Eine Untersuchungsgruppe einrichten - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine Untersuchungsgruppe einrichten

Um in Ihrem Konto CloudWatch Untersuchungen für eine erweiterte Untersuchung einzurichten, erstellen Sie eine Ermittlungsgruppe. Das Erstellen einer Untersuchungsgruppe ist eine einmalige Aktion. Einmal erstellt, wird sie zur Durchführung weiterer Untersuchungen verwendet. Mit den Einstellungen in der Untersuchungsgruppe können Sie die allgemeinen Untersuchungsmerkmale zentral verwalten, z. B.:

  • wer auf Untersuchungen zugreifen kann

  • kontoübergreifende Untersuchungen, um auf Ressourcen in anderen Konten zuzugreifen

  • ob Untersuchungsdaten mit einem kundenverwalteten AWS Key Management Service-Schlüssel verschlüsselt werden

  • wie lange Untersuchungen und ihre Daten standardmäßig aufbewahrt werden

Sie können eine Untersuchungsgruppe pro Konto haben. Jede Untersuchung in Ihrem Konto wird Teil dieser Untersuchungsgruppe sein.

Um eine Ermittlungsgruppe zu erstellen, müssen Sie bei einem IAM-Prinzipal angemeldet sein, dem entweder die AIOpsConsoleAdminPolicyoder die AdministratorAccessIAM-Richtlinie angehängt ist, oder bei einem Konto mit ähnlichen Berechtigungen.

Anmerkung

Um die empfohlene Option zur Erstellung einer neuen IAM-Rolle für CloudWatch Investigations Operational Investigations auswählen zu können, müssen Sie bei einem IAM-Prinzipal angemeldet seiniam:CreateRole, der über die Berechtigungen, iam:AttachRolePolicy und verfügt. iam:PutRolePolicy

Wichtig

CloudWatch Investigations verwendet regionsübergreifende Inferenz, um den Verkehr auf verschiedene Regionen zu verteilen. AWS Weitere Informationen finden Sie unter Regionsübergreifende Inferenz.

So erstellen Sie eine Untersuchungsgruppe in Ihrem Konto

  1. Öffnen Sie die CloudWatch Konsole unter. https://console.aws.amazon.com/cloudwatch/

  2. Wählen Sie im linken Navigationsbereich AI Operations und anschließend Konfiguration aus.

  3. Wählen Sie Für dieses Konto konfigurieren aus.

  4. Ändern Sie optional den Aufbewahrungszeitraum für Untersuchungen. Weitere Informationen zum Aufbewahrungszeitraum finden Sie unter CloudWatch Ermittlungen, Aufbewahrung von Daten.

  5. (Optional) Um Untersuchungsdaten mit einem kundenverwalteten AWS KMS-Schlüssel zu verschlüsseln, wählen Sie Verschlüsselungseinstellungen anpassen und folgen Sie den Schritten, um einen Schlüssel zu erstellen oder anzugeben. Wenn Sie keinen vom Kunden verwalteten Schlüssel angeben, verwendet CloudWatch Investigations einen AWS eigenen Schlüssel für die Verschlüsselung. Weitere Informationen finden Sie unter Verschlüsselung von Untersuchungsdaten.

  6. Wählen Sie aus, wie Sie CloudWatch Ermittlungen Berechtigungen für den Zugriff auf Ressourcen gewähren möchten. Um eine der ersten beiden Optionen wählen zu können, müssen Sie bei einem IAM-Prinzipal angemeldet sein, der über die Berechtigungen iam:CreateRole, iam:AttachRolePolicy und iam:PutRolePolicy verfügt.

    1. (Empfohlen) Wählen Sie Automatisch eine neue Rolle mit Standardberechtigungen für Untersuchungen erstellen aus. Dieser Rolle werden mithilfe der AWS verwalteten Richtlinien für KI Operations Berechtigungen erteilt. Weitere Informationen finden Sie unter. Benutzerberechtigungen für Ihre CloudWatch Ermittlungsgruppe

    2. Erstellen Sie selbst eine neue Rolle und weisen Sie dann die Richtlinienvorlagen zu.

    3. Wählen Sie Eine bestehende Rolle zuweisen aus, wenn Sie bereits über eine Rolle mit den Berechtigungen verfügen, die Sie verwenden möchten.

      Wenn Sie diese Option wählen, müssen Sie sicherstellen, dass die Rolle eine Vertrauensrichtlinie enthält, in der aiops.amazonaws.com als Service-Prinzipal benannt ist. Weitere Informationen zur Verwendung von Service-Prinzipalen in Vertrauensrichtlinien finden Sie unter AWS-Service-Prinzipale.

      Wir empfehlen außerdem, einen Condition-Abschnitt mit der Kontonummer einzufügen, um eine Confused-Deputy-Situation zu verhindern. Das folgende Beispiel für eine Vertrauensrichtlinie zeigt sowohl den Service-Prinzipal als auch den Condition-Abschnitt.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  7. Wählen Sie Untersuchungsgruppe erstellen aus. Sie können nun eine Untersuchung für einen Alarm, eine Metrik oder einen Protokolleintrag starten.

Optional können Sie zusätzliche empfohlene Konfigurationen einrichten, um die Benutzererfahrung zu verbessern.

  1. Wählen Sie im linken Navigationsbereich AI Operations, Konfiguration aus.

  2. Wählen Sie auf der Registerkarte Optionale Konfiguration die Verbesserungen aus, die Sie zu den Untersuchungen hinzufügen möchten. CloudWatch

  3. Unter Kontoübergreifenden Zugriff konfigurieren können Sie das Konto als Überwachungskonto einrichten, das Daten von anderen Quellkonten in Ihrer Organisation sammelt. Weitere Informationen finden Sie unter Kontoübergreifende Untersuchungen.

  4. Wählen Sie bei erweiterten Integrationen aus, ob Sie CloudWatch Untersuchungen Zugriff auf zusätzliche Dienste in Ihrem System gewähren möchten, damit das System mehr Daten sammeln und nützlicher sein kann.

    1. Geben Sie im Abschnitt Tags für die Erkennung von Anwendungsgrenzen die vorhandenen benutzerdefinierten Tag-Schlüssel für benutzerdefinierte Anwendungen in Ihrem System ein. Mithilfe von Ressourcen-Tags können CloudWatch Untersuchungen den Suchbereich einschränken, wenn keine eindeutigen Beziehungen zwischen Ressourcen ermittelt werden können. Um beispielsweise herauszufinden, dass ein Amazon ECS-Service von einer Amazon RDS-Datenbank abhängt, können CloudWatch Untersuchungen diese Beziehung anhand von Datenquellen wie X-Ray und CloudWatch Application Signals aufdecken. Wenn Sie diese Funktionen jedoch nicht bereitgestellt haben, wird bei den CloudWatch Untersuchungen versucht, mögliche Zusammenhänge zu ermitteln. Stichwortgrenzen können verwendet werden, um die Ressourcen einzugrenzen, die bei CloudWatch Untersuchungen in diesen Fällen entdeckt werden.

      Sie müssen keine von MyApplications oder erstellten Tags eingebenCloudFormation, da CloudWatch Untersuchungen diese Tags automatisch erkennen können.

    2. CloudTrail zeichnet Ereignisse über Änderungen in Ihrem System auf, einschließlich Bereitstellungsereignisse. Diese Ereignisse können häufig für CloudWatch Untersuchungen nützlich sein, um Hypothesen über die Hauptursachen von Problemen in Ihrem System aufzustellen. Im Bereich CloudTrailzur Erkennung von Änderungsereignissen können Sie CloudWatch Untersuchungen einen gewissen Zugriff auf die von ihnen protokollierten Ereignisse gewähren, AWS CloudTrail indem Sie die Option Dem Assistenten Zugriff auf CloudTrail Änderungsereignisse über den CloudTrail Ereignisverlauf gewähren aktivieren. Weitere Informationen finden Sie unter Arbeiten mit dem CloudTrail Ereignisverlauf.

    3. In den Abschnitten X-Ray for Topology Mapping und Application Signals for Health Assessment wird auf weitere AWS Dienste hingewiesen, die CloudWatch Untersuchungen bei der Suche nach Informationen unterstützen können. Wenn Sie sie installiert haben und die AIOpsAssistantPolicyIAM-Richtlinie für CloudWatch Untersuchungen genehmigt haben, kann sie auf X-Ray- und Application Signals-Telemetrie zugreifen.

      Weitere Informationen darüber, wie diese Dienste CloudWatch Untersuchungen unterstützen, finden Sie unter X-Ray und. CloudWatch Signale der Anwendung

    4. Wenn Sie Amazon EKS verwenden, kann Ihre CloudWatch Ermittlungsgruppe Informationen direkt aus Ihrem Amazon EKS-Cluster verwenden, sobald Sie die Zugriffseinträge eingerichtet haben. Weitere Informationen finden Sie unter Integration in Amazon EKS.

    5. Wenn Sie Amazon RDS verwenden, aktivieren Sie den Advanced-Modus von Database Insights auf Ihren Datenbank-Instances. Database Insights überwacht die Datenbanklast und bietet detaillierte Leistungsanalysen, mit deren Hilfe CloudWatch Untersuchungen datenbankbezogene Probleme bei Untersuchungen identifizieren können. Wenn Advanced Database Insights aktiviert ist, können CloudWatch Untersuchungen automatisch Leistungsanalyseberichte generieren, die detaillierte Beobachtungen, metrische Anomalien, Ursachenanalysen und spezifische Empfehlungen für Ihre Datenbank-Arbeitslast enthalten. Weitere Informationen zu Database Insights und zur Aktivierung des erweiterten Modus finden Sie unter Überwachen von Amazon RDS-Datenbanken mit CloudWatch Database Insights.

  5. Sie können CloudWatch Untersuchungen in einen Chat-Kanal integrieren. Auf diese Weise ist es möglich, Benachrichtigungen über eine Untersuchung über den Chat-Kanal zu erhalten. CloudWatch Untersuchungen unterstützen Chat-Kanäle in den folgenden Anwendungen:

    • Slack

    • Microsoft Teams

    Wenn Sie die Integration mit einem Chat-Kanal durchführen möchten, empfehlen wir Ihnen, einige zusätzliche Schritte durchzuführen, bevor Sie diese Erweiterung in Ihrer Untersuchungsgruppe aktivieren. Weitere Informationen finden Sie unter Integration in Chat-Systeme von Drittanbietern.

    Führen Sie dann die folgenden Schritte aus, um die Integration mit einem Chat-Kanal in Chat-Anwendungen vorzunehmen:

    • Wählen Sie im Bereich Chat-Client-Integration die Option SNS-Thema auswählen aus.

    • Wählen Sie das SNS-Thema aus, das Sie für den Versand von Benachrichtigungen zu Ihren Untersuchungen verwenden möchten.