配置 Amazon IoT 日志记录 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

配置 Amazon IoT 日志记录

您必须使用 Amazon IoT 控制台、CLI 或 API 启用日志记录,然后才能监控和记录 Amazon IoT 活动。

您可以为所有 Amazon IoT 或仅为特定事物组启用日志记录。您可以使用 Amazon IoT 控制台、CLI 或 API 配置 Amazon IoT 日志记录;但是,必须使用 CLI 或 API 为特定事物组配置日志记录。

在考虑如何配置 Amazon IoT 日志记录时,除非另有指定,否则默认日志记录配置将确定如何记录 Amazon IoT 活动。首先,您可能要获取默认日志级别INFODEBUG 的详细日志。查看初始日志后,您可以将默认日志级别更改为较低的详细程度级别(如 WARNERROR),并对可能需要更多关注的资源设置更详细的资源特定日志级别。日志级别可随时更改。

配置日志记录角色和策略

在 Amazon IoT 中启用日志记录之前,您必须创建一个 IAM 角色和一个策略,用于向 Amazon 授予代表您监控 Amazon IoT 活动的权限。

注意

在启用 Amazon IoT 日志记录之前,请务必了解 CloudWatch Logs 访问权限。拥有 CloudWatch Logs 访问权限的用户能够从您的设备查看调试信息。有关更多信息,请参阅 Amazon CloudWatch Logs 的身份验证和访问控制

如果您预计负载测试会在 Amazon IoT Core 中导致高流量模式,请考虑关闭 IoT 日志记录以防止节流。如果检测到高流量,我们的服务可能会禁用您账户中的日志记录。

以下显示了如何为 Amazon IoT Core 资源创建日志记录角色和策略。有关如何为适用于 LoRaWAN 的 Amazon IoT Core 创建 IAM 日志记录角色和策略的信息,请参阅 为适用于 LoRaWAN 的 Amazon IoT Core 创建日志记录角色和策略

创建日志记录角色

要创建日志记录角色,请打开 IAM 控制台的角色中心并选择 Create role(创建角色)。

  1. Select type of trusted entity(选择信任实体的类型)下,选择 Amazon Service(Amazon 服务)、IoT

  2. 选择您的使用案例下,选择 IoT,然后选择下一步:权限

  3. 在显示自动附加到服务角色的策略页面上,选择 Next: Tags(下一步:标签),然后选择 Next: Review(下一步:审核)。

  4. 输入角色的 Role name (角色名称)Role description (角色描述),然后选择 Create role (创建角色)

  5. Role(角色)列表中,找到您刚创建的角色,打开该角色,然后复制 Role ARN(角色 ARN)(logging-role-arn) 以供稍后在 Amazon IoT(控制台)中配置默认日志记录使用。

日志记录角色策略

以下策略文档提供了角色策略和信任策略,借助这些策略,Amazon IoT 可代表您向 CloudWatch 提交日志条目。如果您还允许适用于 LoRaWAN 的 Amazon IoT Core 提交日志条目,则您将看到一个为您创建的策略文档,其中将记录这两个活动。有关如何为适用于 LoRaWAN 的 Amazon IoT Core 创建 IAM 日志记录角色和策略的信息,请参阅 为适用于 LoRaWAN 的 Amazon IoT Core 创建日志记录角色和策略

注意

在您创建日志记录角色时已为您创建这些文档。

角色策略:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutMetricFilter", "logs:PutRetentionPolicy" ], "Resource": [ "*" ] } ] }

信任策略仅记录 Amazon IoT Core 活动:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "iot.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

在 Amazon IoT(控制台)中配置默认日志记录

本部分介绍如何使用 Amazon IoT 控制台为所有 Amazon IoT 配置日志记录。要仅为特定事物组配置日志记录,您必须使用 CLI 或 API。有关为特定事物组配置日志记录的信息,请参阅在 Amazon IoT 中配置资源特定的日志记录 (CLI)

使用 Amazon IoT 控制台为所有 Amazon IoT 配置默认日志记录

  1. 登录到 Amazon IoT 控制台。有关更多信息,请参阅 打开 Amazon IoT 控制台

  2. 在左侧导航窗格中,选择 Settings (设置)。在 Settings(设置)页面的 Logs(日志)部分,选择 Edit(编辑)。

    Logs (日志) 部分显示 Amazon IoT 使用的日志记录角色和详细程度级别。

  3. Configure role setting(配置角色设置)页面上,选择 Level of verbosity(详细程度级别),该级别能够描述要显示在 CloudWatch 日志中的日志条目的详细信息级别

  4. 选择 Select(选择)以指定您在 创建日志记录角色 中创建的角色,或选择 Create Role(创建角色)以创建用于日志记录的新角色。

  5. 单击 Update (更新) 以保存您的更改。

启用日志记录后,请访问 在 CloudWatch 控制台中查看 Amazon IoT 日志 以了解有关查看日志条目的更多信息。

在 Amazon IoT 中配置默认日志记录 (CLI)

本部分介绍如何使用 CLI 为 Amazon IoT 配置全局日志记录。

注意

您需要提供要使用角色的 Amazon Resource Name (ARN)。如果需要创建用于日志记录的角色,请参阅 创建日志记录角色,然后继续操作。

用于调用 API 的委托人对于您的日志记录角色必须具有传递角色权限

您也可以使用 API 执行此流程,即使用 Amazon API 中与此处显示的 CLI 命令对应的方法。

使用 CLI 为 Amazon IoT 配置默认日志记录

  1. 使用 set-v2-logging-options 命令为您的账户设置日志记录选项。

    aws iot set-v2-logging-options \ --role-arn logging-role-arn \ --default-log-level log-level

    其中:

    --role-arn

    向 Amazon IoT 授予在 CloudWatch Logs 中写入日志的权限的角色 ARN。

    --default-log-level

    要使用的日志级别。有效值为:ERRORWARNINFODEBUGDISABLED

    --no-disable-all-logs

    启用所有 Amazon IoT 日志记录的可选参数。使用此参数可在当前禁用日志记录时启用日志记录。

    --disable-all-logs

    禁用所有 Amazon IoT 日志记录的可选参数。使用此参数可在当前启用日志记录时禁用日志记录。

  2. 使用 get-v2-logging-options 命令获取当前日志记录选项。

    aws iot get-v2-logging-options

启用日志记录后,请访问 在 CloudWatch 控制台中查看 Amazon IoT 日志 以了解有关查看日志条目的更多信息。

注意

Amazon IoT 会继续支持使用较早的命令(set-logging-optionsget-logging-options)在您的账户中设置和获取全局日志记录。请注意,使用这些命令时,生成的日志将包含纯文本而不是 JSON 负载,并且日志记录延迟通常会更高。将不会再对这些较早命令的实施进行更多改进。建议您使用“v2”版本来配置日志记录选项,如果可能,还请更改使用早期版本的传统应用程序。

在 Amazon IoT 中配置资源特定的日志记录 (CLI)

本部分介绍如何使用 CLI 为 Amazon IoT 配置资源特定的日志记录。可通过资源特定的日志记录为特定事物组指定日志记录级别。

事物组可包含其他事物组以创建分层关系。此流程介绍如何配置单个事物组的日志记录。您可以将此流程应用于层次结构中的父事物组,以配置层次结构中所有事物组的日志记录。您也可以将此流程应用于子事情组,以覆盖其父级的日志记录配置。

注意

您需要提供要使用角色的 Amazon Resource Name (ARN)。如果需要创建用于日志记录的角色,请参阅 创建日志记录角色,然后继续操作。

用于调用 API 的委托人对于您的日志记录角色必须具有传递角色权限

您也可以使用 API 执行此流程,即使用 Amazon API 中与此处显示的 CLI 命令对应的方法。

使用 CLI 为 Amazon IoT 配置资源特定的日志记录

  1. 使用 set-v2-logging-options 命令为您的账户设置日志记录选项。

    aws iot set-v2-logging-options \ --role-arn logging-role-arn \ --default-log-level log-level

    其中:

    --role-arn

    向 Amazon IoT 授予在 CloudWatch Logs 中写入日志的权限的角色 ARN。

    --default-log-level

    要使用的日志级别。有效值为:ERRORWARNINFODEBUGDISABLED

    --no-disable-all-logs

    启用所有 Amazon IoT 日志记录的可选参数。使用此参数可在当前禁用日志记录时启用日志记录。

    --disable-all-logs

    禁用所有 Amazon IoT 日志记录的可选参数。使用此参数可在当前启用日志记录时禁用日志记录。

  2. 使用 set-v2-logging-level 命令为事物组配置资源特定的日志记录。

    aws iot set-v2-logging-level \ --log-target targetType=THING_GROUP,targetName=thing_group_name \ --log-level log_level
    --log-target

    您要配置日志记录的资源的类型和名称。target_type 值必须为 THING_GROUP。log-target 参数值可以是文本(如前面的命令示例所示),也可以是 JSON 字符串,如以下示例所示。

    aws iot set-v2-logging-level \ --log-target '{"targetType": "THING_GROUP","targetName": "thing_group_name"}' \ --log-level log_level
    --log-level

    为指定资源生成日志时使用的日志记录级别。有效值为:DEBUGINFOERRORWARNDISABLED

  3. 使用 list-v2-logging-levels 命令列出当前配置的日志记录级别。

    aws iot list-v2-logging-levels
  4. 使用 delete-v2-logging-level 命令删除资源特定的日志记录级别。

    aws iot delete-v2-logging-level \ --targetType "THING_GROUP" \ --targetName "thing_group_name"
    --targetType

    target_type 值必须为 THING_GROUP

    --targetName

    要删除日志记录级别的事物组的名称。

启用日志记录后,请访问 在 CloudWatch 控制台中查看 Amazon IoT 日志 以了解有关查看日志条目的更多信息。

日志级别

这些日志级别确定记录的事件,并应用于默认日志级别和资源特定的日志级别。

ERROR (错误)

导致操作失败的任何错误。

日志仅包含 ERROR 信息。

WARN

可能导致系统中出现不一致问题,但不会导致操作失败的所有情况。

日志包括 ERROR 和 WARN 信息。

INFO

有关事物流的高级别信息。

日志包括 INFO、ERROR 和 WARN 信息。

DEBUG

可能有助于调试问题的信息。

日志包括 DEBUG、INFO、ERROR 和 WARN 信息。

DISABLED

所有日志记录均处于禁用状态。