Sentralisasi log lintas wilayah lintas akun - CloudWatch Log Amazon
Konsep sentralisasi dataMenyiapkan sentralisasi logPemantauan dan pemecahan masalah aturan sentralisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sentralisasi log lintas wilayah lintas akun

Sentralisasi data Amazon CloudWatch Logs berfungsi AWS Organizations untuk mengumpulkan data log dari beberapa akun anggota ke dalam satu repositori data menggunakan aturan sentralisasi lintas akun dan lintas wilayah. Anda menentukan aturan yang secara otomatis mereplikasi data log dari beberapa akun dan Wilayah AWS menjadi akun terpusat dalam organisasi Anda. Kemampuan ini menyederhanakan konsolidasi log untuk meningkatkan pemantauan, analisis, dan kepatuhan terpusat di seluruh infrastruktur Anda. AWS

CloudWatch Sentralisasi data log menawarkan fleksibilitas konfigurasi untuk memenuhi persyaratan operasional dan keamanan, seperti kemampuan untuk mengonfigurasi wilayah cadangan selama pengaturan aturan dalam akun tujuan untuk memastikan peningkatan ketahanan. Selain itu, Anda memiliki kontrol penuh atas perilaku enkripsi untuk grup log yang disalin dari akun sumber untuk menangani data yang awalnya dienkripsi dengan kunci KMS yang dikelola pelanggan.

catatan

Fitur sentralisasi CloudWatch Log hanya memproses data log baru yang masuk ke akun sumber setelah Anda membuat aturan sentralisasi. Data log historis (log yang ada sebelum pembuatan aturan) tidak terpusat.

Konsep sentralisasi data

Sebelum Anda mulai menggunakan sentralisasi data CloudWatch Log, biasakan diri Anda dengan konsep-konsep berikut:

Aturan sentralisasi

Konfigurasi yang mendefinisikan bagaimana data log dari akun sumber dan wilayah direplikasi ke akun tujuan dan wilayah. Aturan menentukan kriteria sumber dan pengaturan tujuan.

Akun sumber

AWS Akun tempat data log berasal. Peristiwa log dari akun sumber direplikasi ke akun tujuan berdasarkan aturan sentralisasi yang Anda tetapkan.

Akun tujuan

AWS Akun tujuan tempat data log yang direplikasi disimpan. Akun ini berfungsi sebagai lokasi terpusat untuk analisis dan pemantauan log.

Wilayah Backup

Wilayah sekunder opsional dalam akun tujuan tempat data log dapat direplikasi untuk meningkatkan ketahanan dan tujuan pemulihan bencana.

Enkripsi dalam CloudWatch Log

Data grup log selalu dienkripsi di CloudWatch Log. Secara default, CloudWatch Log menggunakan enkripsi sisi server dengan Advanced Encryption Standard Galois/Counter Mode (AES-GCM) 256-bit untuk mengenkripsi data log saat istirahat. Sebagai alternatif, Anda dapat menggunakan Layanan Manajemen AWS Kunci untuk enkripsi ini. Untuk informasi selengkapnya, lihat dokumentasi Enkripsi CloudWatch Log.

  • Cara kerja enkripsi selama sentralisasi: Sentralisasi CloudWatch log secara aktif menyalin data log pada waktu konsumsi dari akun sumber ke akun tujuan. Selama proses ini, data Anda tetap dienkripsi dalam perjalanan menggunakan kunci layanan yang AWS dimiliki. Data saat istirahat di grup log sumber dan tujuan dienkripsi menggunakan metode enkripsi pilihan Anda (kunci KMS yang dikelola atau AWS dimiliki pelanggan). Jika Anda menggunakan kunci KMS yang dikelola pelanggan di grup log tujuan Anda, tambahkan tag LogsManaged = true ke kunci kms untuk layanan Sentralisasi untuk mengaksesnya.

  • Ketika izin KMS diperlukan:

    • Jika Anda menggunakan kunci KMS yang dikelola pelanggan di akun sumber Anda, CloudWatch Log memerlukan izin KMS dalam skenario contoh berikut:

      • Manajemen Throughput: Ketika batas throughput sentralisasi tercapai, data log disimpan sementara dienkripsi dengan kunci KMS yang dikelola pelanggan Anda hingga bandwidth tersedia.

      • Perlindungan Data dan Redaksi: Ketika grup log sumber mengaktifkan kebijakan perlindungan data, CloudWatch Log memerlukan izin dekripsi untuk mengakses data log mentah untuk memusatkannya.

penting

Aturan sentralisasi dikelola oleh akun manajemen AWS Organizations atau administrator yang didelegasikan. Untuk mengecualikan grup log terenkripsi KMS yang dikelola pelanggan dari sentralisasi, konfigurasikan pengaturan aturan ke “Jangan memusatkan grup log yang dienkripsi dengan kunci KMS.” AWS

Menyiapkan sentralisasi log

Untuk menyiapkan Sentralisasi CloudWatch Log, Anda perlu mengonfigurasi aturan sentralisasi yang menentukan cara data log mengalir dari grup log di akun sumber untuk log grup di akun tujuan Anda.

Setelah aturan sentralisasi diaktifkan dan peristiwa log direplikasi ke akun tujuan, Anda dapat membuat filter metrik, langganan, dan akun pada grup log terpusat dengan kemampuan penyaringan yang ditingkatkan. Filter ini dapat menargetkan peristiwa log dari akun dan wilayah sumber tertentu, dan dapat memancarkan akun sumber dan informasi wilayah sebagai dimensi metrik. Untuk informasi selengkapnya, lihat Membuat metrik dari peristiwa log dengan menggunakan filter.

Prasyarat

  • AWS Organizations harus disiapkan dan akun sumber dan tujuan keduanya harus menjadi milik organisasi.

  • Akses tepercaya harus diaktifkan untuk CloudWatch, akun manajemen dan akun tujuan sehingga memberikan akses ke data log.

    catatan

    Disarankan untuk mengaktifkan akses tepercaya melalui konsol, yang secara otomatis membuat peran terkait layanan (SLR) yang diperlukan. Jika akses tepercaya diaktifkan melalui metode lain, peran terkait layanan perlu dibuat secara terpisah.

Menyesuaikan nama grup log tujuan

Saat membuat aturan sentralisasi, Anda dapat menyesuaikan bagaimana nama grup log tujuan disusun menggunakan atribut. Atribut ini secara otomatis diganti dengan nilai aktual saat grup log dibuat, memungkinkan Anda untuk mengatur log secara hierarkis di akun tujuan Anda. Secara default, hanya ${source.logGroup} atribut yang digunakan, yang menggabungkan semua grup log dengan nama yang sama di akun tujuan. Jika variabel tidak dapat diselesaikan, ia mewarisi nilai dari variabel induknya dalam hierarki.

Atribut yang tersedia

Anda dapat menggunakan atribut berikut dalam pola nama grup log tujuan Anda:

Atribut nama grup log tujuan
Atribut Deskripsi
${source.accountId} ID AWS akun tempat log berasal.
${source.region} Di Wilayah AWS mana log berasal.
${source.logGroup} Nama grup log asli dari akun sumber.
${source.org.id} AWS Organizations ID Anda dari akun sumber.
${source.org.ouId} ID unit organisasi dari akun sumber
${source.org.rootId} ID root organisasi
${source.org.path} Jalur organisasi lengkap dari akun ke root

Contoh

Pertahankan struktur grup log asli

Pola: /centralized/${source.accountId}${source.logGroup}

Hasil: /centralized/123456789012/aws/lambda/my-function

Atur berdasarkan akun dan wilayah

Pola: /centralized/${source.accountId}/${source.region}

Hasil: /centralized/123456789012/us-east-1

Mengatur berdasarkan struktur organisasi

Pola: /logs/${source.org.id}/${source.org.ouId}/${source.accountId}

Hasil: /logs/o-abc123/ou-xyz-12345678/123456789012

Struktur datar sederhana

Pola: /centralized-logs

Hasil: /centralized-logs

Praktik terbaik

  • Sertakan ID akun sumber untuk dengan mudah mengidentifikasi log akun mana yang berasal.

  • Sertakan wilayah sumber jika Anda memusatkan dari beberapa wilayah.

  • Struktur nama grup log tujuan berada di bawah 512 karakter. CloudWatch Log memberlakukan panjang nama grup log maksimum 512 karakter.

Membuat aturan sentralisasi

Gunakan prosedur berikut untuk membuat aturan sentralisasi yang mereplikasi data log dari akun sumber ke akun tujuan Anda.

Untuk membuat aturan sentralisasi

  1. Arahkan ke CloudWatch konsol di akun Manajemen atau Administrator Delegasi organisasi.

  2. Pilih Pengaturan.

  3. Arahkan ke tab Organisasi.

  4. Pilih Konfigurasi aturan.

  5. Tentukan detail sumber dengan menyetel bidang berikut, lalu pilih Berikutnya:

    1. Nama aturan sentralisasi: Masukkan nama unik untuk aturan sentralisasi.

    2. Akun sumber: Tentukan kriteria pemilihan sumber untuk memilih akun dari mana data telemetri akan dipusatkan. Kriteria seleksi dapat mencakup:

      • Daftar akun anggota dalam organisasi

      • Daftar unit organisasi dalam organisasi

      • Seluruh organisasi

      Anda dapat memberikan kriteria pemilihan dalam dua mode:

      • Builder: Pengalaman berbasis klik untuk menghasilkan kriteria pemilihan sumber

      • Editor: Kotak teks bentuk bebas untuk memberikan kriteria pemilihan sumber

      Sintaks yang didukung untuk kriteria pemilihan sumber:

      • Kunci yang Didukung: OrganizationId OrganizationUnitId | | AccountId | *

      • Operator yang Didukung: = | IN | OR

    3. Wilayah Sumber: Pilih daftar wilayah untuk mencari data telemetri yang akan dipusatkan.

  6. Tentukan detail tujuan dengan menyetel bidang berikut, lalu pilih Berikutnya:

    1. Akun tujuan: Pilih akun di organisasi yang bertindak sebagai tujuan utama untuk data telemetri.

    2. Wilayah Tujuan: Pilih wilayah utama yang menyimpan salinan data telemetri terpusat.

    3. Wilayah Cadangan: Secara opsional pilih wilayah yang menyimpan salinan kedua dari data telemetri terpusat.

  7. Tentukan data telemetri dengan menyetel bidang berikut, lalu pilih Berikutnya:

    1. Grup log: Pilih salah satu opsi berikut:

      • Semua grup log: Memusatkan log dari semua grup log di akun sumber.

      • Filter grup log: Memusatkan log dari subset grup log di akun sumber, cocok dengan kriteria pemilihan grup log. Anda dapat memberikan kriteria pemilihan dalam dua mode:

        • Builder: Pengalaman berbasis klik untuk menghasilkan kriteria pemilihan grup log

        • Editor: Kotak teks bentuk bebas untuk memberikan kriteria pemilihan grup log

        Sintaks yang didukung untuk kriteria pemilihan grup log:

        • Kunci yang Didukung: LogGroupName | *

        • Operator yang Didukung: = |! = | DALAM | TIDAK DI | DAN | ATAU | SUKA | TIDAK SUKA

    2. Grup Log Terenkripsi KMS

      penting

      CloudWatch aturan sentralisasi akan gagal mengirimkan log dari akun sumber ke grup log tujuan jika Kunci KMS yang disediakan dalam aturan Sentralisasi tidak mengizinkan CloudWatch Log untuk menggunakannya. Jika Anda menggunakan kunci KMS yang dikelola pelanggan di grup log tujuan Anda, tambahkan tag LogsManaged = true ke kunci kms. Untuk informasi selengkapnya, lihat Langkah 2: Tetapkan izin pada tombol KMS.

      Pilih salah satu opsi berikut:

      • Memusatkan grup log sumber yang dienkripsi dengan kunci KMS yang dikelola pelanggan menggunakan kunci KMS yang dikelola pelanggan khusus tujuan: Pusatkan peristiwa log dari grup log sumber yang dienkripsi dengan kunci KMS yang dikelola pelanggan ke grup log tujuan yang dienkripsi dengan kunci KMS yang dikelola pelanggan di akun tujuan.

        Ketika pengaturan ini dipilih, Anda juga harus mengatur yang berikut:

        • Kunci enkripsi tujuan ARN: ARN kunci KMS yang dikelola pelanggan di akun tujuan dan wilayah tujuan utama, untuk dikaitkan dengan grup log tujuan yang baru dibuat.

        • Kunci enkripsi tujuan cadangan ARN (jika wilayah cadangan dipilih): ARN kunci KMS yang dikelola pelanggan di akun tujuan dan wilayah tujuan cadangan, untuk dikaitkan dengan grup log tujuan yang baru dibuat.

        • Lewati sentralisasi ke grup log tujuan yang tidak terenkripsi (opsional): Jika grup log sudah ada tanpa kunci KMS yang dikelola pelanggan, CloudWatch tidak dapat memperbarui enkripsi. Pilih opsi ini untuk melewati sentralisasi peristiwa log dari grup log sumber yang dienkripsi dengan kunci KMS yang dikelola pelanggan ke grup log tujuan yang tidak terkait dengan kunci KMS yang dikelola pelanggan.

      • Memusatkan grup log yang dienkripsi dengan kunci KMS yang dikelola pelanggan di akun tujuan dengan kunci KMS yang AWS dimiliki: Pusatkan peristiwa log dari grup log sumber yang dienkripsi dengan kunci KMS yang dikelola pelanggan ke grup log tujuan yang baru dibuat yang dienkripsi menggunakan kunci KMS yang dimiliki. AWS

      • Jangan memusatkan grup log yang dienkripsi dengan kunci KMS yang dikelola pelanggan: Lewati sentralisasi peristiwa log dari grup log sumber yang dienkripsi dengan kunci KMS yang dikelola pelanggan.

  8. Tinjau aturan sentralisasi, secara opsional lakukan pengeditan menit-menit terakhir, dan pilih Buat kebijakan Sentralisasi.

Memodifikasi aturan sentralisasi

Gunakan prosedur berikut untuk memodifikasi aturan sentralisasi yang ada.

Untuk memodifikasi aturan sentralisasi

  1. Arahkan ke CloudWatch konsol di akun Manajemen atau Administrator Delegasi organisasi.

  2. Pilih Pengaturan.

  3. Arahkan ke tab Organisasi.

  4. Pilih Kelola aturan.

  5. Pilih aturan yang akan diperbarui dan pilih Edit.

  6. Perbarui konfigurasi aturan sesuai kebutuhan, pilih Berikutnya untuk melanjutkan setiap langkah.

  7. Pada Langkah 4, Tinjau dan konfigurasikan, pilih Perbarui kebijakan sentralisasi.

Melihat aturan sentralisasi

Gunakan prosedur berikut untuk melihat rincian aturan sentralisasi yang ada.

Untuk melihat aturan sentralisasi

  1. Arahkan ke CloudWatch konsol di akun Manajemen atau Administrator Delegasi organisasi.

  2. Pilih Pengaturan.

  3. Arahkan ke tab Organisasi.

  4. Pilih Kelola aturan.

  5. Lihat daftar semua aturan sentralisasi yang ada dan pilih nama aturan tertentu untuk melihat detailnya.

Menghapus aturan sentralisasi

Gunakan prosedur berikut untuk menghapus aturan sentralisasi yang ada.

Untuk menghapus aturan sentralisasi

  1. Arahkan ke CloudWatch konsol di akun Manajemen atau Administrator Delegasi organisasi.

  2. Pilih Pengaturan.

  3. Arahkan ke tab Organisasi.

  4. Pilih Kelola aturan.

  5. Pilih aturan yang akan dihapus dan pilih Hapus.

  6. Konfirmasikan penghapusan dan pilih Hapus.

Pemantauan dan pemecahan masalah aturan sentralisasi

Anda dapat memantau status dan kinerja aturan sentralisasi menggunakan CloudWatch metrik, konsol CloudWatch Log, dan AWS CloudTrail log. Ini membantu Anda memastikan bahwa data log direplikasi dengan sukses dan mengidentifikasi masalah apa pun dengan konfigurasi sentralisasi Anda.

CloudWatch Log menyediakan:

  1. Aturan kesehatan per aturan Sentralisasi

    1. Pilih Pengaturan.

    2. Arahkan ke tab Organisasi.

    3. Pilih Kelola aturan.

  2. Log panggilan API dengan AWS CloudTrail

  3. CloudWatch juga menerbitkan metrik untuk sentralisasi, termasuk peristiwa log yang direplikasi, kesalahan, dan pelambatan. Untuk informasi selengkapnya tentang metrik ini dan dimensinya, lihatMetrik dan dimensi sentralisasi.

Status kesehatan aturan sentralisasi

Setiap aturan sentralisasi memiliki status kesehatan yang menunjukkan apakah itu beroperasi dengan benar. Anda dapat memeriksa kesehatan aturan melalui konsol atau menggunakan API secara terprogram.

Status kesehatan aturan meliputi:

  • HEALTHY: Aturan beroperasi secara normal dan mereplikasi data log seperti yang dikonfigurasi

  • UNHEALTHY: Aturan mengalami masalah dan mungkin tidak mereplikasi data dengan benar

  • PROVISIONING: Sentralisasi untuk organisasi sedang dalam proses didirikan.

Ketika aturan ditandai sebagai TIDAK SEHAT, FailureReason bidang tersebut memberikan rincian tentang masalah spesifik yang perlu ditangani.

Memantau panggilan API sentralisasi dengan AWS CloudTrail

AWS CloudTrail log panggilan API yang dilakukan ke layanan sentralisasi, memungkinkan Anda melacak perubahan konfigurasi dan memecahkan masalah untuk akun yang menjadi anggota Anda. AWS Organizations

CloudTrail Peristiwa penting untuk sentralisasi meliputi:

  • CreateCentralizationRuleForOrganization: Ketika aturan sentralisasi baru dibuat

  • UpdateCentralizationRuleForOrganization: Ketika aturan yang ada dimodifikasi

  • DeleteCentralizationRuleForOrganization: Ketika aturan dihapus

  • GetCentralizationRuleForOrganization: Ketika rincian aturan diambil

  • ListCentralizationRulesForOrganization: Ketika aturan terdaftar

Anda dapat menggunakan CloudTrail log untuk mengaudit perubahan konfigurasi sentralisasi dan menghubungkannya dengan masalah kinerja atau kegagalan replikasi.

Rekomendasi pemantauan

Untuk memastikan sentralisasi berfungsi dengan benar, kami sarankan untuk menyiapkan CloudWatch alarm pada metrik sentralisasi kunci yang kami jual ke Metrik. CloudWatch Pemantauan proaktif ini membantu Anda mendeteksi masalah sejak dini dan mempertahankan sentralisasi log yang andal di seluruh organisasi Anda.

Metrik utama untuk dipantau meliputi:

  • IncomingCopiedBytes: Pantau volume data log yang berhasil direplikasi ke akun tujuan Anda. Penurunan mendadak atau tidak adanya metrik ini dapat mengindikasikan masalah sentralisasi.

  • CentralizationError: Siapkan alarm untuk setiap kesalahan dalam proses sentralisasi untuk mengidentifikasi dan menyelesaikan masalah dengan cepat.

  • CentralizationThrottled: Pantau peristiwa pelambatan yang dapat memengaruhi kinerja replikasi log.

Untuk daftar lengkap metrik sentralisasi yang tersedia dan dimensinya, lihat. Metrik dan dimensi sentralisasi

Jika log tidak terpusat seperti yang diharapkan, tinjau skenario umum berikut yang dapat mencegah sentralisasi log.

Data log historis

Fitur sentralisasi CloudWatch Log hanya memproses data log baru yang masuk ke akun sumber setelah Anda membuat aturan sentralisasi. Data log historis (log yang ada sebelum pembuatan aturan) tidak terpusat.

Izin kunci KMS

Aturan sentralisasi akan gagal mengirimkan log dari akun sumber ke grup log tujuan jika kunci KMS yang disediakan dalam aturan sentralisasi tidak mengizinkan CloudWatch Log untuk menggunakannya. Pastikan bahwa kebijakan kunci KMS memberikan izin yang diperlukan untuk Log. CloudWatch Untuk informasi selengkapnya, lihat Langkah 2: Tetapkan izin pada tombol KMS.

Konfigurasi kunci KMS yang Dikelola Pelanggan

Jika Anda memilih Jangan memusatkan grup log yang dienkripsi dengan kunci KMS yang Dikelola Pelanggan selama pembuatan aturan, peristiwa log dari grup log sumber yang dienkripsi dengan kunci KMS yang Dikelola Pelanggan akan dilewati dan tidak terpusat.

Ketidakcocokan enkripsi tujuan

Jika grup log tujuan sudah ada dengan konfigurasi enkripsi KMS yang berbeda dari yang ditentukan oleh aturan sentralisasi, dan resolusi konflik diatur ke SKIP, catatan akan dihapus dan DestinationEncryptionMismatch kesalahan akan dipancarkan. Misalnya, ini terjadi ketika tujuan memiliki enkripsi default tetapi aturan menentukan kunci KMS yang dikelola pelanggan.

Akses tepercaya tidak diaktifkan

Akses tepercaya harus diaktifkan AWS Organizations untuk CloudWatch akun manajemen dan akun tujuan untuk menyediakan akses ke data log.

Kriteria pemilihan sumber

Verifikasi bahwa kriteria pemilihan sumber aturan sentralisasi Anda dikonfigurasi dengan benar:

  • Akun dan wilayah: Pastikan akun sumber dan wilayah tempat log berasal disertakan dalam aturan. Grup log dari akun atau wilayah yang tidak ditentukan dalam aturan tidak akan terpusat.

  • Filter grup log: Jika Anda mengonfigurasi filter grup log, hanya grup log yang cocok dengan kriteria yang ditentukan yang akan dipusatkan. Verifikasi bahwa kriteria pemilihan grup log Anda mencakup grup log yang Anda harapkan untuk dipusatkan.

  • Keanggotaan organisasi: Akun sumber dan tujuan harus milik AWS Organizations organisasi yang sama. Akun di luar organisasi tidak dapat berpartisipasi dalam sentralisasi.

Batas kuota grup log tercapai

Jika akun tujuan telah mencapai batas kuota grup log, grup log baru tidak dapat dibuat untuk sentralisasi. Verifikasi bahwa akun tujuan memiliki kuota yang cukup untuk mengakomodasi grup log terpusat dari semua akun sumber. Anda dapat meminta kenaikan kuota jika diperlukan.

Batas panjang nama aliran log terlampaui

Nama aliran log memiliki batasan panjang maksimum. Saat sentralisasi mereplikasi aliran log ke akun tujuan, akhiran ditambahkan ke nama aliran log. Jika nama aliran log yang dihasilkan melebihi panjang maksimum yang diizinkan, catatan akan dihapus dan InvalidLogStream kesalahan akan dipancarkan ke akun pelanggan.

Aturan status kesehatan

Periksa status kesehatan aturan sentralisasi di konsol atau menggunakan GetCentralizationRuleForOrganization API. Jika aturan ditandai sebagai TIDAK SEHAT, tinjau FailureReason bidang untuk detail spesifik tentang masalah tersebut.

Untuk mendiagnosis masalah sentralisasi, tinjau status kesehatan aturan sentralisasi di konsol, periksa CloudWatch metrik untuk kesalahan dan pelambatan, dan periksa AWS CloudTrail log untuk kegagalan panggilan API. Untuk informasi selengkapnya tentang metrik sentralisasi, lihat. Metrik dan dimensi sentralisasi