Eine Untersuchungsgruppe einrichten - Amazon CloudWatch

Eine Untersuchungsgruppe einrichten

Um CloudWatch-Untersuchungen für erweiterte Untersuchungsfunktionen in Ihrem Konto einzurichten, erstellen Sie eine Untersuchungsgruppe. Das Erstellen einer Untersuchungsgruppe ist eine einmalige Aktion. Einmal erstellt, wird sie zur Durchführung weiterer Untersuchungen verwendet. Mit den Einstellungen in der Untersuchungsgruppe können Sie die allgemeinen Untersuchungsmerkmale zentral verwalten, z. B.:

  • wer auf Untersuchungen zugreifen kann

  • kontoübergreifende Untersuchungen, um auf Ressourcen in anderen Konten zuzugreifen

  • ob Untersuchungsdaten mit einem kundenverwalteten AWS Key Management Service-Schlüssel verschlüsselt werden

  • wie lange Untersuchungen und ihre Daten standardmäßig aufbewahrt werden

Sie können eine Untersuchungsgruppe pro Konto haben. Jede Untersuchung in Ihrem Konto wird Teil dieser Untersuchungsgruppe sein.

Um eine Untersuchungsgruppe zu erstellen, müssen Sie bei einem IAM-Prinzipal angemeldet sein, dem die IAM-Richtlinie AIOpsConsoleAdminPolicy oder AdministratorAccess zugewiesen ist, oder bei einem Konto mit ähnlichen Berechtigungen.

Anmerkung

Um die empfohlene Option zum Erstellen einer neuen IAM-Rolle für CloudWatch-Untersuchungen und betriebliche Untersuchungen auswählen zu können, müssen Sie bei einem IAM-Prinzipal angemeldet sein, der über die Berechtigungen iam:CreateRole, iam:AttachRolePolicy und iam:PutRolePolicy verfügt.

Wichtig

CloudWatch-Untersuchungen verwendet regionsübergreifende Inferenz, um den Datenverkehr auf verschiedene AWS-Regionen zu verteilen. Weitere Informationen finden Sie unter Regionsübergreifende Inferenz.

So erstellen Sie eine Untersuchungsgruppe in Ihrem Konto

  1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im linken Navigationsbereich AI Operations und anschließend Konfiguration aus.

  3. Wählen Sie Für dieses Konto konfigurieren aus.

  4. Ändern Sie optional den Aufbewahrungszeitraum für Untersuchungen. Weitere Informationen zum Aufbewahrungszeitraum finden Sie unter Datenaufbewahrung bei CloudWatch-Untersuchungen.

  5. (Optional) Um Untersuchungsdaten mit einem kundenverwalteten AWS KMS-Schlüssel zu verschlüsseln, wählen Sie Verschlüsselungseinstellungen anpassen und folgen Sie den Schritten, um einen Schlüssel zu erstellen oder anzugeben. Wenn kein kundenverwalteter Schlüssel angegeben wird, verwendet CloudWatch-Untersuchungen einen AWS-eigenen Schlüssel für die Verschlüsselung. Weitere Informationen finden Sie unter Verschlüsselung von Untersuchungsdaten.

  6. Wählen Sie aus, wie Sie CloudWatch-Untersuchungen Zugriffsberechtigungen für Ressourcen gewähren möchten. Um eine der ersten beiden Optionen wählen zu können, müssen Sie bei einem IAM-Prinzipal angemeldet sein, der über die Berechtigungen iam:CreateRole, iam:AttachRolePolicy und iam:PutRolePolicy verfügt.

    1. (Empfohlen) Wählen Sie Automatisch eine neue Rolle mit Standardberechtigungen für Untersuchungen erstellen aus. Dieser Rolle werden mithilfe der AWS-verwalteten Richtlinien für AI Operations Berechtigungen erteilt. Weitere Informationen finden Sie unter Benutzerberechtigungen für Ihre CloudWatch-Untersuchungsgruppe .

    2. Erstellen Sie selbst eine neue Rolle und weisen Sie dann die Richtlinienvorlagen zu.

    3. Wählen Sie Eine bestehende Rolle zuweisen aus, wenn Sie bereits über eine Rolle mit den Berechtigungen verfügen, die Sie verwenden möchten.

      Wenn Sie diese Option wählen, müssen Sie sicherstellen, dass die Rolle eine Vertrauensrichtlinie enthält, in der aiops.amazonaws.com als Service-Prinzipal benannt ist. Weitere Informationen zur Verwendung von Service-Prinzipalen in Vertrauensrichtlinien finden Sie unter AWS-Service-Prinzipale.

      Wir empfehlen außerdem, einen Condition-Abschnitt mit der Kontonummer einzufügen, um eine Confused-Deputy-Situation zu verhindern. Das folgende Beispiel für eine Vertrauensrichtlinie zeigt sowohl den Service-Prinzipal als auch den Condition-Abschnitt.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  7. Wählen Sie Untersuchungsgruppe erstellen aus. Sie können nun eine Untersuchung für einen Alarm, eine Metrik oder einen Protokolleintrag starten.

Optional können Sie zusätzliche empfohlene Konfigurationen einrichten, um die Benutzererfahrung zu verbessern.

  1. Wählen Sie im linken Navigationsbereich AI Operations, Konfiguration aus.

  2. Wählen Sie auf der Registerkarte Optionale Konfiguration die Erweiterungen aus, die Sie zu CloudWatch-Untersuchungen hinzufügen möchten.

  3. Unter Kontoübergreifenden Zugriff konfigurieren können Sie das Konto als Überwachungskonto einrichten, das Daten von anderen Quellkonten in Ihrer Organisation sammelt. Weitere Informationen finden Sie unter Kontoübergreifende Untersuchungen.

  4. Wählen Sie für Erweiterte Integrationen, ob Sie CloudWatch-Untersuchungen Zugriff auf zusätzliche Dienste in Ihrem System gewähren möchten, damit es mehr Daten erfassen und nützlicher sein kann.

    1. Geben Sie im Abschnitt Tags für die Erkennung von Anwendungsgrenzen die vorhandenen benutzerdefinierten Tag-Schlüssel für benutzerdefinierte Anwendungen in Ihrem System ein. Mithilfe von Ressourcen-Tags kann CloudWatch-Untersuchungen den Suchbereich einschränken, wenn keine eindeutigen Beziehungen zwischen Ressourcen erkannt werden. Um beispielsweise festzustellen, dass ein Amazon-ECS-Service von einer Amazon-RDS-Datenbank abhängt, kann CloudWatch-Untersuchungen diese Beziehung mithilfe von Datenquellen wie X-Ray und CloudWatch Application Signals ermitteln. Wenn Sie diese Features nicht bereitgestellt haben, versucht CloudWatch-Untersuchungen, mögliche Zusammenhänge zu identifizieren. Verwenden Sie dann Tag-Grenzen, um die Ressourcen einzugrenzen, die in diesen Fällen durch CloudWatch-Untersuchungen gefunden werden.

      Von myApplications oder CloudFormation erstellte Tags müssen nicht eingegeben werden, da CloudWatch-Untersuchungen diese Tags automatisch erkennt.

    2. CloudTrail zeichnet Änderungsereignisse in Ihrem System auf, einschließlich Bereitstellungsereignisse. Diese Ereignisse können häufig für CloudWatch-Untersuchungen nützlich sein, um Hypothesen über die Problemursachen im System aufzustellen. Im Abschnitt CloudTrail zur Erkennung von Änderungsereignissen können Sie CloudWatch-Untersuchungen einen gewissen Zugriff auf die von AWS CloudTrail protokollierten Ereignisse gewähren, indem Sie die Option Dem Assistenten Zugriff auf CloudTrail-Änderungsereignisse über den CloudTrail-Ereignisverlauf erlauben aktivieren. Weitere Informationen finden Sie unter Arbeiten mit dem CloudTrail-Ereignisverlauf.

    3. In den Abschnitten Topologie-Mapping mit X-Ray und Integritätsbeurteilung mit Application Signals wird auf weitere AWS-Services verwiesen, die CloudWatch-Untersuchungen bei der Suche nach Informationen unterstützen können. Wenn Sie diese Features bereitgestellt und CloudWatch-Untersuchungen die IAM-Richtlinie AIOpsAssistantPolicy zugewiesen haben, kann es auf X-Ray- und Application Signals-Telemetrie zugreifen.

      Weitere Informationen darüber, wie diese Services CloudWatch-Untersuchungen unterstützen, finden Sie unter X-Ray und CloudWatch Application Signals.

    4. Wenn Sie Amazon EKS verwenden, kann Ihre CloudWatch-Untersuchungsgruppe Informationen direkt aus dem Amazon-EKS-Cluster verwenden, sobald Sie den Zugriff eingerichtet haben. Weitere Informationen finden Sie unter Integration in Amazon EKS.

    5. Wenn Sie Amazon RDS verwenden, aktivieren Sie den Advanced-Modus von Database Insights auf Ihren Datenbank-Instances. Database Insights überwacht die Datenbanklast und liefert detaillierte Leistungsanalysen, mit deren Hilfe CloudWatch-Untersuchungen datenbankbezogene Probleme identifizieren kann. Wenn Advanced Database Insights aktiviert ist, kann CloudWatch-Untersuchungen automatisch Leistungsanalyseberichte generieren, die detaillierte Beobachtungen, Metrikanomalien, Ursachenanalysen und Empfehlungen speziell für Ihre Datenbank-Workload enthalten. Weitere Informationen zu Database Insights und zur Aktivierung des Advanced-Modus finden Sie unter Überwachen von Amazon-RDS-Datenbanken mit CloudWatch Database Insights.

  5. Sie können CloudWatch-Untersuchungen in einen Chat-Kanal integrieren. Auf diese Weise ist es möglich, Benachrichtigungen zu einer Untersuchung über den Chat-Kanal zu erhalten. CloudWatch-Untersuchungen unterstützt Chat-Kanäle in den folgenden Anwendungen:

    • Slack

    • Microsoft Teams

    Wenn Sie die Integration mit einem Chat-Kanal durchführen möchten, empfehlen wir Ihnen, einige zusätzliche Schritte durchzuführen, bevor Sie diese Erweiterung in Ihrer Untersuchungsgruppe aktivieren. Weitere Informationen finden Sie unter Integration in Chat-Systeme von Drittanbietern.

    Führen Sie dann die folgenden Schritte aus, um die Integration mit einem Chat-Kanal in Chat-Anwendungen vorzunehmen:

    • Wählen Sie im Bereich Chat-Client-Integration die Option SNS-Thema auswählen aus.

    • Wählen Sie das SNS-Thema aus, das Sie für den Versand von Benachrichtigungen zu Ihren Untersuchungen verwenden möchten.