Kontoübergreifende regionsübergreifende Protokollzentralisierung - CloudWatch Amazon-Protokolle
Konzepte der DatenzentralisierungEinrichtung der ProtokollzentralisierungÜberwachung der Zentralisierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontoübergreifende regionsübergreifende Protokollzentralisierung

Bei der Datenzentralisierung von Amazon CloudWatch Logs werden Protokolldaten von mehreren Mitgliedskonten in einem Datenspeicher gesammelt. Dabei werden AWS Organizations konto- und regionsübergreifende Zentralisierungsregeln verwendet. Sie definieren die Regeln, nach denen Protokolldaten von mehreren Konten automatisch AWS-Regionen in ein zentrales Konto innerhalb Ihrer Organisation repliziert werden. Diese Funktion optimiert die Protokollkonsolidierung und sorgt so für eine verbesserte zentrale Überwachung, Analyse und Einhaltung von Vorschriften in Ihrer gesamten AWS Infrastruktur.

CloudWatch Die Zentralisierung von Protokolldaten bietet Flexibilität bei der Konfiguration, um Betriebs- und Sicherheitsanforderungen zu erfüllen, z. B. die Möglichkeit, während der Regeleinrichtung innerhalb des Zielkontos eine Backup-Region zu konfigurieren, um die Ausfallsicherheit zu erhöhen. Darüber hinaus haben Sie die volle Kontrolle über das Verschlüsselungsverhalten von Protokollgruppen, die aus Quellkonten kopiert wurden, um Daten zu verarbeiten, die ursprünglich mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt wurden.

Konzepte der Datenzentralisierung

Machen Sie sich mit den folgenden Konzepten vertraut, bevor Sie mit der Zentralisierung von CloudWatch Logs-Daten beginnen:

Regel zur Zentralisierung

Eine Konfiguration, die definiert, wie Protokolldaten von Quellkonten und Regionen auf ein Zielkonto und eine Zielregion repliziert werden. Regeln spezifizieren Quellkriterien und Zieleinstellungen.

Quellkonto

Das AWS Konto, aus dem die Protokolldaten stammen. Protokollereignisse von Quellkonten werden auf der Grundlage der von Ihnen definierten Zentralisierungsregeln auf das Zielkonto repliziert.

Zielkonto

Das AWS Zielkonto, in dem replizierte Protokolldaten gespeichert werden. Dieses Konto dient als zentraler Ort für die Protokollanalyse und -überwachung.

Backup-Region

Eine optionale sekundäre Region innerhalb des Zielkontos, in der Protokolldaten repliziert werden können, um die Ausfallsicherheit zu erhöhen und die Notfallwiederherstellung zu gewährleisten.

Verschlüsselung in Protokollen CloudWatch

Protokollgruppendaten werden in CloudWatch Logs immer verschlüsselt. Standardmäßig verwendet CloudWatch Logs serverseitige Verschlüsselung mit 256-Bit-AES-GCM (Advanced Encryption Standard Galois/Counter Mode), um Protokolldaten im Ruhezustand zu verschlüsseln. Als Alternative können Sie den Key Management Service für diese Verschlüsselung verwenden AWS . Wenn Sie dies tun, erfolgt die Verschlüsselung entweder mithilfe eines AWS eigenen KMS-Schlüssels oder eines vom Kunden verwalteten KMS-Schlüssels. Die KMS-Schlüsselverschlüsselung mit AWS KMS wird auf Protokollgruppenebene aktiviert, indem ein KMS-Schlüssel einer Protokollgruppe zugeordnet wird, entweder wenn Sie die Protokollgruppe erstellen oder nachdem sie existiert. Nachdem Sie einen KMS-Schlüssel mit einer Protokollgruppe verknüpft haben, werden alle für die Protokollgruppe neu übernommenen Daten mithilfe des Schlüssels verschlüsselt. Diese Daten werden während ihres gesamten Aufbewahrungszeitraums in verschlüsseltem Format gespeichert. CloudWatch Logs entschlüsselt diese Daten, wann immer sie angefordert werden. CloudWatch Protokolle müssen immer dann über Berechtigungen für den KMS-Schlüssel verfügen, wenn verschlüsselte Daten angefordert werden, z. B. wenn eine Regel zur Protokollzentralisierung für ein Quellkonto ausgeführt wird. Wenn Sie vom Kunden verwaltete KMS-Schlüssel verwenden, aktualisieren Sie die KMS-Schlüssel, die den Quell- und Zielprotokollgruppen zugeordnet sind, mit dem TagLogsManaged = true. Weitere Informationen finden Sie unter AWS KMS-Schlüssel im AWS Key Management Service Developer Guide

Einrichtung der Protokollzentralisierung

Um die CloudWatch Protokollzentralisierung einzurichten, müssen Sie Zentralisierungsregeln konfigurieren, die definieren, wie Protokolldaten von Protokollgruppen in Quellkonten zu Protokollgruppen in Ihrem Zielkonto fließen.

Sobald die Zentralisierungsregel aktiviert ist und Protokollereignisse auf das Zielkonto repliziert wurden, können Sie Metrik-, Abonnement- und Kontofilter für zentralisierte Protokollgruppen mit erweiterten Filterfunktionen erstellen. Diese Filter können auf Protokollereignisse von bestimmten Quellkonten und Regionen abzielen und Informationen zu Quellkonten und Regionen als metrische Dimensionen ausgeben. Weitere Informationen finden Sie unter Erstellen von Metriken aus Protokollereignissen mithilfe von Filtern.

Voraussetzungen

  • AWS Organizations muss eingerichtet sein und das Quell- und das Zielkonto müssen beide zur Organisation gehören.

  • Der vertrauenswürdige Zugriff muss für das Verwaltungskonto und das Zielkonto aktiviert sein CloudWatch, um Zugriff auf die Protokolldaten zu ermöglichen.

Eine Zentralisierungsregel erstellen

Gehen Sie wie folgt vor, um eine Zentralisierungsregel zu erstellen, die Protokolldaten von Quellkonten auf Ihr Zielkonto repliziert.

Um eine Zentralisierungsregel zu erstellen

  1. Navigieren Sie im Management- oder Delegated Administrator-Konto der Organisation zur CloudWatch Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Navigieren Sie zur Registerkarte Organisation.

  4. Wählen Sie Regel konfigurieren aus.

  5. Geben Sie die Quelldetails an, indem Sie die folgenden Felder festlegen, und wählen Sie dann Weiter aus:

    1. Name der Zentralisierungsregel: Geben Sie einen eindeutigen Namen für die Zentralisierungsregel ein.

    2. Quellkonten: Definieren Sie Auswahlkriterien für Quellen, um Konten auszuwählen, aus denen Telemetriedaten zentralisiert werden sollen. Zu den Auswahlkriterien können gehören:

      • Eine Liste der Mitgliedskonten in der Organisation

      • Eine Liste der Organisationseinheiten in der Organisation

      • Die gesamte Organisation

      Sie können die Auswahlkriterien in zwei Modi angeben:

      • Builder: Eine klickbasierte Oberfläche zur Generierung der Auswahlkriterien für die Quelle

      • Editor: Ein frei formatiertes Textfeld zur Angabe der Auswahlkriterien für die Quelle

      Unterstützte Syntax für Kriterien zur Quellenauswahl:

      • Unterstützte Schlüssel: OrganizationId | OrganizationUnitId | AccountId | *

      • Unterstützte Operatoren: = | IN | OR

    3. Quellregionen: Wählen Sie eine Liste von Regionen aus, um nach den zu zentralisierenden Telemetriedaten zu suchen.

  6. Geben Sie die Zieldetails an, indem Sie die folgenden Felder festlegen, und wählen Sie dann Weiter aus:

    1. Zielkonto: Wählen Sie ein Konto in der Organisation aus, das als zentrales Ziel für Telemetriedaten dient.

    2. Zielregion: Wählen Sie eine primäre Region aus, in der eine Kopie der zentralen Telemetriedaten gespeichert wird.

    3. Backup-Region: Wählen Sie optional eine Region aus, in der eine zweite Kopie der zentralen Telemetriedaten gespeichert wird.

  7. Geben Sie Telemetriedaten an, indem Sie die folgenden Felder festlegen, und wählen Sie dann Weiter aus:

    1. Protokollgruppen: Wählen Sie eine der folgenden Optionen:

      • Alle Protokollgruppen: Zentralisieren Sie die Protokolle aller Protokollgruppen in den Quellkonten.

      • Protokollgruppe filtern: Zentralisiert Protokolle aus einer Teilmenge von Protokollgruppen in den Quellkonten, die den Auswahlkriterien einer Protokollgruppe entsprechen. Sie können die Auswahlkriterien in zwei Modi angeben:

        • Builder: Eine klickbasierte Oberfläche zum Generieren der Auswahlkriterien für Protokollgruppen

        • Editor: Ein frei formatiertes Textfeld zur Angabe der Auswahlkriterien für die Protokollgruppe

        Unterstützte Syntax für Auswahlkriterien für Protokollgruppen:

        • Unterstützte Schlüssel: LogGroupName | *

        • Unterstützte Operatoren: = |! = | IN | NICHT IN | UND | ODER | WIE | NICHT

    2. KMS-verschlüsselte Protokollgruppe

      Wichtig

      CloudWatch Zentralisierungsregeln können keine Protokolle vom Quellkonto an die Zielprotokollgruppen übermitteln, wenn der in der Zentralisierungsregel angegebene KMS-Schlüssel CloudWatch Logs nicht erlaubt, ihn zu verwenden. Weitere Informationen finden Sie unter Schritt 2: Festlegen von Berechtigungen auf dem KMS-Schlüssel.

      Wählen Sie eine der folgenden Optionen:

      • Zentralisieren Sie keine Protokollgruppen, die mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt sind: Überspringen Sie die Zentralisierung von Protokollereignissen aus Quellprotokollgruppen, die mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt wurden.

      • Zentralisieren Sie Protokollgruppen, die mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt wurden, im Zielkonto mit einem AWS verwalteten KMS-Schlüssel: Zentralisieren Sie Protokollereignisse aus Quellprotokollgruppen, die mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt wurden, in Zielprotokollgruppen, die nicht mit vom Kunden verwalteten KMS-Schlüsseln verknüpft sind, sondern stattdessen einen AWS verwalteten KMS-Schlüssel verwenden.

        Wenn diese Einstellung ausgewählt ist, müssen Sie auch Folgendes festlegen:

        • Zielverschlüsselungsschlüssel ARN: ARN des KMS-Schlüssels, der zum Zielkonto und zur primären Zielregion gehört und mit neu erstellten Zielprotokollgruppen verknüpft werden soll.

        • ARN für den Verschlüsselungsschlüssel für das Backup-Ziel (optional): ARN des KMS-Schlüssels, der zum Zielkonto und zur Backup-Zielregion gehört und mit neu erstellten Zielprotokollgruppen verknüpft werden soll.

        Anmerkung

        Beachten Sie, dass diese Einstellung nur gilt, wenn die Quellprotokollgruppe mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt ist, und dass sie nur für neu erstellte Protokollgruppen im Zielkonto gilt.

  8. Überprüfen Sie die Zentralisierungsregel, nehmen Sie optional Änderungen in letzter Minute vor und wählen Sie Zentralisierungsrichtlinie erstellen aus.

Eine Zentralisierungsregel ändern

Gehen Sie wie folgt vor, um eine bestehende Zentralisierungsregel zu ändern.

Um eine Zentralisierungsregel zu ändern

  1. Navigieren Sie im Management- oder Delegated Administrator-Konto der Organisation zur CloudWatch Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Navigieren Sie zur Registerkarte Organisation.

  4. Wählen Sie Regeln verwalten aus.

  5. Wählen Sie die zu aktualisierende Regel aus und klicken Sie auf Bearbeiten.

  6. Aktualisieren Sie die Regelkonfiguration nach Bedarf und wählen Sie Weiter, um mit den einzelnen Schritten fortzufahren.

  7. Wählen Sie in Schritt 4, Überprüfen und konfigurieren, die Option Zentralisierungsrichtlinie aktualisieren aus.

Eine Zentralisierungsregel anzeigen

Gehen Sie wie folgt vor, um Details einer vorhandenen Zentralisierungsregel anzuzeigen.

Um eine Zentralisierungsregel anzuzeigen

  1. Navigieren Sie im Management- oder Delegated Administrator-Konto der Organisation zur CloudWatch Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Navigieren Sie zur Registerkarte Organisation.

  4. Wählen Sie Regeln verwalten aus.

  5. Zeigen Sie eine Liste aller vorhandenen Zentralisierungsregeln an und wählen Sie einen bestimmten Regelnamen aus, um die Details anzuzeigen.

Löschen einer Zentralisierungsregel

Gehen Sie wie folgt vor, um eine bestehende Zentralisierungsregel zu löschen.

Um eine Zentralisierungsregel zu löschen

  1. Navigieren Sie im Management- oder Delegated Administrator-Konto der Organisation zur CloudWatch Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Navigieren Sie zur Registerkarte Organisation.

  4. Wählen Sie Regeln verwalten aus.

  5. Wählen Sie die Regel aus, die Sie löschen möchten, und wählen Sie Löschen.

  6. Bestätigen Sie den Löschvorgang und wählen Sie Delete (Löschen) aus.

Überwachung der Zentralisierung

Sie können den Status und die Leistung Ihrer Zentralisierungsregeln mithilfe von CloudWatch Metriken, der CloudWatch Logs-Konsole und AWS CloudTrail Protokollen überwachen. Auf diese Weise können Sie sicherstellen, dass Protokolldaten erfolgreich repliziert werden, und Probleme mit Ihrer Zentralisierungskonfiguration identifizieren.

Überwachung der Zentralisierung in der Konsole

Verwenden Sie die CloudWatch Protokollkonsole, um den Status und die Aktivität Ihrer Zentralisierungsregeln einzusehen.

Um die Zentralisierungsregeln in der Konsole zu überwachen

  1. Navigieren Sie im Management- oder Delegated Administrator-Konto der Organisation zur CloudWatch Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Navigieren Sie zur Registerkarte Organisation.

  4. Wählen Sie Regeln verwalten aus.

  5. Sehen Sie sich die Liste der Zentralisierungsregeln an, in der Folgendes angezeigt wird:

    • Regelname: Der Name jeder Zentralisierungsregel

    • Regelstatus: Aktueller Betriebsstatus (Aktiv, Inaktiv, Fehler)

    • Erstellungsdatum: Wann die Regel erstellt wurde

    • Zielkonto-ID: Die Konto-ID des Zielkontos

    • Zielregion: Die Region des Zielkontos

  6. Wählen Sie einen bestimmten Regelnamen, um die Details der Regelkonfiguration anzuzeigen

Zentralisierung und Überwachung

Sie können die Zentralisierungsregeln mithilfe der Konsolenoberfläche und der API-Operationen überwachen.

Zu den aktuellen Überwachungsfunktionen gehören:

  • Status der Regeln: Überwachen Sie den Gesamtstatus der Zentralisierungsregeln über die Konsole oder API GetCentralizationRuleForOrganization

  • Regelkonfiguration: Überprüfen Sie die Regeleinstellungen und die Zeitstempel der letzten Aktualisierung

  • Gründe für Fehler: Sehen Sie sich detaillierte Fehlerinformationen an, wenn Regeln als UNGESUND markiert sind

  • API-Aktivität: Verfolgen Sie API-Aufrufe zur Zentralisierung anhand von Protokollen CloudTrail

Überwachung der Regelintegrität

Jede Zentralisierungsregel hat einen Integritätsstatus, der angibt, ob sie ordnungsgemäß funktioniert. Sie können den Regelstatus über die Konsole oder programmgesteuert mithilfe der API überprüfen.

Zu den Statusangaben für Regeln gehören:

  • HEALTHY: Die Regel funktioniert normal und repliziert Protokolldaten wie konfiguriert

  • UNHEALTHY: Bei der Regel sind Probleme aufgetreten und die Daten werden möglicherweise nicht korrekt repliziert

  • PROVISIONING: Die Zentralisierung für das Unternehmen wird derzeit eingerichtet.

Wenn eine Regel als UNGESUND gekennzeichnet ist, enthält das FailureReason Feld Einzelheiten zu dem spezifischen Problem, das behoben werden muss.

Überwachung von API-Aufrufen für die Zentralisierung mit AWS CloudTrail

AWS CloudTrail protokolliert API-Aufrufe an den Zentralisierungsdienst, sodass Sie Konfigurationsänderungen verfolgen und Probleme für Konten beheben können, die Mitglieder Ihres Unternehmens sind. AWS Organizations

Zu den wichtigsten CloudTrail Ereignissen im Zusammenhang mit der Zentralisierung gehören:

  • CreateCentralizationRuleForOrganization: Wenn eine neue Zentralisierungsregel erstellt wird

  • UpdateCentralizationRuleForOrganization: Wenn eine bestehende Regel geändert wird

  • DeleteCentralizationRuleForOrganization: Wenn eine Regel gelöscht wird

  • GetCentralizationRuleForOrganization: Wenn Regeldetails abgerufen werden

  • ListCentralizationRulesForOrganization: Wenn Regeln aufgelistet werden

Sie können CloudTrail Protokolle verwenden, um Änderungen an der Zentralisierungskonfiguration zu überprüfen und sie mit Leistungsproblemen oder Replikationsfehlern zu korrelieren.