Centralisation des journaux inter-comptes et inter-régions - Amazon CloudWatch Logs
Concepts de centralisation des donnéesConfiguration de la centralisation des journauxRègles de centralisation de surveillance et de résolution des problèmes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Centralisation des journaux inter-comptes et inter-régions

La centralisation des données Amazon CloudWatch Logs permet de AWS Organizations collecter les données de journal de plusieurs comptes membres dans un seul référentiel de données en utilisant des règles de centralisation entre comptes et entre régions. Vous définissez les règles qui répliquent automatiquement les données de journal de plusieurs comptes et Régions AWS dans un compte centralisé au sein de votre organisation. Cette fonctionnalité rationalise la consolidation des journaux pour une surveillance, une analyse et une conformité centralisées améliorées sur l'ensemble de votre AWS infrastructure.

CloudWatch La centralisation des données des journaux offre une flexibilité de configuration répondant aux exigences opérationnelles et de sécurité, telles que la possibilité de configurer une région de sauvegarde lors de la configuration des règles dans le compte de destination afin de garantir une résilience accrue. En outre, vous avez un contrôle total sur le comportement de chiffrement des groupes de journaux copiés à partir de comptes sources afin de gérer les données initialement chiffrées à l'aide de clés KMS gérées par le client.

Note

La fonctionnalité de centralisation CloudWatch des journaux traite uniquement les nouvelles données de journal qui arrivent dans les comptes sources une fois que vous avez créé la règle de centralisation. Les données des journaux historiques (journaux qui existaient avant la création des règles) ne sont pas centralisées.

Concepts de centralisation des données

Avant de commencer à utiliser la centralisation des données des CloudWatch journaux, familiarisez-vous avec les concepts suivants :

Règle de centralisation

Configuration qui définit la manière dont les données de journal des comptes et des régions sources sont répliquées vers un compte et une région de destination. Les règles définissent les critères de source et les paramètres de destination.

Compte source

Le AWS compte d'où proviennent les données du journal. Les événements du journal des comptes sources sont répliqués sur le compte de destination en fonction des règles de centralisation que vous définissez.

Compte de destination

Le AWS compte de destination où les données du journal répliquées sont stockées. Ce compte sert d'emplacement centralisé pour l'analyse et la surveillance des journaux.

Région de sauvegarde

Région secondaire facultative au sein du compte de destination dans laquelle les données du journal peuvent être répliquées à des fins de résilience et de reprise après sinistre accrues.

Chiffrement dans CloudWatch les journaux

Les données des groupes de journaux sont toujours cryptées dans CloudWatch Logs. Par défaut, CloudWatch Logs utilise le chiffrement côté serveur avec le mode AES-GCM (Advanced Encryption Standard Galois/Counter Mode) 256 bits pour chiffrer les données des journaux au repos. Vous pouvez également utiliser le service de gestion des AWS clés pour ce chiffrement. Pour plus d'informations, consultez la documentation sur le chiffrement CloudWatch des journaux.

  • Fonctionnement du chiffrement lors de la centralisation : La centralisation CloudWatch des journaux copie activement les données des journaux au moment de l'ingestion des comptes source vers les comptes de destination. Au cours de ce processus, vos données restent cryptées en transit à l'aide d'une clé de service AWS détenue par vos soins. Les données au repos dans les groupes de journaux source et de destination sont chiffrées à l'aide de la méthode de chiffrement que vous avez choisie (clés KMS gérées ou AWS détenues par le client). Si vous utilisez une clé KMS gérée par le client dans vos groupes de journaux de destination, ajoutez la balise LogsManaged = true à la clé KMS pour que le service de centralisation puisse y accéder.

  • Lorsque des autorisations KMS sont requises :

    • Si vous utilisez des clés KMS gérées par le client dans vos comptes sources, CloudWatch Logs nécessite des autorisations KMS dans les exemples de scénarios suivants :

      • Gestion du débit : Lorsque les limites de débit de centralisation sont atteintes, les données du journal sont temporairement stockées cryptées avec la clé KMS gérée par le client jusqu'à ce que la bande passante soit disponible.

      • Protection et rédaction des données : lorsque les politiques de protection des données sont activées dans les groupes de CloudWatch journaux sources, Logs a besoin d'autorisations de déchiffrement pour accéder aux données brutes des journaux afin de les centraliser.

Important

Les règles de centralisation sont gérées par le compte de gestion AWS des Organizations ou par l'administrateur délégué. Pour exclure de la centralisation les groupes de journaux chiffrés par KMS gérés par le client, configurez les paramètres de la règle sur « Ne pas centraliser les groupes de journaux chiffrés avec une AWS clé KMS ».

Configuration de la centralisation des journaux

Pour configurer la centralisation CloudWatch des journaux, vous devez configurer des règles de centralisation qui définissent la manière dont les données des journaux circulent des groupes de journaux des comptes source vers les groupes de journaux de votre compte de destination.

Une fois que la règle de centralisation est activée et que les événements du journal sont répliqués sur le compte de destination, vous pouvez créer des filtres de métriques, d'abonnement et de compte sur des groupes de journaux centralisés dotés de fonctionnalités de filtrage améliorées. Ces filtres peuvent cibler les événements du journal provenant de comptes source et de régions spécifiques, et peuvent émettre des informations sur le compte source et la région sous forme de dimensions métriques. Pour de plus amples informations, veuillez consulter Création de métriques à partir d'événements du journal à l'aide de filtres.

Conditions préalables

  • AWS Organizations doit être configuré et les comptes source et de destination doivent tous deux appartenir à l'organisation.

  • L'accès sécurisé doit être activé pour CloudWatch le compte de gestion et le compte de destination afin de fournir un accès aux données du journal.

    Note

    Il est recommandé d'activer l'accès sécurisé via la console, qui crée automatiquement le rôle lié au service (SLR) requis. Si l'accès sécurisé est activé par d'autres méthodes, le rôle lié au service devra être créé séparément.

Personnalisation des noms des groupes de journaux de destination

Lorsque vous créez une règle de centralisation, vous pouvez personnaliser la façon dont les noms des groupes de journaux de destination sont structurés à l'aide d'attributs. Ces attributs sont automatiquement remplacés par des valeurs réelles lors de la création de groupes de journaux, ce qui vous permet d'organiser les journaux de manière hiérarchique dans votre compte de destination. Par défaut, seul l'${source.logGroup}attribut est utilisé, qui fusionne tous les groupes de journaux portant le même nom dans le compte de destination. Si une variable ne peut pas être résolue, elle hérite de la valeur de sa variable parent dans la hiérarchie.

Attributs disponibles

Vous pouvez utiliser les attributs suivants dans le modèle de nom de votre groupe de journaux de destination :

Attributs du nom du groupe de journaux de destination
Attribut Description
${source.accountId} L'ID du AWS compte d'où provient le journal.
${source.region} L' Région AWS origine du journal.
${source.logGroup} Le nom du groupe de journaux d'origine indiqué dans le compte source.
${source.org.id} Votre AWS Organizations identifiant du compte source.
${source.org.ouId} L'ID de l'unité organisationnelle du compte source
${source.org.rootId} L'ID racine de l'organisation
${source.org.path} Le parcours organisationnel complet, du compte à la racine

Exemples

Préserver la structure d'origine du groupe de logs

Modèle : /centralized/${source.accountId}${source.logGroup}

Résultat: /centralized/123456789012/aws/lambda/my-function

Organiser par compte et par région

Modèle : /centralized/${source.accountId}/${source.region}

Résultat: /centralized/123456789012/us-east-1

Organiser par structure organisationnelle

Modèle : /logs/${source.org.id}/${source.org.ouId}/${source.accountId}

Résultat: /logs/o-abc123/ou-xyz-12345678/123456789012

Structure plate simple

Modèle : /centralized-logs

Résultat: /centralized-logs

Bonnes pratiques

  • Incluez l'identifiant du compte source pour identifier facilement d'où proviennent les journaux de compte.

  • Incluez la région source si vous effectuez une centralisation à partir de plusieurs régions.

  • Structurez les noms des groupes de journaux de destination de manière à ce qu'ils comportent moins de 512 caractères. CloudWatch Logs impose une longueur maximale de 512 caractères pour les noms de groupes de journaux.

Création d'une règle de centralisation

Utilisez la procédure suivante pour créer une règle de centralisation qui réplique les données de journal des comptes source vers votre compte de destination.

Pour créer une règle de centralisation

  1. Accédez à la CloudWatch console dans le compte de gestion ou d'administrateur délégué de l'organisation.

  2. Cliquez sur Paramètres.

  3. Accédez à l'onglet Organisation.

  4. Choisissez Configurer la règle.

  5. Spécifiez les détails de la source en définissant les champs suivants, puis choisissez Next :

    1. Nom de la règle de centralisation : entrez un nom unique pour la règle de centralisation.

    2. Comptes sources : définissez les critères de sélection des sources pour sélectionner les comptes à partir desquels les données de télémétrie seront centralisées. Les critères de sélection peuvent inclure :

      • Liste des comptes des membres de l'organisation

      • Liste des unités organisationnelles de l'organisation

      • L'ensemble de l'organisation

      Vous pouvez fournir les critères de sélection selon deux modes :

      • Builder : une expérience basée sur les clics pour générer les critères de sélection des sources

      • Éditeur : zone de texte libre pour fournir les critères de sélection de la source

      Syntaxe prise en charge pour les critères de sélection des sources :

      • Clés prises en charge : OrganizationId OrganizationUnitId | AccountId | | *

      • Opérateurs pris en charge : = | IN | OR

    3. Régions sources : sélectionnez une liste de régions pour rechercher les données de télémétrie à centraliser.

  6. Spécifiez les détails de la destination en définissant les champs suivants, puis choisissez Next :

    1. Compte de destination : sélectionnez un compte dans l'organisation qui sert de destination centrale pour les données de télémétrie.

    2. Région de destination : sélectionnez une région principale qui stocke une copie des données de télémétrie centralisées.

    3. Région de sauvegarde : sélectionnez éventuellement une région qui stocke une deuxième copie des données de télémétrie centralisées.

  7. Spécifiez les données de télémétrie en définissant les champs suivants, puis choisissez Next :

    1. Groupes de journaux : choisissez l'une des options suivantes :

      • Tous les groupes de journaux : centralisez les journaux de tous les groupes de journaux dans les comptes sources.

      • Filtrer les groupes de journaux : centralisez les journaux à partir d'un sous-ensemble de groupes de journaux dans les comptes sources, en fonction des critères de sélection d'un groupe de journaux. Vous pouvez fournir les critères de sélection selon deux modes :

        • Générateur : une expérience basée sur les clics pour générer les critères de sélection des groupes de journaux

        • Editeur : zone de texte libre fournissant les critères de sélection des groupes de journaux

        Syntaxe prise en charge pour les critères de sélection des groupes de journaux :

        • Clés prises en charge : LogGroupName | *

        • Opérateurs pris en charge : = | ! = | DANS | PAS DANS | ET | OU | COMME | PAS COMME

    2. Groupe de journaux chiffrés KMS

      Important

      CloudWatch les règles de centralisation ne pourront pas transmettre les journaux du compte source aux groupes de journaux de destination si la clé KMS fournie dans la règle de centralisation n'autorise pas CloudWatch les journaux à l'utiliser. Si vous utilisez une clé KMS gérée par le client dans vos groupes de journaux de destination, ajoutez la balise LogsManaged = true à la clé KMS. Pour de plus amples informations, veuillez consulter Étape 2 : Définition des autorisations sur la clé KMS.

      Choisissez l’une des options suivantes :

      • Centralisez les groupes de journaux sources chiffrés avec des clés KMS gérées par le client à l'aide d'une clé KMS gérée par le client spécifique à une destination : centralisez les événements des journaux des groupes de journaux sources chiffrés avec des clés KMS gérées par le client dans les groupes de journaux de destination chiffrés avec une clé KMS gérée par le client dans le compte de destination.

        Lorsque ce paramètre est sélectionné, vous devez également définir les paramètres suivants :

        • ARN de la clé de chiffrement de destination : ARN de la clé KMS gérée par le client dans le compte de destination et la région de destination principale, à associer aux groupes de journaux de destination nouvellement créés.

        • ARN de la clé de chiffrement de destination de sauvegarde (si la région de sauvegarde est sélectionnée) : ARN de la clé KMS gérée par le client dans le compte de destination et la région de destination de sauvegarde, à associer aux groupes de journaux de destination nouvellement créés.

        • Ignorer la centralisation vers des groupes de journaux de destination non chiffrés (facultatif) : si un groupe de journaux existe déjà sans clé KMS gérée par le client, CloudWatch impossible de mettre à jour son chiffrement. Choisissez cette option pour ignorer la centralisation des événements de journal des groupes de journaux source chiffrés à l'aide de clés KMS gérées par le client vers des groupes de journaux de destination qui ne sont pas associés à une clé KMS gérée par le client.

      • Centralisez les groupes de journaux chiffrés à l'aide de clés KMS gérées par le client dans le compte de destination avec la clé KMS AWS détenue : centralisez les événements des journaux des groupes de journaux source chiffrés avec des clés KMS gérées par le client dans les groupes de journaux de destination nouvellement créés et chiffrés à l'aide d'une clé KMS AWS détenue.

      • Ne centralisez pas les groupes de journaux chiffrés à l'aide de clés KMS gérées par le client : ignorez la centralisation des événements de journal à partir des groupes de journaux source chiffrés à l'aide de clés KMS gérées par le client.

  8. Passez en revue la règle de centralisation, apportez éventuellement des modifications de dernière minute et choisissez Créer une politique de centralisation.

Modifier une règle de centralisation

Utilisez la procédure suivante pour modifier une règle de centralisation existante.

Pour modifier une règle de centralisation

  1. Accédez à la CloudWatch console dans le compte de gestion ou d'administrateur délégué de l'organisation.

  2. Cliquez sur Paramètres.

  3. Accédez à l'onglet Organisation.

  4. Choisissez Gérer les règles.

  5. Sélectionnez la règle à mettre à jour, puis choisissez Modifier.

  6. Mettez à jour la configuration des règles selon vos besoins, en choisissant Next pour passer à chaque étape.

  7. À l'étape 4, Révision et configuration, choisissez Mettre à jour la politique de centralisation.

Afficher une règle de centralisation

Utilisez la procédure suivante pour afficher les détails d'une règle de centralisation existante.

Pour consulter une règle de centralisation

  1. Accédez à la CloudWatch console dans le compte de gestion ou d'administrateur délégué de l'organisation.

  2. Cliquez sur Paramètres.

  3. Accédez à l'onglet Organisation.

  4. Choisissez Gérer les règles.

  5. Consultez la liste de toutes les règles de centralisation existantes et choisissez un nom de règle spécifique pour en afficher les détails.

Supprimer une règle de centralisation

Pour supprimer une règle de centralisation existante, procédez comme suit.

Pour supprimer une règle de centralisation

  1. Accédez à la CloudWatch console dans le compte de gestion ou d'administrateur délégué de l'organisation.

  2. Cliquez sur Paramètres.

  3. Accédez à l'onglet Organisation.

  4. Choisissez Gérer les règles.

  5. Sélectionnez la règle à supprimer, puis cliquez sur Supprimer.

  6. Pour confirmer la suppression, choisissez Supprimer.

Règles de centralisation de surveillance et de résolution des problèmes

Vous pouvez surveiller l'état et les performances de vos règles de centralisation à l'aide CloudWatch des métriques, de la console CloudWatch Logs et AWS CloudTrail des journaux. Cela vous permet de vous assurer que les données du journal sont correctement répliquées et d'identifier tout problème lié à votre configuration de centralisation.

CloudWatch Logs fournit :

  1. État de santé des règles par règle de centralisation

    1. Cliquez sur Paramètres.

    2. Accédez à l'onglet Organisation.

    3. Choisissez Gérer les règles.

  2. Enregistre les appels d'API avec AWS CloudTrail

  3. CloudWatch publie également des métriques pour la centralisation, notamment les événements de journal répliqués, les erreurs et la régulation. Pour plus d'informations sur ces mesures et leurs dimensions, consultezMesures et dimensions de centralisation.

État de santé des règles de centralisation

Chaque règle de centralisation possède un état de santé qui indique si elle fonctionne correctement. Vous pouvez vérifier l'état des règles via la console ou par programmation à l'aide de l'API.

Les états d'intégrité des règles incluent :

  • HEALTHY: La règle fonctionne normalement et réplique les données du journal telles que configurées

  • UNHEALTHY: la règle a rencontré des problèmes et ne reproduit peut-être pas correctement les données

  • PROVISIONING: La centralisation de l'organisation est en cours de mise en place.

Lorsqu'une règle est marquée comme INSTABLE, le FailureReason champ fournit des détails sur le problème spécifique à résoudre.

Surveillance des appels d'API de centralisation avec AWS CloudTrail

AWS CloudTrail enregistre les appels d'API effectués vers le service de centralisation, ce qui vous permet de suivre les modifications de configuration et de résoudre les problèmes liés aux comptes membres de votre compte. AWS Organizations

Les principaux CloudTrail événements liés à la centralisation sont les suivants :

  • CreateCentralizationRuleForOrganization: Lorsqu'une nouvelle règle de centralisation est créée

  • UpdateCentralizationRuleForOrganization: Lorsqu'une règle existante est modifiée

  • DeleteCentralizationRuleForOrganization: Lorsqu'une règle est supprimée

  • GetCentralizationRuleForOrganization: Lorsque les détails des règles sont récupérés

  • ListCentralizationRulesForOrganization: Lorsque les règles sont répertoriées

Vous pouvez utiliser CloudTrail les journaux pour auditer les modifications de configuration de la centralisation et les corréler aux problèmes de performances ou aux échecs de réplication.

Recommandations de surveillance

Pour garantir le bon fonctionnement de la centralisation, nous vous recommandons de configurer des CloudWatch alarmes sur les principaux indicateurs de centralisation que nous vendons à CloudWatch Metrics. Cette surveillance proactive vous aide à détecter les problèmes à un stade précoce et à maintenir une centralisation fiable des journaux au sein de votre organisation.

Les principaux indicateurs à surveiller sont les suivants :

  • IncomingCopiedBytes: Surveillez le volume de données de journal répliquées avec succès sur votre compte de destination. Une baisse soudaine ou l'absence de cette métrique peut indiquer des problèmes de centralisation.

  • CentralizationError: Configurez des alarmes en cas d'erreur dans le processus de centralisation afin d'identifier et de résoudre rapidement les problèmes.

  • CentralizationThrottled: surveillez les événements de limitation susceptibles d'avoir un impact sur les performances de réplication des journaux.

Pour une liste complète des mesures de centralisation disponibles et de leurs dimensions, voirMesures et dimensions de centralisation.

Si les journaux ne sont pas centralisés comme prévu, passez en revue les scénarios courants suivants qui peuvent empêcher la centralisation des journaux.

Données du journal historique

La fonctionnalité de centralisation CloudWatch des journaux traite uniquement les nouvelles données de journal qui arrivent dans les comptes sources une fois que vous avez créé la règle de centralisation. Les données des journaux historiques (journaux qui existaient avant la création des règles) ne sont pas centralisées.

Autorisations clés KMS

Les règles de centralisation ne parviennent pas à transmettre les journaux du compte source aux groupes de journaux de destination si la clé KMS fournie dans la règle de centralisation n'autorise pas CloudWatch Logs à l'utiliser. Assurez-vous que la politique des clés KMS accorde les autorisations nécessaires aux CloudWatch journaux. Pour de plus amples informations, veuillez consulter Étape 2 : Définition des autorisations sur la clé KMS.

Configuration de la clé KMS gérée par le client

Si vous avez sélectionné Ne pas centraliser les groupes de journaux chiffrés avec une clé KMS gérée par le client lors de la création de la règle, les événements de journal provenant des groupes de journaux source chiffrés avec une clé KMS gérée par le client seront ignorés et non centralisés.

Non-concordance du chiffrement de destination

Si le groupe de journaux de destination existe déjà avec une configuration de chiffrement KMS différente de celle spécifiée par la règle de centralisation et que la résolution du conflit est définie sur SKIP, les enregistrements seront supprimés et une DestinationEncryptionMismatch erreur sera émise. Par exemple, cela se produit lorsque la destination dispose d'un chiffrement par défaut mais que la règle spécifie une clé KMS gérée par le client.

Accès sécurisé non activé

L'accès sécurisé doit être activé AWS Organizations pour CloudWatch le compte de gestion et le compte de destination afin de fournir un accès aux données du journal.

Critères de sélection de la source

Vérifiez que les critères de sélection des sources de votre règle de centralisation sont correctement configurés :

  • Comptes et régions : assurez-vous que les comptes sources et les régions d'où proviennent les journaux sont inclus dans la règle. Les groupes de journaux provenant de comptes ou de régions non spécifiés dans la règle ne seront pas centralisés.

  • Filtres de groupes de journaux : si vous avez configuré des filtres de groupes de journaux, seuls les groupes de journaux correspondant aux critères spécifiés seront centralisés. Vérifiez que vos critères de sélection des groupes de journaux incluent les groupes de journaux que vous souhaitez centraliser.

  • Appartenance à l'organisation : les comptes source et de destination doivent appartenir à la même AWS Organizations organisation. Les comptes extérieurs à l'organisation ne peuvent pas participer à la centralisation.

Limite de quota de groupes de journaux atteinte

Si le compte de destination a atteint son quota de groupes de journaux, il est impossible de créer de nouveaux groupes de journaux à des fins de centralisation. Vérifiez que le compte de destination dispose d'un quota suffisant pour accueillir les groupes de journaux centralisés provenant de tous les comptes sources. Vous pouvez demander une augmentation de quota si nécessaire.

La limite de longueur du nom du flux de log est dépassée

Les noms de flux de journaux sont soumis à des restrictions de longueur maximale. Lorsque la centralisation réplique les flux de journal vers le compte de destination, un suffixe est ajouté au nom du flux de journal. Si le nom du flux de journal obtenu dépasse la longueur maximale autorisée, les enregistrements seront supprimés et une InvalidLogStream erreur sera envoyée au compte client.

État de santé des règles

Vérifiez l'état de santé des règles de centralisation dans la console ou à l'aide de l'GetCentralizationRuleForOrganizationAPI. Si la règle est marquée comme étant INSTABLE, consultez le FailureReason champ pour obtenir des informations spécifiques sur le problème.

Pour diagnostiquer les problèmes de centralisation, vérifiez l'état de santé des règles de centralisation dans la console, vérifiez les CloudWatch métriques pour détecter les erreurs et les limitations, et examinez les AWS CloudTrail journaux pour détecter les échecs d'appels d'API. Pour plus d'informations sur les métriques de centralisation, consultezMesures et dimensions de centralisation.