我来逐个拆解你的问题，帮你搞定日志收集的卡点：

1. 配置是否会自动创建日志组？ #

默认情况下，CloudWatch Agent是会自动创建指定的日志组和日志流的，但有两个关键前提必须满足：

• 你的EC2实例关联的IAM角色需要具备足够的CloudWatch Logs权限，至少要包含logs:CreateLogGroup、logs:CreateLogStream和logs:PutLogEvents这三个核心权限（可以直接用AWS托管的CloudWatchLogsFullAccess策略，或者自定义更精细的权限规则）。
• 配置中没有显式禁用自动创建功能（你的当前配置里没有相关禁用项，所以默认是开启状态）。

如果日志组始终没出现，建议先做这些排查：

• 确认EC2实例的IAM角色是否正确附加，且权限配置无误；
• 查看CloudWatch Agent的日志文件/var/log/amazon/amazon-cloudwatch-agent/amazon-cloudwatch-agent.log，里面会记录创建日志组/流的过程或报错信息；
• 执行sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -m ec2 -a status，确认Agent是否处于正常运行状态。

2. 带时间戳的日志文件名是不是问题所在？ #

没错，这很可能是核心原因。你当前配置里指定的文件路径是/var/log/test.log，但实际生成的日志是test-20200407.log这种带时间戳的格式，Agent只会严格匹配你指定的路径，自然找不到目标日志文件，也就不会触发日志组的创建和日志收集流程。

3. 如何适配带时间戳的日志文件？ #

你可以通过通配符来匹配所有带时间戳的日志文件，修改配置中的file_path字段即可：

{
  "agent": { "run_as_user": "root" },
  "logs": {
    "logs_collected": {
      "files": {
        "collect_list": [
          {
            "file_path": "/var/log/test-*.log",
            "log_group_name": "my-app",
            "log_stream_name": "my-app-instance-id"
          }
        ]
      }
    }
  }
}

这样配置后，Agent会自动监控所有以test-开头、.log结尾的文件，包括后续新生成的滚动日志（比如test-20200408.log），不需要手动重启Agent就能识别新文件。

另外补充两个小提示：

• 如果日志是按固定日期格式滚动，也可以用更精准的通配符（比如/var/log/test-???????.log），不过*已经能覆盖大部分场景；
• 确保Agent对/var/log目录下的日志文件有读取权限（你配置了run_as_user: root，权限问题大概率不存在，但还是可以检查下文件的read权限设置）。

内容的提问来源于stack exchange，提问作者user_mda