Sentralisasi log lintas wilayah lintas akun - CloudWatch Log Amazon
Konsep sentralisasi dataMenyiapkan sentralisasi logPemantauan sentralisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sentralisasi log lintas wilayah lintas akun

Sentralisasi data Amazon CloudWatch Logs berfungsi AWS Organizations untuk mengumpulkan data log dari beberapa akun anggota ke dalam satu repositori data menggunakan aturan sentralisasi lintas akun dan lintas wilayah. Anda menentukan aturan yang secara otomatis mereplikasi data log dari beberapa akun dan Wilayah AWS menjadi akun terpusat dalam organisasi Anda. Kemampuan ini menyederhanakan konsolidasi log untuk meningkatkan pemantauan, analisis, dan kepatuhan terpusat di seluruh infrastruktur Anda. AWS

CloudWatch Sentralisasi data log menawarkan fleksibilitas konfigurasi untuk memenuhi persyaratan operasional dan keamanan, seperti kemampuan untuk mengonfigurasi wilayah cadangan selama pengaturan aturan dalam akun tujuan untuk memastikan peningkatan ketahanan. Selain itu, Anda memiliki kontrol penuh atas perilaku enkripsi untuk grup log yang disalin dari akun sumber untuk menangani data yang awalnya dienkripsi dengan kunci KMS yang dikelola pelanggan.

Konsep sentralisasi data

Sebelum Anda mulai menggunakan sentralisasi data CloudWatch Log, biasakan diri Anda dengan konsep-konsep berikut:

Aturan sentralisasi

Konfigurasi yang mendefinisikan bagaimana data log dari akun sumber dan wilayah direplikasi ke akun tujuan dan wilayah. Aturan menentukan kriteria sumber dan pengaturan tujuan.

Akun sumber

AWS Akun tempat data log berasal. Peristiwa log dari akun sumber direplikasi ke akun tujuan berdasarkan aturan sentralisasi yang Anda tetapkan.

Akun tujuan

AWS Akun tujuan tempat data log yang direplikasi disimpan. Akun ini berfungsi sebagai lokasi terpusat untuk analisis dan pemantauan log.

Wilayah Backup

Wilayah sekunder opsional dalam akun tujuan tempat data log dapat direplikasi untuk meningkatkan ketahanan dan tujuan pemulihan bencana.

Enkripsi dalam CloudWatch Log

Data grup log selalu dienkripsi di CloudWatch Log. Secara default, CloudWatch Log menggunakan enkripsi sisi server dengan Advanced Encryption Standard Galois/Counter Mode (AES-GCM) 256-bit untuk mengenkripsi data log saat istirahat. Sebagai alternatif, Anda dapat menggunakan Layanan Manajemen AWS Kunci untuk enkripsi ini. Jika Anda melakukannya, enkripsi dilakukan dengan menggunakan kunci KMS yang AWS dimiliki atau kunci KMS yang dikelola pelanggan. Enkripsi kunci KMS menggunakan AWS KMS diaktifkan pada tingkat grup log, dengan mengaitkan kunci KMS dengan grup log, baik saat Anda membuat grup log atau setelah ada. Setelah Anda mengaitkan kunci KMS dengan grup log, semua data yang baru dicerna untuk grup log dienkripsi menggunakan kunci ini. Data ini disimpan dalam format terenkripsi selama periode retensi. CloudWatch Log mendekripsi data ini setiap kali diminta. CloudWatch Log harus memiliki izin untuk kunci KMS setiap kali data terenkripsi diminta, seperti ketika aturan sentralisasi log dijalankan terhadap akun sumber. Jika Anda menggunakan kunci KMS yang dikelola pelanggan, perbarui kunci KMS yang terkait dengan grup log sumber dan tujuan dengan tag. LogsManaged = true Untuk informasi selengkapnya, lihat kunci AWS KMS di Panduan Pengembang Layanan Manajemen AWS Kunci

Menyiapkan sentralisasi log

Untuk menyiapkan Sentralisasi CloudWatch Log, Anda perlu mengonfigurasi aturan sentralisasi yang menentukan cara data log mengalir dari grup log di akun sumber untuk log grup di akun tujuan Anda.

Setelah aturan sentralisasi diaktifkan dan peristiwa log direplikasi ke akun tujuan, Anda dapat membuat filter metrik, langganan, dan akun pada grup log terpusat dengan kemampuan penyaringan yang ditingkatkan. Filter ini dapat menargetkan peristiwa log dari akun dan wilayah sumber tertentu, dan dapat memancarkan akun sumber dan informasi wilayah sebagai dimensi metrik. Untuk informasi selengkapnya, lihat Membuat metrik dari peristiwa log dengan menggunakan filter.

Prasyarat

  • AWS Organizations harus disiapkan dan akun sumber dan tujuan keduanya harus menjadi milik organisasi.

  • Akses tepercaya harus diaktifkan untuk CloudWatch, akun manajemen dan akun tujuan sehingga memberikan akses ke data log.

Membuat aturan sentralisasi

Gunakan prosedur berikut untuk membuat aturan sentralisasi yang mereplikasi data log dari akun sumber ke akun tujuan Anda.

Untuk membuat aturan sentralisasi

  1. Arahkan ke CloudWatch konsol di akun Manajemen atau Administrator Delegasi organisasi.

  2. Pilih Pengaturan.

  3. Arahkan ke tab Organisasi.

  4. Pilih Konfigurasi aturan.

  5. Tentukan detail sumber dengan menyetel bidang berikut, lalu pilih Berikutnya:

    1. Nama aturan sentralisasi: Masukkan nama unik untuk aturan sentralisasi.

    2. Akun sumber: Tentukan kriteria pemilihan sumber untuk memilih akun dari mana data telemetri akan dipusatkan. Kriteria seleksi dapat mencakup:

      • Daftar akun anggota dalam organisasi

      • Daftar unit organisasi dalam organisasi

      • Seluruh organisasi

      Anda dapat memberikan kriteria pemilihan dalam dua mode:

      • Builder: Pengalaman berbasis klik untuk menghasilkan kriteria pemilihan sumber

      • Editor: Kotak teks bentuk bebas untuk memberikan kriteria pemilihan sumber

      Sintaks yang didukung untuk kriteria pemilihan sumber:

      • Kunci yang Didukung: OrganizationId OrganizationUnitId | | AccountId | *

      • Operator yang Didukung: = | IN | OR

    3. Wilayah Sumber: Pilih daftar wilayah untuk mencari data telemetri yang akan dipusatkan.

  6. Tentukan detail tujuan dengan menyetel bidang berikut, lalu pilih Berikutnya:

    1. Akun tujuan: Pilih akun di organisasi yang bertindak sebagai tujuan utama untuk data telemetri.

    2. Wilayah Tujuan: Pilih wilayah utama yang menyimpan salinan data telemetri terpusat.

    3. Wilayah Cadangan: Secara opsional pilih wilayah yang menyimpan salinan kedua dari data telemetri terpusat.

  7. Tentukan data telemetri dengan menyetel bidang berikut, lalu pilih Berikutnya:

    1. Grup log: Pilih salah satu opsi berikut:

      • Semua grup log: Memusatkan log dari semua grup log di akun sumber.

      • Filter grup log: Memusatkan log dari subset grup log di akun sumber, cocok dengan kriteria pemilihan grup log. Anda dapat memberikan kriteria pemilihan dalam dua mode:

        • Builder: Pengalaman berbasis klik untuk menghasilkan kriteria pemilihan grup log

        • Editor: Kotak teks bentuk bebas untuk memberikan kriteria pemilihan grup log

        Sintaks yang didukung untuk kriteria pemilihan grup log:

        • Kunci yang Didukung: LogGroupName | *

        • Operator yang Didukung: = |! = | DALAM | TIDAK DI | DAN | ATAU | SUKA | TIDAK SUKA

    2. Grup Log Terenkripsi KMS

      penting

      CloudWatch aturan sentralisasi akan gagal mengirimkan log dari akun sumber ke grup log tujuan jika Kunci KMS yang disediakan dalam aturan Sentralisasi tidak mengizinkan CloudWatch Log untuk menggunakannya. Untuk informasi selengkapnya, lihat Langkah 2: Tetapkan izin pada tombol KMS.

      Pilih salah satu opsi berikut:

      • Jangan memusatkan grup log yang dienkripsi dengan kunci KMS yang Dikelola Pelanggan: Lewati sentralisasi peristiwa log dari grup log sumber yang dienkripsi dengan Kunci KMS yang Dikelola Pelanggan.

      • Memusatkan grup log yang dienkripsi dengan kunci KMS yang Dikelola Pelanggan di akun tujuan dengan kunci KMS AWS Terkelola: Pusatkan peristiwa log dari grup log sumber yang dienkripsi dengan Kunci KMS yang Dikelola Pelanggan ke grup log tujuan yang tidak terkait dengan Kunci KMS yang Dikelola Pelanggan, tetapi gunakan kunci KMS Terkelola. AWS

        Ketika pengaturan ini dipilih, Anda juga harus mengatur yang berikut:

        • Kunci enkripsi tujuan ARN: ARN dari Kunci KMS milik akun tujuan dan wilayah tujuan utama, untuk dikaitkan dengan grup log tujuan yang baru dibuat.

        • Kunci enkripsi tujuan cadangan ARN (opsional): ARN dari Kunci KMS milik akun tujuan dan wilayah tujuan cadangan, untuk dikaitkan dengan grup log tujuan yang baru dibuat.

        catatan

        Perhatikan bahwa pengaturan ini hanya berlaku jika grup log sumber dienkripsi menggunakan Kunci KMS yang Dikelola Pelanggan dan hanya berlaku untuk grup log yang baru dibuat di akun tujuan.

  8. Tinjau aturan sentralisasi, secara opsional lakukan pengeditan menit-menit terakhir, dan pilih Buat kebijakan Sentralisasi.

Memodifikasi aturan sentralisasi

Gunakan prosedur berikut untuk memodifikasi aturan sentralisasi yang ada.

Untuk memodifikasi aturan sentralisasi

  1. Arahkan ke CloudWatch konsol di akun Manajemen atau Administrator Delegasi organisasi.

  2. Pilih Pengaturan.

  3. Arahkan ke tab Organisasi.

  4. Pilih Kelola aturan.

  5. Pilih aturan yang akan diperbarui dan pilih Edit.

  6. Perbarui konfigurasi aturan sesuai kebutuhan, pilih Berikutnya untuk melanjutkan setiap langkah.

  7. Pada Langkah 4, Tinjau dan konfigurasikan, pilih Perbarui kebijakan sentralisasi.

Melihat aturan sentralisasi

Gunakan prosedur berikut untuk melihat rincian aturan sentralisasi yang ada.

Untuk melihat aturan sentralisasi

  1. Arahkan ke CloudWatch konsol di akun Manajemen atau Administrator Delegasi organisasi.

  2. Pilih Pengaturan.

  3. Arahkan ke tab Organisasi.

  4. Pilih Kelola aturan.

  5. Lihat daftar semua aturan sentralisasi yang ada dan pilih nama aturan tertentu untuk melihat detailnya.

Menghapus aturan sentralisasi

Gunakan prosedur berikut untuk menghapus aturan sentralisasi yang ada.

Untuk menghapus aturan sentralisasi

  1. Arahkan ke CloudWatch konsol di akun Manajemen atau Administrator Delegasi organisasi.

  2. Pilih Pengaturan.

  3. Arahkan ke tab Organisasi.

  4. Pilih Kelola aturan.

  5. Pilih aturan yang akan dihapus dan pilih Hapus.

  6. Konfirmasikan penghapusan dan pilih Hapus.

Pemantauan sentralisasi

Anda dapat memantau status dan kinerja aturan sentralisasi menggunakan CloudWatch metrik, konsol CloudWatch Log, dan AWS CloudTrail log. Ini membantu Anda memastikan bahwa data log direplikasi dengan sukses dan mengidentifikasi masalah apa pun dengan konfigurasi sentralisasi Anda.

Pemantauan sentralisasi di konsol

Gunakan konsol CloudWatch Log untuk melihat status dan aktivitas aturan sentralisasi Anda.

Untuk memantau aturan sentralisasi di konsol

  1. Arahkan ke CloudWatch konsol di akun Manajemen atau Administrator Delegasi organisasi.

  2. Pilih Pengaturan.

  3. Arahkan ke tab Organisasi.

  4. Pilih Kelola aturan.

  5. Tinjau daftar aturan sentralisasi, yang menampilkan:

    • Nama aturan: Nama setiap aturan sentralisasi

    • Status aturan: Status operasional saat ini (Aktif, Tidak Aktif, Kesalahan)

    • Tanggal pembuatan: Saat aturan dibuat

    • ID akun tujuan: ID akun dari akun tujuan

    • Wilayah Tujuan: Wilayah akun tujuan

  6. Pilih nama aturan tertentu untuk melihat detail konfigurasi aturan

Pemantauan sentralisasi

Anda dapat memantau aturan sentralisasi menggunakan antarmuka konsol dan operasi API.

Kemampuan pemantauan saat ini meliputi:

  • Status kesehatan aturan: Pantau kesehatan aturan sentralisasi secara keseluruhan melalui konsol atau API GetCentralizationRuleForOrganization

  • Konfigurasi aturan: Tinjau pengaturan aturan dan stempel waktu pembaruan terakhir

  • Alasan kegagalan: Lihat informasi kegagalan terperinci saat aturan ditandai sebagai TIDAK SEHAT

  • Aktivitas API: Lacak panggilan API sentralisasi melalui log CloudTrail

Pemantauan aturan kesehatan

Setiap aturan sentralisasi memiliki status kesehatan yang menunjukkan apakah itu beroperasi dengan benar. Anda dapat memeriksa kesehatan aturan melalui konsol atau menggunakan API secara terprogram.

Status kesehatan aturan meliputi:

  • HEALTHY: Aturan beroperasi secara normal dan mereplikasi data log seperti yang dikonfigurasi

  • UNHEALTHY: Aturan mengalami masalah dan mungkin tidak mereplikasi data dengan benar

  • PROVISIONING: Sentralisasi untuk organisasi sedang dalam proses didirikan.

Ketika aturan ditandai sebagai TIDAK SEHAT, FailureReason bidang tersebut memberikan rincian tentang masalah spesifik yang perlu ditangani.

Memantau panggilan API sentralisasi dengan AWS CloudTrail

AWS CloudTrail log panggilan API yang dilakukan ke layanan sentralisasi, memungkinkan Anda melacak perubahan konfigurasi dan memecahkan masalah untuk akun yang menjadi anggota Anda. AWS Organizations

CloudTrail Peristiwa penting untuk sentralisasi meliputi:

  • CreateCentralizationRuleForOrganization: Ketika aturan sentralisasi baru dibuat

  • UpdateCentralizationRuleForOrganization: Ketika aturan yang ada dimodifikasi

  • DeleteCentralizationRuleForOrganization: Ketika aturan dihapus

  • GetCentralizationRuleForOrganization: Ketika rincian aturan diambil

  • ListCentralizationRulesForOrganization: Ketika aturan terdaftar

Anda dapat menggunakan CloudTrail log untuk mengaudit perubahan konfigurasi sentralisasi dan menghubungkannya dengan masalah kinerja atau kegagalan replikasi.