Konto- und regionenübergreifende Protokollzentralisierung - CloudWatch Amazon-Protokolle
Konzepte der DatenzentralisierungEinrichtung der ProtokollzentralisierungZentralisierungsregeln für Überwachung und Fehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konto- und regionenübergreifende Protokollzentralisierung

Bei der Datenzentralisierung von Amazon CloudWatch Logs werden Protokolldaten von mehreren Mitgliedskonten in einem Datenspeicher gesammelt. Dabei werden AWS Organizations konto- und regionsübergreifende Zentralisierungsregeln verwendet. Sie definieren die Regeln, mit denen Protokolldaten automatisch aus mehreren Konten und AWS-Regionen in ein zentrales Konto innerhalb Ihrer Organisation repliziert werden. Diese Funktion optimiert die Protokollkonsolidierung und sorgt so für eine verbesserte zentrale Überwachung, Analyse und Einhaltung von Vorschriften in Ihrer gesamten Infrastruktur. AWS

CloudWatch Die Zentralisierung von Protokolldaten bietet Flexibilität bei der Konfiguration, um Betriebs- und Sicherheitsanforderungen zu erfüllen, z. B. die Möglichkeit, während der Regeleinrichtung innerhalb des Zielkontos eine Backup-Region zu konfigurieren, um die Ausfallsicherheit zu erhöhen. Darüber hinaus haben Sie die volle Kontrolle über das Verschlüsselungsverhalten von Protokollgruppen, die aus Quellkonten kopiert wurden, um Daten zu verarbeiten, die ursprünglich mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt wurden.

Anmerkung

Die Funktion zur Zentralisierung von CloudWatch Protokollen verarbeitet nur neue Protokolldaten, die in den Quellkonten eingehen, nachdem Sie die Zentralisierungsregel erstellt haben. Historische Protokolldaten (Protokolle, die vor der Regelerstellung existierten) sind nicht zentralisiert.

Konzepte der Datenzentralisierung

Machen Sie sich mit den folgenden Konzepten vertraut, bevor Sie mit der Zentralisierung von CloudWatch Logs-Daten beginnen:

Regel zur Zentralisierung

Eine Konfiguration, die definiert, wie Protokolldaten von Quellkonten und Regionen auf ein Zielkonto und eine Zielregion repliziert werden. Regeln spezifizieren Quellkriterien und Zieleinstellungen.

Quellkonto

Das AWS Konto, aus dem die Protokolldaten stammen. Protokollereignisse von Quellkonten werden auf der Grundlage der von Ihnen definierten Zentralisierungsregeln auf das Zielkonto repliziert.

Zielkonto

Das AWS Zielkonto, in dem replizierte Protokolldaten gespeichert werden. Dieses Konto dient als zentraler Ort für die Protokollanalyse und -überwachung.

Backup-Region

Eine optionale sekundäre Region innerhalb des Zielkontos, in der Protokolldaten repliziert werden können, um die Ausfallsicherheit zu erhöhen und die Notfallwiederherstellung zu gewährleisten.

Verschlüsselung in Protokollen CloudWatch

Protokollgruppendaten werden in CloudWatch Logs immer verschlüsselt. Standardmäßig verwendet CloudWatch Logs serverseitige Verschlüsselung mit 256-Bit-AES-GCM (Advanced Encryption Standard Galois/Counter Mode), um Protokolldaten im Ruhezustand zu verschlüsseln. Als Alternative können Sie den Key Management Service für diese Verschlüsselung verwenden AWS . Weitere Informationen finden Sie in der Dokumentation CloudWatch Logs Encryption.

  • Funktionsweise der Verschlüsselung bei der Zentralisierung: Bei der Zentralisierung von CloudWatch Protokollen werden Protokolldaten bei der Aufnahme aktiv von den Quellkonten auf die Zielkonten kopiert. Während dieses Vorgangs bleiben Ihre Daten während der Übertragung mit einem AWS eigenen Serviceschlüssel verschlüsselt. Daten, die sich sowohl in der Quell- als auch in der Zielprotokollgruppe befinden, werden mit der von Ihnen gewählten Verschlüsselungsmethode (vom Kunden verwaltete oder AWS eigene KMS-Schlüssel) verschlüsselt. Wenn Sie den vom Kunden verwalteten KMS-Schlüssel in Ihren Zielprotokollgruppen verwenden, fügen Sie das Tag dem KMS-Schlüssel hinzu, LogsManaged = true damit der Centralization Service darauf zugreifen kann.

  • Wenn KMS-Berechtigungen erforderlich sind:

    • Wenn Sie in Ihren Quellkonten vom Kunden verwaltete KMS-Schlüssel verwenden, benötigt CloudWatch Logs in den folgenden Beispielszenarien KMS-Berechtigungen:

      • Durchsatzmanagement: Wenn die Durchsatzgrenzen für die Zentralisierung erreicht sind, werden Protokolldaten vorübergehend verschlüsselt mit Ihrem vom Kunden verwalteten KMS-Schlüssel gespeichert, bis Bandbreite verfügbar ist.

      • Datenschutz und Schwärzung: Wenn für Quellprotokollgruppen Datenschutzrichtlinien aktiviert sind, benötigt CloudWatch Logs Entschlüsselungsberechtigungen, um auf Protokollrohdaten zugreifen zu können, um sie zu zentralisieren.

Wichtig

Zentralisierungsregeln werden vom Verwaltungskonto der AWS Organizations oder vom delegierten Administrator verwaltet. Um vom Kunden verwaltete KMS-verschlüsselte Protokollgruppen von der Zentralisierung auszuschließen, konfigurieren Sie die Regeleinstellungen auf „Mit KMS-Schlüssel verschlüsselte Protokollgruppen nicht zentralisieren“. AWS

Einrichtung der Protokollzentralisierung

Um die CloudWatch Protokollzentralisierung einzurichten, müssen Sie Zentralisierungsregeln konfigurieren, die definieren, wie Protokolldaten von Protokollgruppen in Quellkonten zu Protokollgruppen in Ihrem Zielkonto fließen.

Sobald die Zentralisierungsregel aktiviert ist und Protokollereignisse auf das Zielkonto repliziert wurden, können Sie Metrik-, Abonnement- und Kontofilter für zentralisierte Protokollgruppen mit erweiterten Filterfunktionen erstellen. Diese Filter können auf Protokollereignisse von bestimmten Quellkonten und Regionen abzielen und Informationen zu Quellkonten und Regionen als metrische Dimensionen ausgeben. Weitere Informationen finden Sie unter Erstellen von Metriken aus Protokollereignissen mithilfe von Filtern.

Voraussetzungen

  • AWS Organizations muss eingerichtet sein und das Quell- und das Zielkonto müssen beide zur Organisation gehören.

  • Der vertrauenswürdige Zugriff muss für das Verwaltungskonto und das Zielkonto aktiviert sein CloudWatch, um Zugriff auf die Protokolldaten zu ermöglichen.

    Anmerkung

    Es wird empfohlen, den vertrauenswürdigen Zugriff über die Konsole zu aktivieren, wodurch die erforderliche serviceverknüpfte Rolle (SLR) automatisch erstellt wird. Wenn der vertrauenswürdige Zugriff über andere Methoden aktiviert wird, muss die serviceverknüpfte Rolle separat erstellt werden.

Anpassen der Namen der Zielprotokollgruppen

Wenn Sie eine Zentralisierungsregel erstellen, können Sie mithilfe von Attributen anpassen, wie die Namen der Zielprotokollgruppen strukturiert werden. Diese Attribute werden bei der Erstellung von Protokollgruppen automatisch durch tatsächliche Werte ersetzt, sodass Sie Protokolle in Ihrem Zielkonto hierarchisch organisieren können. Standardmäßig wird nur das ${source.logGroup} Attribut verwendet, das alle Protokollgruppen mit demselben Namen im Zielkonto zusammenführt. Wenn eine Variable nicht aufgelöst werden kann, erbt sie den Wert von ihrer übergeordneten Variablen in der Hierarchie.

Verfügbare Attribute

Sie können die folgenden Attribute in Ihrem Namensmuster für die Zielprotokollgruppe verwenden:

Attribute für den Namen der Zielprotokollgruppe
Attribut Description
${source.accountId} Die AWS Konto-ID, aus der das Protokoll stammt.
${source.region} Der AWS-Region Ort, an dem das Protokoll entstanden ist.
${source.logGroup} Der ursprüngliche Name der Protokollgruppe aus dem Quellkonto.
${source.org.id} Ihre AWS Organizations ID des Quellkontos.
${source.org.ouId} Die Organisationseinheiten-ID des Quellkontos
${source.org.rootId} Die Root-ID der Organisation
${source.org.path} Der vollständige Organisationspfad vom Konto zum Stammverzeichnis

Beispiele

Behalten Sie die ursprüngliche Struktur der Protokollgruppe bei

Pattern: /centralized/${source.accountId}${source.logGroup}

Ergebnis: /centralized/123456789012/aws/lambda/my-function

Organisieren Sie nach Konto und Region

Pattern: /centralized/${source.accountId}/${source.region}

Ergebnis: /centralized/123456789012/us-east-1

Organisieren Sie nach Organisationsstruktur

Pattern: /logs/${source.org.id}/${source.org.ouId}/${source.accountId}

Ergebnis: /logs/o-abc123/ou-xyz-12345678/123456789012

Einfache flache Struktur

Pattern: /centralized-logs

Ergebnis: /centralized-logs

Best Practices

  • Geben Sie die Quellkonto-ID an, um leicht zu erkennen, von welchen Kontoprotokollen sie stammen.

  • Geben Sie die Quellregion an, wenn Sie von mehreren Regionen aus zentralisieren.

  • Strukturieren Sie die Namen der Zielprotokollgruppen so, dass sie weniger als 512 Zeichen lang sind. CloudWatch Logs erzwingt eine maximale Länge von Protokollgruppennamen von 512 Zeichen.

Eine Zentralisierungsregel erstellen

Gehen Sie wie folgt vor, um eine Zentralisierungsregel zu erstellen, die Protokolldaten von Quellkonten auf Ihr Zielkonto repliziert.

Um eine Zentralisierungsregel zu erstellen

  1. Navigieren Sie im Management- oder Delegated Administrator-Konto der Organisation zur CloudWatch Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Navigieren Sie zur Registerkarte Organisation.

  4. Wählen Sie Regel konfigurieren aus.

  5. Geben Sie die Quelldetails an, indem Sie die folgenden Felder festlegen, und wählen Sie dann Weiter aus:

    1. Name der Zentralisierungsregel: Geben Sie einen eindeutigen Namen für die Zentralisierungsregel ein.

    2. Quellkonten: Definieren Sie Auswahlkriterien für Quellen, um Konten auszuwählen, aus denen Telemetriedaten zentralisiert werden sollen. Zu den Auswahlkriterien können gehören:

      • Eine Liste der Mitgliedskonten in der Organisation

      • Eine Liste der Organisationseinheiten in der Organisation

      • Die gesamte Organisation

      Sie können die Auswahlkriterien in zwei Modi angeben:

      • Builder: Eine klickbasierte Oberfläche zur Generierung der Auswahlkriterien für die Quelle

      • Editor: Ein frei formatiertes Textfeld zur Angabe der Auswahlkriterien für die Quelle

      Unterstützte Syntax für Kriterien zur Quellenauswahl:

      • Unterstützte Schlüssel: OrganizationId | OrganizationUnitId | AccountId | *

      • Unterstützte Operatoren: = | IN | OR

    3. Quellregionen: Wählen Sie eine Liste von Regionen aus, um nach den zu zentralisierenden Telemetriedaten zu suchen.

  6. Geben Sie die Zieldetails an, indem Sie die folgenden Felder festlegen, und wählen Sie dann Weiter aus:

    1. Zielkonto: Wählen Sie ein Konto in der Organisation aus, das als zentrales Ziel für Telemetriedaten dient.

    2. Zielregion: Wählen Sie eine primäre Region aus, in der eine Kopie der zentralen Telemetriedaten gespeichert wird.

    3. Backup-Region: Wählen Sie optional eine Region aus, in der eine zweite Kopie der zentralen Telemetriedaten gespeichert wird.

  7. Geben Sie Telemetriedaten an, indem Sie die folgenden Felder festlegen, und wählen Sie dann Weiter aus:

    1. Protokollgruppen: Wählen Sie eine der folgenden Optionen:

      • Alle Protokollgruppen: Zentralisieren Sie die Protokolle aller Protokollgruppen in den Quellkonten.

      • Protokollgruppe filtern: Zentralisiert Protokolle aus einer Teilmenge von Protokollgruppen in den Quellkonten, die den Auswahlkriterien einer Protokollgruppe entsprechen. Sie können die Auswahlkriterien in zwei Modi angeben:

        • Builder: Eine klickbasierte Oberfläche zum Generieren der Auswahlkriterien für Protokollgruppen

        • Editor: Ein frei formatiertes Textfeld zur Angabe der Auswahlkriterien für die Protokollgruppe

        Unterstützte Syntax für Auswahlkriterien für Protokollgruppen:

        • Unterstützte Schlüssel: LogGroupName | *

        • Unterstützte Operatoren: = |! = | IN | NICHT IN | UND | ODER | WIE | NICHT

    2. KMS-verschlüsselte Protokollgruppe

      Wichtig

      CloudWatch Zentralisierungsregeln können keine Protokolle vom Quellkonto an die Zielprotokollgruppen übermitteln, wenn der in der Zentralisierungsregel angegebene KMS-Schlüssel CloudWatch Logs nicht erlaubt, ihn zu verwenden. Wenn Sie in Ihren Zielprotokollgruppen einen vom Kunden verwalteten KMS-Schlüssel verwenden, fügen Sie dem KMS-Schlüssel das Tag LogsManaged = true hinzu. Weitere Informationen finden Sie unter Schritt 2: Festlegen von Berechtigungen auf dem KMS-Schlüssel.

      Wählen Sie eine der folgenden Optionen:

      • Zentralisieren Sie Quellprotokollgruppen, die mit kundenverwalteten KMS-Schlüsseln verschlüsselt sind, mithilfe eines zielspezifischen, kundenverwalteten KMS-Schlüssels: Zentralisieren Sie Protokollereignisse aus Quellprotokollgruppen, die mit kundenverwalteten KMS-Schlüsseln verschlüsselt wurden, in Zielprotokollgruppen, die mit einem vom Kunden verwalteten KMS-Schlüssel im Zielkonto verschlüsselt sind.

        Wenn diese Einstellung ausgewählt ist, müssen Sie auch Folgendes festlegen:

        • Zielverschlüsselungsschlüssel ARN: ARN des vom Kunden verwalteten KMS-Schlüssels im Zielkonto und in der primären Zielregion, der neu erstellten Zielprotokollgruppen zugeordnet werden soll.

        • ARN für den Verschlüsselungsschlüssel für das Backup-Ziel (falls die Backup-Region ausgewählt ist): ARN des vom Kunden verwalteten KMS-Schlüssels im Zielkonto und in der Backup-Zielregion, der mit neu erstellten Zielprotokollgruppen verknüpft werden soll.

        • Die Zentralisierung auf unverschlüsselte Zielprotokollgruppen überspringen (optional): Wenn eine Protokollgruppe bereits ohne einen vom Kunden verwalteten KMS-Schlüssel existiert, CloudWatch kann ihre Verschlüsselung nicht aktualisiert werden. Wählen Sie diese Option, um die Zentralisierung von Protokollereignissen aus Quellprotokollgruppen, die mit kundenverwalteten KMS-Schlüsseln verschlüsselt wurden, in Zielprotokollgruppen zu überspringen, die keinem vom Kunden verwalteten KMS-Schlüssel zugeordnet sind.

      • Zentralisieren Sie Protokollgruppen, die mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt wurden, im Zielkonto mit AWS eigenem KMS-Schlüssel: Zentralisieren Sie Protokollereignisse aus Quellprotokollgruppen, die mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt wurden, in neu erstellten Zielprotokollgruppen, die mit einem AWS eigenen KMS-Schlüssel verschlüsselt wurden.

      • Zentralisieren Sie keine Protokollgruppen, die mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt sind: Überspringen Sie die Zentralisierung von Protokollereignissen aus Quellprotokollgruppen, die mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt wurden.

  8. Überprüfen Sie die Zentralisierungsregel, nehmen Sie optional Änderungen in letzter Minute vor und wählen Sie Zentralisierungsrichtlinie erstellen aus.

Eine Zentralisierungsregel ändern

Gehen Sie wie folgt vor, um eine bestehende Zentralisierungsregel zu ändern.

Um eine Zentralisierungsregel zu ändern

  1. Navigieren Sie im Management- oder Delegated Administrator-Konto der Organisation zur CloudWatch Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Navigieren Sie zur Registerkarte Organisation.

  4. Wählen Sie Regeln verwalten aus.

  5. Wählen Sie die zu aktualisierende Regel aus und klicken Sie auf Bearbeiten.

  6. Aktualisieren Sie die Regelkonfiguration nach Bedarf und wählen Sie Weiter, um mit den einzelnen Schritten fortzufahren.

  7. Wählen Sie in Schritt 4, Überprüfen und konfigurieren, die Option Zentralisierungsrichtlinie aktualisieren aus.

Eine Zentralisierungsregel anzeigen

Gehen Sie wie folgt vor, um Details einer vorhandenen Zentralisierungsregel anzuzeigen.

Um eine Zentralisierungsregel anzuzeigen

  1. Navigieren Sie im Management- oder Delegated Administrator-Konto der Organisation zur CloudWatch Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Navigieren Sie zur Registerkarte Organisation.

  4. Wählen Sie Regeln verwalten aus.

  5. Zeigen Sie eine Liste aller vorhandenen Zentralisierungsregeln an und wählen Sie einen bestimmten Regelnamen aus, um die Details anzuzeigen.

Löschen einer Zentralisierungsregel

Gehen Sie wie folgt vor, um eine bestehende Zentralisierungsregel zu löschen.

Um eine Zentralisierungsregel zu löschen

  1. Navigieren Sie im Management- oder Delegated Administrator-Konto der Organisation zur CloudWatch Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Navigieren Sie zur Registerkarte Organisation.

  4. Wählen Sie Regeln verwalten aus.

  5. Wählen Sie die Regel aus, die Sie löschen möchten, und wählen Sie Löschen.

  6. Bestätigen Sie den Löschvorgang und wählen Sie Delete (Löschen) aus.

Zentralisierungsregeln für Überwachung und Fehlerbehebung

Sie können den Status und die Leistung Ihrer Zentralisierungsregeln mithilfe von CloudWatch Metriken, der CloudWatch Protokollkonsole und AWS CloudTrail Protokollen überwachen. Auf diese Weise können Sie sicherstellen, dass Protokolldaten erfolgreich repliziert werden, und Probleme mit Ihrer Zentralisierungskonfiguration identifizieren.

CloudWatch Logs bietet:

  1. Regelintegrität pro Zentralisierungsregel

    1. Wählen Sie Einstellungen aus.

    2. Navigieren Sie zur Registerkarte Organisation.

    3. Wählen Sie Regeln verwalten aus.

  2. Protokolliert API-Aufrufe mit AWS CloudTrail

  3. CloudWatch veröffentlicht außerdem Metriken für die Zentralisierung, darunter Protokollereignisse, Fehler und Drosselung. Weitere Informationen zu diesen Metriken und ihren Dimensionen finden Sie unter. Metriken und Dimensionen der Zentralisierung

Integritätsstatus der Regel Zentralisierung

Jede Zentralisierungsregel hat einen Integritätsstatus, der angibt, ob sie ordnungsgemäß funktioniert. Sie können den Regelstatus über die Konsole oder programmgesteuert mithilfe der API überprüfen.

Zu den Statusangaben für Regeln gehören:

  • HEALTHY: Die Regel funktioniert normal und repliziert Protokolldaten wie konfiguriert

  • UNHEALTHY: Bei der Regel sind Probleme aufgetreten und die Daten werden möglicherweise nicht korrekt repliziert

  • PROVISIONING: Die Zentralisierung für die Organisation wird derzeit eingerichtet.

Wenn eine Regel als UNGESUND gekennzeichnet ist, enthält das FailureReason Feld Einzelheiten zu dem spezifischen Problem, das behoben werden muss.

Überwachung von API-Aufrufen für die Zentralisierung mit AWS CloudTrail

AWS CloudTrail protokolliert API-Aufrufe an den Zentralisierungsdienst, sodass Sie Konfigurationsänderungen verfolgen und Probleme für Konten beheben können, die Mitglieder Ihres Unternehmens sind. AWS Organizations

Zu den wichtigsten CloudTrail Ereignissen im Zusammenhang mit der Zentralisierung gehören:

  • CreateCentralizationRuleForOrganization: Wenn eine neue Zentralisierungsregel erstellt wird

  • UpdateCentralizationRuleForOrganization: Wenn eine bestehende Regel geändert wird

  • DeleteCentralizationRuleForOrganization: Wenn eine Regel gelöscht wird

  • GetCentralizationRuleForOrganization: Wenn Regeldetails abgerufen werden

  • ListCentralizationRulesForOrganization: Wenn Regeln aufgelistet werden

Sie können CloudTrail Protokolle verwenden, um Änderungen an der Zentralisierungskonfiguration zu überprüfen und sie mit Leistungsproblemen oder Replikationsfehlern zu korrelieren.

Empfehlungen zur Überwachung

Um sicherzustellen, dass die Zentralisierung ordnungsgemäß funktioniert, empfehlen wir, CloudWatch Alarme für wichtige Zentralisierungskennzahlen einzurichten, die wir an Metrics weiterleiten. CloudWatch Diese proaktive Überwachung hilft Ihnen, Probleme frühzeitig zu erkennen und eine zuverlässige Protokollzentralisierung in Ihrem gesamten Unternehmen aufrechtzuerhalten.

Zu den wichtigsten Kennzahlen, die es zu überwachen gilt, gehören:

  • IncomingCopiedBytes: Überwachen Sie die Menge der Protokolldaten, die erfolgreich auf Ihr Zielkonto repliziert wurden. Ein plötzlicher Rückgang oder das Fehlen dieser Metrik kann auf Zentralisierungsprobleme hinweisen.

  • CentralizationError: Richten Sie Alarme für alle Fehler im Zentralisierungsprozess ein, um Probleme schnell zu erkennen und zu lösen.

  • CentralizationThrottled: Achten Sie auf Drosselungsereignisse, die sich auf die Leistung der Protokollreplikation auswirken könnten.

Eine vollständige Liste der verfügbaren Zentralisierungsmetriken und ihrer Dimensionen finden Sie unter. Metriken und Dimensionen der Zentralisierung

Wenn Protokolle nicht wie erwartet zentralisiert werden, sollten Sie sich die folgenden häufigen Szenarien ansehen, die eine Zentralisierung von Protokollen verhindern können.

Historische Protokolldaten

Die Funktion zur Zentralisierung von CloudWatch Protokollen verarbeitet nur neue Protokolldaten, die in den Quellkonten eingehen, nachdem Sie die Zentralisierungsregel erstellt haben. Historische Protokolldaten (Protokolle, die vor der Regelerstellung existierten) sind nicht zentralisiert.

Schlüsselberechtigungen für KMS

Zentralisierungsregeln können keine Protokolle vom Quellkonto an die Zielprotokollgruppen übermitteln, wenn der in der Zentralisierungsregel angegebene KMS-Schlüssel CloudWatch Logs nicht erlaubt, ihn zu verwenden. Stellen Sie sicher, dass die KMS-Schlüsselrichtlinie Logs die erforderlichen Berechtigungen gewährt. CloudWatch Weitere Informationen finden Sie unter Schritt 2: Festlegen von Berechtigungen auf dem KMS-Schlüssel.

Vom Kunden verwaltete KMS-Schlüsselkonfiguration

Wenn Sie bei der Regelerstellung die Option Protokollgruppen, die mit dem vom Kunden verwalteten KMS-Schlüssel verschlüsselt wurden, nicht zentralisieren ausgewählt haben, werden Protokollereignisse aus Quellprotokollgruppen, die mit dem vom Kunden verwalteten KMS-Schlüssel verschlüsselt wurden, übersprungen und nicht zentralisiert.

Die Zielverschlüsselung stimmt nicht überein

Wenn die Zielprotokollgruppe bereits mit einer anderen KMS-Verschlüsselungskonfiguration als der in der Zentralisierungsregel angegebenen vorhanden ist und die Konfliktlösung auf SKIP gesetzt ist, werden Datensätze gelöscht und es wird ein DestinationEncryptionMismatch Fehler ausgegeben. Dies ist beispielsweise der Fall, wenn das Ziel über eine Standardverschlüsselung verfügt, die Regel jedoch einen vom Kunden verwalteten KMS-Schlüssel spezifiziert.

Vertrauenswürdiger Zugriff nicht aktiviert

Vertrauenswürdiger Zugriff muss aktiviert sein, AWS Organizations damit das Verwaltungskonto und das Zielkonto Zugriff auf die Protokolldaten gewähren können. CloudWatch

Auswahlkriterien für die Quelle

Stellen Sie sicher, dass die Quellauswahlkriterien Ihrer Zentralisierungsregel korrekt konfiguriert sind:

  • Konten und Regionen: Stellen Sie sicher, dass die Quellkonten und Regionen, aus denen die Protokolle stammen, in der Regel enthalten sind. Protokollgruppen von Konten oder Regionen, die nicht in der Regel angegeben sind, werden nicht zentralisiert.

  • Protokollgruppenfilter: Wenn Sie Protokollgruppenfilter konfiguriert haben, werden nur Protokollgruppen zentralisiert, die den angegebenen Kriterien entsprechen. Stellen Sie sicher, dass Ihre Auswahlkriterien für Protokollgruppen die Protokollgruppen enthalten, die Sie voraussichtlich zentralisieren werden.

  • Mitgliedschaft in einer Organisation: Sowohl Quell- als auch Zielkonten müssen derselben AWS Organizations Organisation angehören. Konten außerhalb der Organisation können nicht an der Zentralisierung teilnehmen.

Kontingentlimit für Protokollgruppen erreicht

Wenn das Zielkonto das Kontingent für Protokollgruppen erreicht hat, können keine neuen Protokollgruppen für die Zentralisierung erstellt werden. Stellen Sie sicher, dass das Zielkonto über ein ausreichendes Kontingent verfügt, um zentralisierte Protokollgruppen aus allen Quellkonten aufzunehmen. Sie können bei Bedarf eine Erhöhung des Kontingents beantragen.

Die Längenbeschränkung für den Namen des Protokollstreams wurde überschritten

Für Namen von Protokolldatenströmen gilt eine maximale Länge. Wenn die Zentralisierung Protokollstreams auf das Zielkonto repliziert, wird dem Namen des Protokolldatenstroms ein Suffix hinzugefügt. Wenn der resultierende Protokollstreamname die maximal zulässige Länge überschreitet, werden Datensätze gelöscht und es wird ein InvalidLogStream Fehler an das Kundenkonto gemeldet.

Gesundheitsstatus der Regel

Überprüfen Sie den Integritätsstatus der Zentralisierungsregel in der Konsole oder mithilfe der GetCentralizationRuleForOrganization API. Wenn die Regel als UNGESUND markiert ist, überprüfen Sie das FailureReason Feld auf spezifische Informationen zu dem Problem.

Um Zentralisierungsprobleme zu diagnostizieren, überprüfen Sie den Integritätsstatus der Zentralisierungsregel in der Konsole, überprüfen Sie die CloudWatch Metriken auf Fehler und Drosselung und untersuchen Sie die AWS CloudTrail Protokolle auf fehlgeschlagene API-Aufrufe. Weitere Informationen zu Zentralisierungsmetriken finden Sie unter. Metriken und Dimensionen der Zentralisierung