: NoCredentialProviders: no valid providers in chain. Deprecated.
    For verbose messaging see aws.Config.CredentialsChainVerboseErrors
Fail to fetch/remove json config: NoCredentialProviders: no valid providers in chain. Deprecated.
    For verbose messaging see aws.Config.CredentialsChainVerboseErrors

Fail to fetch the config!

このエージェント起動コマンド出力は、不正な IAM ロールが EC2 インスタンスにアタッチされていることを示しています。

$ /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -c ssm:CWT-Web-Server -s
****** processing amazon-cloudwatch-agent ******
/opt/aws/amazon-cloudwatch-agent/bin/config-downloader --output-dir /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d --download-source ssm:CWT-Web-Server --mode ec2 --config /opt/aws/amazon-cloudwatch-agent/etc/common-config.toml --multi-config default
Region: us-east-1
credsConfig: map[]
Error in retrieving parameter store content: AccessDeniedException: User: arn:aws:sts::123456789012:assumed-role/cwagent/i-0744de7c842d2c2ba is not authorized to perform: ssm:GetParameter on resource: arn:aws:ssm:us-east-1:123456789012:parameter/CWT-Web-Server
    status code: 400, request id: b85b0a7a-0fb1-47b4-924f-be8cf43a3b4d
Fail to fetch/remove json config: AccessDeniedException: User: arn:aws:sts::123456789012:assumed-role/cwagent/i-0744de7c842d2c2ba is not authorized to perform: ssm:GetParameter on resource: arn:aws:ssm:us-east-1:123456789012:parameter/CWT-Web-Server
    status code: 400, request id: b85b0a7a-0fb1-47b4-924f-be8cf43a3b4d

Fail to fetch the config!

場合によっては、IAM ユーザーがコマンドラインにいることがあります。obtain user/role コマンドは、インスタンスに関連付けられた IAM ユーザーまたはロールを返します。

$ aws sts get-caller-identity
{
    "UserId": "AROA123456789012ABCDE:i-0744de7c842d2c2ba",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/CloudWatchAgentServerRole/i-0744de7c842d2c2ba"
}

エージェントが正しく起動することを確認する

エージェントは、設定ファイルを引数として渡して AWS CLI を使用して起動するように設計されています。次の有効な起動コマンドを使用してください。

Linux コマンド:

- `$ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -s -c file:configuration-file-path`
- `$ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -s -c ssm:configuration-parameter-store-name`

Windows コマンド:

- `& "C:\Program Files\Amazon\AmazonCloudWatchAgent\amazon-cloudwatch-agent-ctl.ps1" -a fetch-config -m ec2 -s -c file:"C:\Program Files\Amazon\AmazonCloudWatchAgent\config.json"`
- `& "C:\Program Files\Amazon\AmazonCloudWatchAgent\amazon-cloudwatch-agent-ctl.ps1" -a fetch-config -m ec2 -s -c ssm:configuration-parameter-store-name`

重要: Windows コントロールパネルからエージェントを起動しないでください。

エージェントが実行中であることを確認する

メトリクスとログを発行するには、エージェントが実行されている必要があります。このコマンドを実行して、エージェントがアクティブであることを確認します

$ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -m ec2 -a status
{
    "status": "running",
    "starttime": "2021-08-30T02:13:44+00:00",
    "configstatus": "configured",
    "cwoc_status": "stopped",
    "cwoc_starttime": "",
    "cwoc_configstatus": "not configured",
    "version": "1.247349.0b251399"
}

エージェント設定を更新した後、エージェントを再起動します

エージェントは、設定ファイルへの変更を自動的に登録しません。エージェント設定が更新され、新規または異なるメトリクスとログが含まれる場合は、次のコマンドを使用してエージェントを再起動します。

$ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -m ec2 -a stop
****** processing cwagent-otel-collector ******
cwagent-otel-collector has already been stopped

****** processing amazon-cloudwatch-agent ******
Redirecting to /bin/systemctl stop amazon-cloudwatch-agent.service


$ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -s -c file:config.json
****** processing amazon-cloudwatch-agent ******
/opt/aws/amazon-cloudwatch-agent/bin/config-downloader --output-dir /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d --download-source file:config.json --mode ec2 --config /opt/aws/amazon-cloudwatch-agent/etc/common-config.toml --multi-config default
Successfully fetched the config and saved in /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d/file_config.json.tmp
Start configuration validation...
/opt/aws/amazon-cloudwatch-agent/bin/config-translator --input /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.json --input-dir /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d --output /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.toml --mode ec2 --config /opt/aws/amazon-cloudwatch-agent/etc/common-config.toml --multi-config default
2021/08/31 02:45:37 Reading json config file path: /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d/file_config.json.tmp ...
Valid Json input schema.
I! Detecting run_as_user...
Configuration validation first phase succeeded
/opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent -schematest -config /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.toml
Configuration validation second phase succeeded
Configuration validation succeeded
amazon-cloudwatch-agent has already been stopped
Redirecting to /bin/systemctl restart amazon-cloudwatch-agent.service

$ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -m ec2 -a status
{
  "status": "running",
  "starttime": "2021-08-31T02:45:37+0000",
  "configstatus": "configured",
  "cwoc_status": "stopped",
  "cwoc_starttime": "",
  "cwoc_configstatus": "not configured",
  "version": "1.247349.0b251399"
}