Comment fonctionnent les règles Création d'une règle d'activation de la télémétrie Gestion des règles de télémétrie Sources de données prises en charge

Règles d'activation de la télémétrie

Vous pouvez créer des règles d'activation de la télémétrie afin de configurer automatiquement la collecte de données télémétriques pour vos ressources. AWS Les règles vous aident à normaliser la collecte de données de télémétrie au sein de votre organisation ou de vos comptes et à garantir une couverture de surveillance cohérente.

Rubriques

Comment fonctionnent les règles
Création d'une règle d'activation de la télémétrie
Gestion des règles de télémétrie
Sources de données prises en charge

Comment fonctionnent les règles

La configuration de la télémétrie suit des modèles spécifiques lors de l'évaluation et de l'application des règles.

Hiérarchie d'évaluation des règles

Les règles d’activation sont évaluées selon un modèle hiérarchique. Les règles organisationnelles sont d'abord évaluées, puis les règles qui s'appliquent aux unités organisationnelles (OUs), et enfin les règles qui s'appliquent aux comptes individuels. Les règles au niveau organisationnel fournissent les données de télémétrie de base requises pour votre organisation. Les règles au niveau de l’unité organisationnelle et des comptes peuvent collecter des données de télémétrie supplémentaires, mais elles ne peuvent pas collecter moins de données de télémétrie. Si une telle règle est créée, elle entraînera un conflit de règles.

Dans chaque portée (organisation, unité organisationnelle ou compte), les règles doivent conserver leur caractère unique en fonction de leur type de ressource, de leur type de télémétrie et de leur configuration de destination. Les règles en double déclenchent une exception de conflit. Si la même règle existe dans des domaines différents, par exemple une règle au niveau de l'organisation pour les journaux Amazon VPC Flow et une règle CloudWatch au niveau de l'unité organisationnelle pour les journaux Amazon VPC Flow, la règle située le plus haut dans la hiérarchie est appliquée. Toutefois, en cas de conflit entre plusieurs règles, aucune d'entre elles n'est appliquée.

Lorsque plusieurs règles s’appliquent à la même ressource, la configuration de télémétrie résout les conflits en utilisant les priorités suivantes :

Les règles au niveau de l’organisation ont priorité sur les règles au niveau du compte
Les correspondances de balises plus spécifiques ont priorité sur les règles générales
En cas de conflit entre plusieurs règles, aucune d'entre elles n'est appliquée. Vous devez d'abord résoudre les conflits.

Comportement des règles lors des mises à

Si vous mettez à jour une règle d'activation, seules les nouvelles ressources correspondant à cette règle adoptent la configuration mise à jour. Les paramètres de télémétrie existants restent inchangés pour les ressources existantes. Si une ressource devient non conforme à une règle existante en raison de la suppression manuelle de données de télémétrie, la nouvelle règle d’activation est adoptée une fois que la ressource est remise en conformité.

Pour les journaux Amazon VPC Flow, la configuration de télémétrie crée uniquement de nouveaux journaux de flux pour les ressources correspondant à l'étendue de la règle. Cela ne supprime ni n'a d'impact sur les journaux Amazon VPC Flow précédemment établis, même s'ils diffèrent des paramètres des règles actuelles. Pour les CloudWatch journaux, les groupes de journaux existants sont conservés à condition qu'ils correspondent au modèle de ressources.

Intégration avec AWS Config

CloudWatch l'audit et la configuration de la télémétrie s'intègrent AWS Config pour découvrir automatiquement les ressources qui correspondent à votre règle d'activation et les appliquer à votre collecte de données de télémétrie. Lorsque vous créez une règle d'activation, la configuration de télémétrie crée un enregistreur correspondant. AWS Config Cet enregistreur comprend des éléments de configuration pour les types de ressources spécifiques que vous définissez dans la règle d’activation.

Amazon CloudWatch utilise un enregistreur lié au service AWS Config Internal. Ces CloudWatch utilisations ne vous sont pas CIs facturées dans le cadre des enregistreurs liés au service interne.

Note

Lorsque vous créez une règle d'activation, nous découvrons les ressources non conformes (celles pour lesquelles la télémétrie n'est pas activée) via les éléments de configuration de AWS configuration (CIs) avant de les activer en fonction de l'étendue de votre règle d'activation. La découverte initiale des ressources peut prendre jusqu'à 24 heures dans certains cas.

La configuration de télémétrie permet de : AWS Config

Détecter les ressources au sein de votre organisation ou de vos comptes
Suivre les modifications de configuration de télémétrie

Règles applicables à toutes les régions

Lorsque vous créez une règle avec des régions cibles, la région actuelle devient la région d'origine de cette règle. La règle est automatiquement répliquée dans les régions satellites que vous sélectionnez.

Concepts clés des règles multirégionales :

Les règles répliquées ne peuvent pas être modifiées ou supprimées dans les régions satellites. Vous devez accéder à la région d'origine pour les modifier ou les supprimer.
Si vous sélectionnez Toutes les régions, les nouvelles régions sont automatiquement incluses lorsque vous les acceptez.
Le système réconcilie périodiquement les règles entre les régions afin de corriger tout écart entre la région d'origine et les régions parlées.
Les balises appliquées aux règles de la région d'origine sont répliquées dans les régions parlées.

Lorsqu'une règle répliquée est créée, mise à jour ou supprimée dans une région parlée, AWS CloudTrail enregistre une règle AwsServiceEvent dans la région parlée. Ces événements sont enregistrés en observabilityadmin.amazonaws.com tant que service d'appel et incluent l'ARN de la règle dans la région parlée. Vous pouvez utiliser ces événements pour auditer l'activité de réplication de règles multirégions.

Voici un exemple d' AWS CloudTrail événement enregistré lorsqu'une règle répliquée est créée dans une région parlée :


{
    "eventVersion": "1.11",
    "userIdentity": {
        "accountId": "123456789012",
        "invokedBy": "observabilityadmin.amazonaws.com"
    },
    "eventTime": "2026-04-06T19:50:37Z",
    "eventSource": "observabilityadmin.amazonaws.com",
    "eventName": "CreateTelemetryRule",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "observabilityadmin.amazonaws.com",
    "userAgent": "observabilityadmin.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "eventID": "435d6da2-d099-4775-8944-1e039418de6f",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::ObservabilityAdmin::TelemetryRule",
            "ARN": "arn:aws:observabilityadmin:us-east-1:123456789012:telemetry-rule/my-multi-region-rule"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

Le eventName champ reflète l'opération effectuée sur la règle répliquée : CreateTelemetryRuleUpdateTelemetryRule, ouDeleteTelemetryRule. Cela eventType est toujours AwsServiceEvent dû au fait que l'opération est effectuée par le ObservabilityAdmin service pour le compte du client, et non par un appel direct de l'API du client.

Création d'une règle d'activation de la télémétrie

Lorsque vous créez une règle d’activation de télémétrie, vous spécifiez :

La portée de la règle (organisation, unité organisationnelle ou compte)
Les types de ressources auxquels la règle s’applique
Les types de télémétrie à activer (métriques, journaux ou traces)
Les balises facultatives pour filtrer les ressources concernées par la règle
Régions cibles facultatives pour répliquer la règle sur plusieurs régions

Pour créer une règle d’activation de télémétrie

Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.
Dans le volet de navigation, choisissez Ingestion.
Sélectionnez l’onglet Règles d’activation.
Choisissez Ajouter une règle.
Pour Nom de la règle, entrez un nom pour votre règle.
Pour Portée de la règle, sélectionnez l’une des options suivantes :
- Organisation — La règle s'applique à l'ensemble de votre organisation AWS Organizations
- Unité organisationnelle : la règle s'applique à une unité d'organisation spécifique
- Compte — La règle s'applique à un seul compte
Pour Source de données, sélectionnez le AWS service à configurer.
Pour Type de télémétrie, sélectionnez les types de télémétrie à activer.
(Facultatif) Ajoutez des balises pour filtrer les ressources affectées par la règle.
(Facultatif) Pour les régions cibles, sélectionnez les régions dans lesquelles vous souhaitez que cette règle s'applique. La région actuelle est automatiquement désignée comme région d'origine de la règle. Si vous sélectionnez Toutes les régions, les nouvelles régions sont automatiquement incluses lorsque vous les acceptez.
Choisissez Créer une règle.

Gestion des règles de télémétrie

Après avoir créé des règles, vous pouvez les modifier ou les supprimer. Vous pouvez également afficher les ressources concernées par chaque règle et surveiller la conformité aux règles.

Pour gérer une règle existante

Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.
Dans le volet de navigation, choisissez Ingestion.
Sélectionnez l’onglet Règles d’activation.
Sélectionnez une règle pour afficher ses détails ou choisissez l’une des actions suivantes :
- Modifier la règle — Modifier les paramètres de la règle
- Supprimer — Supprimer la règle

Gestion des règles répliquées

Lorsque vous consultez une règle répliquée dans une région parlée, la console affiche une alerte d'information indiquant que la règle a été répliquée depuis une autre région. Les actions Modifier la règle et Supprimer sont désactivées pour les règles répliquées dans les régions satellites.

Pour modifier ou supprimer une règle répliquée, accédez à la région d'origine dans laquelle la règle a été créée à l'origine. La région d'origine est affichée dans l'alerte d'information.

Vous pouvez ajouter ou modifier des balises sur des règles répliquées dans Spoke Regions. Les modifications de balises effectuées dans les régions spéciales s'appliquent uniquement à la copie locale de la règle et ne sont pas répliquées dans la région d'origine.

Sources de données prises en charge

Les sources de données suivantes sont prises en charge par les règles d'activation de la télémétrie. Chaque source de données présente des considérations spécifiques en matière de comportement et de configuration.

Journaux de flux Amazon VPC

Lors de la création de journaux de flux :

Utilise le modèle par défaut/aws/vpc/vpc-id si aucun n'est spécifié
Les journaux de flux existants créés par le client sont conservés
Les mises à jour des règles n’affectent que les nouveaux journaux de flux
Vous pouvez utiliser <vpc-id>des <account-id>macros pour diviser les groupes de journaux.
CloudWatch ne crée pas de journaux de flux pour ceux VPCs qui ingèrent déjà des journaux dans Logs CloudWatch

Journaux du plan de contrôle Amazon EKS

Lorsque vous activez la journalisation du plan de contrôle :

<cluster-name>Utilise le modèle de groupe de CloudWatch journaux par défaut /aws/eks/ /cluster. Amazon EKS crée automatiquement un groupe de journaux par cluster.
Les mises à jour des règles n'affectent que les nouveaux clusters ou uniquement les clusters pour lesquels les types de journaux délimités ne sont pas activés
Peut activer des types de journaux spécifiques : api, audit, authentificateur, ControllerManager, planificateur

AWS Journaux ACL Web WAF

Lors de la création de journaux WAF :

Utilise le modèle de groupe de CloudWatch journaux par défaut et est toujours préfixé par - aws-waf-logs
Les mises à jour des règles concernent uniquement les nouveaux sites Web ACLs ou les sites Web existants ACLs dont la journalisation dans les CloudWatch journaux n'est pas activée
CloudWatch n'active pas les journaux pour le Web ACLs qui ingèrent déjà des journaux dans Logs CloudWatch

Journaux d'Amazon Route 53 Resolver

Lorsque vous activez la journalisation des requêtes du résolveur :

Utilise le modèle de groupe de CloudWatch journaux par défaut /aws/route53resolver si aucun n'est spécifié
Vous pouvez utiliser <account-id>des macros pour diviser les groupes de journaux.
CloudWatch ne crée pas de journaux de requêtes de résolution pour ceux VPCs qui ingèrent déjà des journaux dans Logs CloudWatch
Les règles d'activation configurent la journalisation des requêtes Route 53 pour vous VPCs en fonction de l'étendue des règles. CloudWatch ne détecte pas les profils Route 53 et les configurations associées.

Journaux d'accès NLB

Lorsque vous activez les journaux d'accès :

Utilise le modèle de groupe de CloudWatch journaux par défaut avec le préfixe/aws/nlb/access-logs si aucun n'est spécifié
CloudWatch n'active pas les livraisons de journaux pour ceux NLBs qui ingèrent déjà des journaux dans Logs CloudWatch

CloudTrail Journaux utilisant un canal lié au service

Lorsque vous activez CloudTrail les journaux à l'aide du chemin SLC :

Utilise les groupes de CloudWatch journaux gérés aws/cloudtrail/ <event-types>
Les configurations existantes de transfert de CloudTrail traces créées par le client sont préservées
CloudWatch Les règles d'activation utilisent uniquement le canal lié au service pour ingérer les journaux
Les événements utilisent la période de rétention configurée pour le groupe de journaux
Pour les CloudTrail événements, dans le cadre de l'assistant d'activation, vous pouvez choisir au moins un type d'événement auquel l'ingestion doit être effectuée. CloudWatch
Si les événements sont transmis avec un retard (indiqué par le motif de l'addendum DELIVERY_DELAY) et que vous avez préalablement configuré une période de conservation plus courte, les événements différés ne seront peut-être disponibles que pendant la durée de la période de conservation plus courte.

Astuce

Pour configurer CloudTrail les journaux dans plusieurs régions, utilisez le sélecteur de régions cibles lors de la création de votre règle d'activation. Cela réplique automatiquement la règle dans les régions que vous avez sélectionnées à partir de la région d'origine.

Métriques détaillées d'Amazon Amazon EC2

Lorsque vous activez la surveillance détaillée :

Les modifications de l'état de l'instance peuvent affecter la collecte des métriques

AWS Security Hub

Lorsque vous activez la journalisation de Security Hub :

Utilise un modèle de groupe de CloudWatch journaux géré aws/securityhub_cspm/findings
CloudWatch n'active pas les livraisons de journaux pour Security Hub qui ingèrent déjà des journaux dans des journaux gérés CloudWatch

Amazon Bedrock AgentCore

Activez à la fois les journaux et les traces émis par toutes les AgentCore primitives Bedrock disponibles telles que Runtime, les outils de navigateur, les outils d'interprétation de code, etc. Suivez l'expérience de la console de configuration de la télémétrie pour créer une règle de livraison de journaux, puis créez une règle de livraison de traces.
Lors de la création d'une règle de livraison de traces, Transaction Search sera activée et une politique d'autorisation supplémentaire sera créée pour permettre à CloudWatch X-Ray d'envoyer un suivi corrélé au groupe de journaux géré de votre compte. En outre, une politique de ressources X-Ray sera créée pour permettre aux AgentCore primitives Bedrock actuelles et nouvelles de fournir des traces à votre compte.

Passerelle Amazon Bedrock Agentcore

Lorsque vous activez la journalisation de Bedrock Agentcore Gateway :

Utilise le modèle de groupe de CloudWatch journaux par défaut/aws/bedrock/agentcoresi aucun n'est spécifié
CloudWatch n'active pas les livraisons de journaux pour Bedrock Agentcore Gateway qui ingèrent déjà des journaux dans Logs CloudWatch

Mémoire Amazon Bedrock Agentcore

Lorsque vous activez la journalisation de la mémoire Bedrock Agentcore :

Utilise le modèle de groupe de CloudWatch journaux par défaut/aws/bedrock/agentcoresi aucun n'est spécifié
CloudWatch n'active pas les livraisons de journaux pour Bedrock Agentcore Memory qui ingèrent déjà des journaux dans Logs CloudWatch

CloudFront Distribution sur Amazon

Lorsque vous activez CloudFront la journalisation de la distribution :

CloudWatch n'active pas les livraisons de journaux pour les CloudFront distributions qui ingèrent déjà des journaux dans Logs CloudWatch

Métriques du cluster Amazon MSK

Lorsque vous activez les métriques MSK Cluster :

Compatible uniquement avec le type de télémétrie METRICS
Vous pouvez configurer des niveaux de surveillance améliorés (PER_BROKER, PER_TOPIC_PER_BROKER, etc.) pour contrôler la granularité des métriques collectées
Des règles avec différents niveaux de surveillance améliorés peuvent coexister pour le même cluster MSK

OpenTelemetry Métriques d'enrichissement

Lorsque vous activez les métriques OpenTelemetry d'enrichissement :

Compatible uniquement avec le type de télémétrie METRICS
Il s'agit d'une activation au niveau du compte sans destination configurable par l'utilisateur
Les critères de sélection au niveau des ressources ne sont pas pris en charge

Identité de la charge de travail Amazon Bedrock Agentcore

Lorsque vous activez la journalisation de l'identité de Bedrock Agentcore Workload :

Utilise le modèle de groupe de CloudWatch journaux par défaut/aws/bedrock/agentcoresi aucun n'est spécifié
CloudWatch n'active pas les livraisons de journaux pour Bedrock Agentcore Workload Identity qui ingère déjà des journaux dans Logs CloudWatch

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Découvrir des ressources

Résolution des problèmes de configuration de la télémétrie