Uso de las reglas de activación de la telemetría - Amazon CloudWatch
Integración de las reglas de activación con AWS ConfigDescripción del comportamiento de las reglas de activaciónCreación de reglas de activación de la telemetríaAdministración de reglas de telemetríaSolución de problemas de configuración de telemetría

Uso de las reglas de activación de la telemetría

Puede crear reglas de activación de telemetría para configurar automáticamente la recopilación de telemetría para sus recursos de AWS. Las reglas le ayudan a estandarizar la recopilación de telemetría en toda su organización o sus cuentas y a garantizar una cobertura de supervisión coherente.

Integración de las reglas de activación con AWS Config

La auditoría y la configuración de telemetría de CloudWatch se integran con AWS Config para detectar automáticamente los recursos que cumplen con su regla de activación y aplicarlos a la recopilación de datos de telemetría. Al crear una regla de activación, la configuración de telemetría crea el registrador de AWS Config correspondiente. Este registrador incluye elementos de configuración para los tipos de recursos específicos que defina en la regla de activación.

Amazon CloudWatch utiliza registrador vinculado a servicios internos de AWS Config. No se le cobrarán los CI que CloudWatch utilice como parte de los registradores vinculados a servicios internos.

nota

Al crear una regla de activación, detectamos los recursos no conformes (aquellos que no tienen la telemetría activada) a través de los elementos de configuración (CI) de AWS Config antes de activarlos en función del ámbito de la regla de activación. En algunos casos, la detección inicial de los recursos puede tardar hasta 24 horas en completarse.

La configuración de telemetría utiliza AWS Config para lo siguiente:

  • Detección de recursos en su organización o sus cuentas

  • Seguimiento de los cambios de configuración de telemetría

Descripción del comportamiento de las reglas de activación

La configuración de telemetría sigue patrones específicos al evaluar y aplicar las reglas:

Las reglas de activación se evalúan según un patrón jerárquico. Primero se evalúan las reglas organizativas, seguidas de las reglas que se aplican a las unidades organizativas (OU) y, por último, las reglas que se aplican a las cuentas individuales. Las reglas por organización proporcionan la telemetría básica requerida para la organización. Las reglas por unidad organizativa y cuenta pueden recopilar datos de telemetría adicionales, pero no pueden recopilar menos datos de telemetría. Si se crea una regla de este tipo, se generará un conflicto de reglas.

Dentro de cada ámbito (organización, unidad organizativa o cuenta), las reglas deben mantener la exclusividad en función del tipo de recurso, el tipo de telemetría y la configuración de destino. Las reglas duplicadas generan una excepción de conflicto. Si la misma regla existe en ámbitos diferentes, como una regla de nivel de organización para los registros de flujos de VPC en CloudWatch y una regla por unidad organizativa para los registros de flujos de VPC, se aplica la regla más alta de la jerarquía. Sin embargo, si hay varias reglas en conflicto, no se aplica ninguna de ellas.

Para los registros de flujos de VPC, la configuración de telemetría solo crea nuevos registros de flujo para los recursos que coinciden con el ámbito de la regla. No elimina ni afecta a los registros de flujos de VPC previamente establecidos, incluso si difieren de los parámetros de la regla actual. En el caso de los Registros de CloudWatch, los grupos de registros existentes se mantienen siempre que coincidan con el patrón de recursos.

Si actualiza una regla de activación, solo los recursos nuevos que coincidan con la regla adoptarán la configuración actualizada; los ajustes de telemetría existentes permanecerán inalterados para los recursos existentes. Si un recurso deja de cumplir una regla existente debido a la eliminación manual de los datos de telemetría, la nueva regla de activación se adopta una vez que el recurso vuelve a ser conforme.

Creación de reglas de activación de la telemetría

Al crear la regla de activación de la telemetría, especifica lo siguiente:

  • El ámbito de la regla (organización, unidad organizativa o cuenta)

  • Los tipos de recurso a los que se aplica la regla

  • Los tipos de telemetría que se activarán (métricas, registros o seguimientos)

  • Etiquetas opcionales para filtrar los recursos a los que afecta la regla

Creación de una regla de activación de la telemetría

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Configuración de la telemetría.

  3. Elija la pestaña Reglas de activación.

  4. Seleccione Agregar regla.

  5. En Nombre de la regla, ingrese un nombre para la regla.

  6. En Ámbito de la regla, elija una de las siguientes opciones:

    • Organización: la regla se aplica a toda su AWS Organizations

    • Unidad organizativa: la regla se aplica a una unidad organizativa específica

    • Cuenta: la regla se aplica a una sola cuenta

  7. En Origen de datos, seleccione el servicio de AWS que desee configurar.

  8. En Tipo de telemetría, seleccione los tipos de telemetría que desee activar.

  9. Opcional: agregue etiquetas para filtrar los recursos a los que afecta la regla.

  10. Seleccione Creación de regla.

Administración de reglas de telemetría

Tras crear las reglas, puede editarlas o eliminarlas. También puede ver a qué recursos afecta cada regla y supervisar el cumplimiento de las reglas.

Administración de una regla existente

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Configuración de la telemetría.

  3. Elija la pestaña Reglas de activación.

  4. Seleccione una regla para ver sus detalles o elija una de estas acciones:

    • Editar: modifique la configuración de la regla

    • Eliminar: elimine la regla

Solución de problemas de configuración de telemetría

En esta sección se describen los problemas comunes que podría encontrar cuando usa la configuración de telemetría y cómo resolverlos.

Resolución y conflictos de reglas

Cuando se aplican varias reglas al mismo recurso, la configuración de telemetría resuelve los conflictos según estas prioridades:

  1. Las reglas por organización tienen prioridad sobre las reglas por cuenta

  2. Las coincidencias de etiquetas más específicas tienen prioridad sobre las reglas generales

  3. Si hay varias reglas en conflicto, no se aplica ninguna de ellas; debe resolver antes los conflictos.

Problemas comunes

Los recursos no aparecen en la detección

Verifique lo siguiente:

  • Se admite el tipo de recurso

  • El Registrador de configuración de AWS está activado

  • Cuenta con los permisos de IAM adecuados

Las reglas no se aplican automáticamente

Compruebe lo siguiente:

  • Configuración del ámbito de la regla

  • Filtros de etiqueta

nota

Al crear una regla de activación, detectamos los recursos no conformes (aquellos que no tienen la telemetría activada) a través de los elementos de configuración (CI) de AWS Config antes de activarlos en función del ámbito de la regla de activación. En algunos casos, la detección inicial de los recursos puede tardar hasta 24 horas en completarse.

Consideraciones específicas del servicio

registros de flujo de Amazon VPC

Al crear registros de flujo:

  • Se utiliza el patrón predeterminado /aws/vpc/vpc-id si no se especifica ninguno

  • Se conservan los registros de flujo existentes creados por el cliente

  • Las actualizaciones de las reglas solo afectan a los nuevos registros de flujo

  • Puede usar las macros <vpc-id> y <account-id> para dividir grupos de registro.

  • CloudWatch no crea registros de flujos para las VPC que ya ingieren registros a Registros de CloudWatch.

Registro de plano de control de Amazon EKS

Al activar el registro de plano de control:

  • Utiliza el patrón de grupo de registro de CloudWatch predeterminado /aws/eks/<cluster-name>/cluster. Amazon EKS crea automáticamente un grupo de registro por clúster.

  • Las actualizaciones de reglas solo afectan a los clústeres nuevos o solo a los clústeres que no tengan activados los tipos de registro acotados.

  • Puede activar los tipos de registro específico: api, audit, authenticator, controllerManager, scheduler

Registros de ACL web de AWS WAF

Al crear registros de WAF:

  • Utiliza el patrón de grupo de registro de CloudWatch predeterminado y siempre utiliza el prefijo aws-waf-logs-

  • Las actualizaciones de reglas solo afectan a las ACL web nuevas o a las ACL web existentes que no tengan activado el registro en Registros de CloudWatch.

  • CloudWatch no permite los registros para las ACL web que ya ingieren registros a Registros de CloudWatch.

Registros de Amazon Route 53 Resolver

Al activar el registro de consultas de Resolver:

  • Utiliza el patrón de grupo de registro de CloudWatch predeterminado /aws/route53resolver si no se especifica ninguno.

  • CloudWatch no crea registros de consultas de Resolver para las VPC que ya ingieren registros a Registros de CloudWatch.

  • Las reglas de activación configuran el registro de consultas de Route 53 para las VPC en función del ámbito de la regla. CloudWatch no detecta perfiles de Route 53 ni las configuraciones relacionadas.

Registros de acceso de NLB

Al activar los registros de acceso:

  • Utiliza el patrón de grupo de registro de CloudWatch predeterminado con el prefijo /aws/nlb/access-logs si no se especifica ninguno.

  • CloudWatch no permite las entregas de registros para NLB que ya ingieren registros a Registros de CloudWatch.

Telemetría de Amazon Bedrock AgentCore

  • Active tanto los registros como los rastros que se emiten desde todas las primitivas de Bedrock AgentCore disponibles, como Tiempo de ejecución, Herramientas del navegador, Herramientas del intérprete de código, etc. Siga la experiencia de la consola de configuración de telemetría para crear una regla de entrega de registros y, a continuación, cree una regla de entrega de rastros.

  • Al crear una regla de entrega de rastros, se activará la búsqueda de transacciones y se creará una política de permisos adicional para permitir que CloudWatch X-Ray envíe el rastro correlacionado al grupo de registro administrado de su cuenta. Además, se creará una política de recursos de X-Ray para permitir que las primitivas de Bedrock AgentCore actuales y nuevas envíen rastros a su cuenta.

Registros de CloudTrail que usan un canal vinculado a servicios

Al activar los registros de CloudTrail mediante la ruta de SLC:

  • Utiliza grupos de registro de CloudWatch administrados aws/cloudtrail/<event-types>

  • Se conservan las configuraciones de reenvío de CloudTrail Trail existentes creadas por el cliente.

  • Las reglas de activación de CloudWatch solo utilizan un canal vinculado a servicios para ingerir registros.

  • Los eventos utilizan el periodo de retención configurado para el grupo de registro

  • En el caso de los eventos de CloudTrail, como parte del asistente de activación, puede elegir al menos un tipo de evento para ingerirlo a CloudWatch.

  • Si los eventos se entregan con retraso (indicado mediante el motivo del apéndice DELIVERY_DELAY) y anteriormente configuró un periodo de retención más corto, es posible que los eventos retrasados solo estén disponibles durante el periodo de retención más corto.

  • Importante: En el caso de las implementaciones en varias regiones, las reglas de activación de CloudWatch requieren una configuración independiente en cada región de AWS y aún no están disponibles en todas las regiones. Para obtener una cobertura completa en varias regiones, considere la posibilidad de continuar utilizando los registros de seguimiento de CloudTrail para enviar eventos a CloudWatch hasta que se amplíe la disponibilidad regional.