Centralización de registros entre cuentas y regiones - Amazon CloudWatch Logs
Conceptos de centralización de datosConfiguración de la centralización de registrosSupervisión y solución de problemas de las reglas de centralización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Centralización de registros entre cuentas y regiones

La centralización de datos de Amazon CloudWatch Logs AWS Organizations permite recopilar datos de registro de varias cuentas de miembros en un repositorio de datos mediante reglas de centralización entre cuentas y regiones. Usted define las reglas que replican automáticamente los datos de registro de varias cuentas y Regiones de AWS en una cuenta centralizada dentro de su organización. Esta capacidad optimiza la consolidación de registros para mejorar la supervisión, el análisis y el cumplimiento centralizados en toda la infraestructura. AWS

CloudWatch La centralización de los datos de los registros ofrece flexibilidad de configuración para cumplir con los requisitos operativos y de seguridad, como la posibilidad de configurar una región de respaldo durante la configuración de las reglas en la cuenta de destino para garantizar una mayor resiliencia. Además, tiene pleno control sobre el comportamiento de cifrado de los grupos de registros copiados de las cuentas de origen para gestionar los datos originalmente cifrados con claves KMS administradas por el cliente.

nota

La función de centralización de CloudWatch registros solo procesa los nuevos datos de registro que llegan a las cuentas de origen después de crear la regla de centralización. Los datos de registro históricos (registros que existían antes de la creación de la regla) no están centralizados.

Conceptos de centralización de datos

Antes de empezar a utilizar la centralización de datos de CloudWatch Logs, familiarícese con los siguientes conceptos:

Regla de centralización

Una configuración que define cómo se replican los datos de registro de las cuentas y regiones de origen en una cuenta y región de destino. Las reglas especifican los criterios de origen y la configuración de destino.

Cuenta de origen

La AWS cuenta en la que se originan los datos de registro. Los eventos de registro de las cuentas de origen se replican en la cuenta de destino en función de las reglas de centralización que se definan.

Cuenta de destino

La AWS cuenta de destino donde se almacenan los datos de registro replicados. Esta cuenta sirve como ubicación centralizada para el análisis y la supervisión de los registros.

Región de respaldo

Una región secundaria opcional dentro de la cuenta de destino donde se pueden replicar los datos de registro para aumentar la resiliencia y la recuperación ante desastres.

Cifrado en los registros CloudWatch

Los datos de los grupos de registros siempre se cifran en CloudWatch los registros. De forma predeterminada, CloudWatch Logs utiliza el cifrado del lado del servidor con el Galois/Counter modo estándar de cifrado avanzado (AES-GCM) de 256 bits para cifrar los datos de registro en reposo. Como alternativa, puede usar el Servicio de administración de claves para este cifrado. AWS Para obtener más información, consulte la documentación sobre el cifrado de CloudWatch registros.

  • Cómo funciona el cifrado durante la centralización: la centralización de CloudWatch registros copia activamente los datos de registro en el momento de la ingesta desde las cuentas de origen a las cuentas de destino. Durante este proceso, los datos permanecen cifrados en tránsito mediante una clave de servicio propia AWS . Los datos almacenados en los grupos de registros de origen y destino se cifran mediante el método de cifrado que elija (claves KMS AWS gestionadas por el cliente o propias). Si utiliza una clave KMS administrada por el cliente en sus grupos de registros de destino, añada la etiqueta LogsManaged = true a la clave kms para que el servicio de centralización pueda acceder a ella.

  • Cuando se requieren permisos de KMS:

    • Si utilizas claves de KMS administradas por el cliente en tus cuentas de origen, CloudWatch Logs requiere permisos de KMS en los siguientes escenarios de ejemplo:

      • Administración del rendimiento: cuando se alcanzan los límites de rendimiento de la centralización, los datos de registro se almacenan temporalmente cifrados con la clave KMS administrada por el cliente hasta que haya ancho de banda disponible.

      • Protección y redacción de datos: cuando los grupos de registros de origen tienen habilitadas las políticas de protección de datos, CloudWatch Logs necesita permisos de descifrado para acceder a los datos de registro sin procesar y centralizarlos.

importante

Las reglas de centralización las administra la cuenta de administración de AWS Organizations o el administrador delegado. Para excluir de la centralización los grupos de registros cifrados por KMS gestionados por el cliente, configure las reglas como «No centralizar los grupos de registros cifrados con la clave KMS». AWS

Configuración de la centralización de registros

Para configurar la centralización de CloudWatch registros, debe configurar reglas de centralización que definan cómo fluyen los datos de registro desde los grupos de registros de las cuentas de origen a los grupos de registros de su cuenta de destino.

Una vez que la regla de centralización esté habilitada y los eventos de registro se estén replicando en la cuenta de destino, se pueden crear filtros de métricas, suscripciones y cuentas en los grupos de registros centralizados con capacidades de filtrado mejoradas. Estos filtros pueden centrarse en eventos de registro de cuentas y regiones de origen específicas, y pueden emitir información de cuentas y regiones de origen como dimensiones métricas. Para obtener más información, consulte Creación de métricas a partir de eventos de registro mediante filtros.

Requisitos previos

  • AWS Organizations debe estar configurada y las cuentas de origen y destino deben pertenecer a la organización.

  • El acceso confiable debe estar habilitado para la cuenta de administración y la cuenta de destino CloudWatch, por lo que debe proporcionarse acceso a los datos de registro.

    nota

    Se recomienda habilitar el acceso confiable a través de la consola, que crea automáticamente el rol vinculado al servicio (SLR) requerido. Si se habilita el acceso de confianza mediante otros métodos, será necesario crear el rol vinculado al servicio por separado.

Personalizar los nombres de los grupos de registros de destino

Al crear una regla de centralización, puede personalizar la forma en que se estructuran los nombres de los grupos de registros de destino mediante atributos. Estos atributos se sustituyen automáticamente por valores reales cuando se crean los grupos de registros, lo que le permite organizar los registros jerárquicamente en su cuenta de destino. De forma predeterminada, solo se usa el ${source.logGroup} atributo, que fusiona todos los grupos de registros con el mismo nombre en la cuenta de destino. Si una variable no se puede resolver, hereda el valor de su variable principal en la jerarquía.

Atributos disponibles

Puede usar los siguientes atributos en el patrón de nombre del grupo de registros de destino:

Atributos del nombre del grupo de registros de destino
Atributo Description (Descripción)
${source.accountId} El ID AWS de cuenta en el que se originó el registro.
${source.region} El Región de AWS lugar donde se originó el registro.
${source.logGroup} El nombre original del grupo de registros de la cuenta de origen.
${source.org.id} Su AWS Organizations ID de la cuenta de origen.
${source.org.ouId} El ID de la unidad organizativa de la cuenta de origen
${source.org.rootId} El ID raíz de la organización
${source.org.path} La ruta organizativa completa desde la cuenta hasta la raíz

Ejemplos

Conserve la estructura original de los grupos de registros

Patrón: /centralized/${source.accountId}${source.logGroup}

Resultado: /centralized/123456789012/aws/lambda/my-function

Organice por cuenta y región

Patrón: /centralized/${source.accountId}/${source.region}

Resultado: /centralized/123456789012/us-east-1

Organice por estructura organizativa

Patrón: /logs/${source.org.id}/${source.org.ouId}/${source.accountId}

Resultado: /logs/o-abc123/ou-xyz-12345678/123456789012

Estructura plana simple

Patrón: /centralized-logs

Resultado: /centralized-logs

Prácticas recomendadas

  • Incluye el ID de la cuenta de origen para identificar fácilmente de qué provienen los registros de la cuenta.

  • Incluya la región de origen si va a centralizar desde varias regiones.

  • Estructure los nombres de los grupos de registros de destino para que tengan menos de 512 caracteres. CloudWatch Los registros imponen una longitud máxima de 512 caracteres para los nombres de los grupos de registros.

Creación de una regla de centralización

Utilice el siguiente procedimiento para crear una regla de centralización que replique los datos de registro de las cuentas de origen a la cuenta de destino.

Creación de una regla de centralización

  1. Navegue hasta la CloudWatch consola de la cuenta de administración o administrador delegado de la organización.

  2. Seleccione Configuración.

  3. Navegue a la pestaña Organización.

  4. Elija Configurar regla.

  5. Especifique los detalles de la fuente mediante la configuración de los siguientes campos y, a continuación, seleccione Siguiente:

    1. Nombre de regla de centralización: introduzca un nombre exclusivo para la regla de centralización.

    2. Cuentas de origen: defina los criterios de selección de fuentes para seleccionar las cuentas a partir de las cuales se centralizarán los datos de telemetría. Los criterios de selección pueden incluir:

      • Una de la lista de las cuentas de miembros de la organización.

      • Una lista de las unidades organizativas de la organización.

      • Toda la organización.

      Se pueden proporcionar los criterios de selección de dos modos:

      • Builder: una experiencia basada en clics para generar los criterios de selección de la fuente

      • Editor: un cuadro de texto de formato libre para proporcionar los criterios de selección de la fuente

      Sintaxis compatible para los criterios de selección de fuentes:

      • Claves compatibles: OrganizationId | | OrganizationUnitId AccountId | *

      • Operadores compatibles: = | IN | OR

    3. Regiones de origen: seleccione una lista de regiones para buscar los datos de telemetría que desee centralizar.

  6. Especifique los detalles de destino mediante la configuración de los siguientes campos y, a continuación, seleccione Siguiente:

    1. Cuenta de destino: seleccione una cuenta de la organización que sirva de destino central para los datos de telemetría.

    2. Región de destino: seleccione una región principal que almacene una copia de los datos de telemetría centralizados.

    3. Región de respaldo: de manera opcional, seleccione una región que almacene una copia de los datos de telemetría centralizados.

  7. Especifique los detalles de telemetría mediante la configuración de los siguientes campos y, a continuación, seleccione Siguiente:

    1. Grupos de registro: elija una de las siguientes opciones:

      • Todos los grupos de registros: centralice los registros de todos los grupos de registros de las cuentas de origen.

      • Filtrar grupo de registros: centralice los registros de un subconjunto de grupos de registros en las cuentas de origen, según los criterios de selección de un grupo de registros. Se pueden proporcionar los criterios de selección de dos modos:

        • Builder: una experiencia basada en clics para generar los criterios de selección del grupo de registros.

        • Editor: un cuadro de texto de formato libre para proporcionar los criterios de selección del grupo de registros.

        Sintaxis compatible para los criterios de selección de grupos de registros:

        • Teclas compatibles: LogGroupName | *

        • Operadores compatibles: = | != | IN | NOT IN | AND | OR | LIKE | NOT LIKE

    2. Grupo de registros cifrados de KMS

      importante

      CloudWatch Las reglas de centralización no podrán entregar los registros de la cuenta de origen a los grupos de registros de destino si la clave de KMS proporcionada en la regla de centralización no permite que CloudWatch Logs la utilice. Si utiliza la clave KMS administrada por el cliente en sus grupos de registros de destino, añada la etiqueta LogsManaged = true a la clave kms. Para obtener más información, consulte Paso 2: establecer permisos en la clave de KMS.

      Elija una de las siguientes opciones:

      • Centralice los grupos de registros de origen cifrados con claves de KMS administradas por el cliente mediante una clave de KMS administrada por el cliente específica del destino: centralice los eventos de registro de los grupos de registros de origen cifrados con claves de KMS administradas por el cliente en grupos de registro de destino cifrados con una clave de KMS administrada por el cliente en la cuenta de destino.

        Cuando se selecciona esta opción, también se debe establecer lo siguiente:

        • Clave de cifrado de destino ARN: ARN de la clave KMS administrada por el cliente en la cuenta de destino y la región de destino principal, que se asociará a los grupos de registros de destino recién creados.

        • ARN de la clave de cifrado de destino de la copia de seguridad (si se selecciona la región de copia de seguridad): ARN de la clave KMS administrada por el cliente en la cuenta de destino y la región de destino de la copia de seguridad, que se asociará a los grupos de registros de destino recién creados.

        • Omita la centralización en grupos de registros de destino no cifrados (opcional): si ya existe un grupo de registros sin una clave KMS administrada por el cliente, CloudWatch no podrá actualizar su cifrado. Elija esta opción para omitir la centralización de los eventos de registro de los grupos de registros de origen cifrados con claves de KMS administradas por el cliente a grupos de registro de destino que no estén asociados a una clave de KMS administrada por el cliente.

      • Centralice los grupos de registros cifrados con claves KMS administradas por el cliente en la cuenta de destino con AWS una clave KMS propia: centralice los eventos de registro de los grupos de registros de origen cifrados con claves KMS administradas por el cliente en grupos de registros de destino recién creados y cifrados con una clave KMS propia AWS .

      • No centralice los grupos de registros cifrados con claves KMS administradas por el cliente: evite la centralización de los eventos de registro de los grupos de registro de origen cifrados con claves KMS administradas por el cliente.

  8. Revise la regla de centralización, y de manera opcional, realice modificaciones de última hora y elija Crear política de centralización.

Modificación de una regla de centralización

Utilice el siguiente procedimiento para modificar una regla de centralización existente.

Modificación de una regla de centralización

  1. Navegue hasta la CloudWatch consola de la cuenta de administración o de administrador delegado de la organización.

  2. Seleccione Configuración.

  3. Navegue a la pestaña Organización.

  4. Elija Administrar reglas.

  5. Seleccione la regla que se desea actualizar, y elija Editar.

  6. Actualice la configuración de la regla según sea necesario y seleccione Siguiente para continuar con cada paso.

  7. En el paso 4, Revisar y configurar, elija Actualizar la política de centralización.

Visualización de una regla de centralización

Utilice el siguiente procedimiento para ver una regla de centralización existente.

Visualización de una regla de centralización

  1. Navegue hasta la CloudWatch consola de la cuenta de administración o administrador delegado de la organización.

  2. Seleccione Configuración.

  3. Navegue a la pestaña Organización.

  4. Elija Administrar reglas.

  5. Vea una lista de todas las reglas de centralización existentes y elija un nombre de regla específico para ver sus detalles.

Eliminación de una regla de centralización

Utilice el siguiente procedimiento para eliminar una regla de centralización existente.

Eliminación de una regla de centralización

  1. Navegue hasta la CloudWatch consola de la cuenta de administración o administrador delegado de la organización.

  2. Seleccione Configuración.

  3. Navegue a la pestaña Organización.

  4. Elija Administrar reglas.

  5. Seleccione la regla que quiera eliminar y elija Eliminar.

  6. Confirme la eliminación y elija Eliminar.

Supervisión y solución de problemas de las reglas de centralización

Puede supervisar el estado y el rendimiento de las reglas de centralización mediante CloudWatch métricas, la consola de CloudWatch registros y AWS CloudTrail los registros. Esto ayuda a garantizar que los datos de registro se replican correctamente y a identificar cualquier problema con la configuración de centralización.

CloudWatch Logs proporciona:

  1. Estado de la regla según la regla de centralización

    1. Seleccione Configuración.

    2. Navegue a la pestaña Organización.

    3. Elija Administrar reglas.

  2. Registra las llamadas a la API con AWS CloudTrail

  3. CloudWatch también publica métricas para la centralización, como los eventos de registro replicados, los errores y la limitación. Para obtener más información sobre estas métricas y sus dimensiones, consulte. Métricas y dimensiones de centralización

Estado de salud de la regla de centralización

Cada regla de centralización tiene un estado de salud que indica si funciona correctamente. Puede verificar el estado de las reglas desde la consola o mediante programación mediante la API.

Los estados de salud reglamentarios incluyen:

  • HEALTHY: la regla funciona con normalidad y replica los datos de registro según lo configurado

  • UNHEALTHY: la regla ha detectado problemas y es posible que no esté replicando los datos correctamente

  • PROVISIONING: la centralización de la organización está en proceso de creación.

Cuando una regla se marca como UNHEALTHY, el campo FailureReason proporciona detalles sobre el problema específico que debe abordarse.

Supervise las llamadas a la API de centralización con AWS CloudTrail

AWS CloudTrail registra las llamadas a la API realizadas al servicio de centralización, lo que le permite realizar un seguimiento de los cambios de configuración y solucionar los problemas de las cuentas que son miembros de su empresa. AWS Organizations

CloudTrail Los eventos clave de la centralización incluyen:

  • CreateCentralizationRuleForOrganization: cuando se crea una nueva regla de centralización

  • UpdateCentralizationRuleForOrganization: cuando se modifica una regla existente

  • DeleteCentralizationRuleForOrganization: cuando se elimina una regla

  • GetCentralizationRuleForOrganization: cuando se recuperan los detalles de la regla

  • ListCentralizationRulesForOrganization: cuando las reglas aparecen en la lista

Puede utilizar CloudTrail los registros para auditar los cambios en la configuración de la centralización y correlacionarlos con problemas de rendimiento o errores de replicación.

Recomendaciones de supervisión

Para garantizar que la centralización funcione correctamente, recomendamos configurar CloudWatch alarmas en las métricas de centralización clave que vendemos a Metrics. CloudWatch Esta supervisión proactiva le ayuda a detectar los problemas de forma temprana y a mantener una centralización de registros fiable en toda la organización.

Las métricas clave que se deben monitorear incluyen:

  • IncomingCopiedBytes: Supervise el volumen de datos de registro que se replican correctamente en su cuenta de destino. Una caída repentina o la ausencia de esta métrica pueden indicar problemas de centralización.

  • CentralizationError: Configure alarmas para detectar cualquier error en el proceso de centralización a fin de identificar y resolver los problemas rápidamente.

  • CentralizationThrottled: Supervise los eventos de limitación que puedan afectar al rendimiento de la replicación de registros.

Para obtener una lista completa de las métricas de centralización disponibles y sus dimensiones, consulte. Métricas y dimensiones de centralización

Si los registros no se están centralizando como se esperaba, revise los siguientes escenarios comunes que pueden impedir la centralización de los registros.

Datos de registro históricos

La función de centralización de CloudWatch registros solo procesa los nuevos datos de registro que llegan a las cuentas de origen después de crear la regla de centralización. Los datos de registro históricos (registros que existían antes de la creación de la regla) no están centralizados.

Permisos de claves de KMS

Las reglas de centralización no podrán entregar los registros de la cuenta de origen a los grupos de registros de destino si la clave KMS proporcionada en la regla de centralización no permite que CloudWatch Logs la utilice. Asegúrese de que la política de claves de KMS conceda los permisos necesarios a CloudWatch los registros. Para obtener más información, consulte Paso 2: establecer permisos en la clave de KMS.

Configuración de claves de KMS gestionada por el cliente

Si seleccionó No centralizar los grupos de registros cifrados con la clave KMS administrada por el cliente durante la creación de la regla, los eventos de registro de los grupos de registros de origen cifrados con la clave KMS administrada por el cliente se omitirán y no se centralizarán.

El cifrado de destino no coincide

Si el grupo de registros de destino ya existe con una configuración de cifrado de KMS diferente a la que especifica la regla de centralización y la resolución de conflictos se establece en SKIP, los registros se eliminarán y se emitirá un DestinationEncryptionMismatch error. Por ejemplo, esto ocurre cuando el destino tiene el cifrado predeterminado, pero la regla especifica una clave KMS administrada por el cliente.

El acceso de confianza no está habilitado

El acceso de confianza debe estar habilitado AWS Organizations para CloudWatch que la cuenta de administración y la cuenta de destino puedan acceder a los datos de registro.

Criterios de selección de fuentes

Compruebe que los criterios de selección de fuentes de la regla de centralización estén configurados correctamente:

  • Cuentas y regiones: asegúrese de que las cuentas y regiones de origen donde se originan los registros estén incluidas en la regla. Los grupos de registros de cuentas o regiones no especificadas en la regla no se centralizarán.

  • Filtros de grupos de registros: si configuró filtros de grupos de registros, solo se centralizarán los grupos de registros que coincidan con los criterios especificados. Compruebe que los criterios de selección de grupos de registros incluyen los grupos de registros que espera centralizar.

  • Pertenencia a la organización: tanto las cuentas de origen como las de destino deben pertenecer a la misma AWS Organizations organización. Las cuentas ajenas a la organización no pueden participar en la centralización.

Se alcanzó el límite de cuota de grupos de registros

Si la cuenta de destino ha alcanzado su límite de cuota de grupos de registros, no se pueden crear nuevos grupos de registros para centralizarlos. Compruebe que la cuenta de destino tenga una cuota suficiente para alojar grupos de registros centralizados de todas las cuentas de origen. Si es necesario, puede solicitar un aumento

Se ha superado el límite de longitud del nombre del flujo de registro

Los nombres de los flujos de registro tienen restricciones de longitud máxima. Cuando la centralización replica los flujos de registro en la cuenta de destino, se agrega un sufijo al nombre del flujo de registro. Si el nombre del flujo de registro resultante supera la longitud máxima permitida, los registros se eliminarán y se emitirá un InvalidLogStream error en la cuenta del cliente.

Regla el estado de salud

Compruebe el estado de la regla de centralización en la consola o mediante la GetCentralizationRuleForOrganization API. Si la regla está marcada como insalubre, revisa el FailureReason campo para obtener detalles específicos sobre el problema.

Para diagnosticar problemas de centralización, revise el estado de la regla de centralización en la consola, compruebe si hay errores o limitaciones en CloudWatch las métricas y examine los AWS CloudTrail registros para detectar errores en las llamadas a la API. Para obtener más información sobre las métricas de centralización, consulte. Métricas y dimensiones de centralización