View a markdown version of this page

Aturan pemberdayaan telemetri - Amazon CloudWatch
Bagaimana aturan bekerjaMembuat aturan pemberdayaan telemetriMengelola aturan telemetriSumber data yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aturan pemberdayaan telemetri

Anda dapat membuat aturan pengaktifan telemetri untuk mengonfigurasi koleksi telemetri secara otomatis untuk sumber daya Anda. AWS Aturan membantu Anda menstandarisasi pengumpulan telemetri di seluruh organisasi atau akun Anda dan memastikan cakupan pemantauan yang konsisten.

Bagaimana aturan bekerja

Konfigurasi telemetri mengikuti pola tertentu saat mengevaluasi dan menerapkan aturan.

Hirarki evaluasi aturan

Aturan pemberdayaan dievaluasi menurut pola hierarkis. Aturan organisasi dievaluasi terlebih dahulu, kemudian aturan yang berlaku untuk unit organisasi (OUs), dan akhirnya aturan yang berlaku untuk akun individu. Aturan di tingkat organisasi memberikan telemetri dasar yang diperlukan untuk organisasi Anda. Aturan di tingkat OU dan akun dapat mengumpulkan data telemetri tambahan, tetapi mereka tidak dapat mengumpulkan lebih sedikit data telemetri. Jika aturan seperti itu dibuat, itu akan menciptakan konflik aturan.

Dalam setiap lingkup (organisasi, OU, atau akun), aturan harus mempertahankan keunikan berdasarkan jenis sumber daya, jenis telemetri, dan konfigurasi tujuan. Aturan duplikat memicu pengecualian konflik. Jika aturan yang sama ada dalam cakupan yang berbeda, seperti aturan tingkat organisasi untuk Amazon VPC Flow log CloudWatch ke dan aturan tingkat OU untuk log Aliran VPC Amazon, aturan yang lebih tinggi dalam hierarki akan diterapkan. Namun, jika ada beberapa aturan yang saling bertentangan, tidak ada aturan yang diterapkan.

Ketika beberapa aturan berlaku untuk sumber daya yang sama, konfigurasi telemetri menyelesaikan konflik menggunakan prioritas ini:

  1. Aturan tingkat organisasi lebih diutamakan daripada aturan tingkat akun

  2. Pencocokan tag yang lebih spesifik lebih diutamakan daripada aturan umum

  3. Jika ada beberapa aturan yang saling bertentangan, tidak ada aturan yang diterapkan. Anda harus menyelesaikan konflik terlebih dahulu.

Perilaku aturan pada pembaruan

Jika Anda memperbarui aturan pengaktifan, hanya sumber daya baru yang cocok dengan aturan yang mengadopsi konfigurasi yang diperbarui. Pengaturan telemetri yang ada tetap tidak berubah untuk sumber daya yang ada. Jika sumber daya menjadi tidak sesuai dengan aturan yang ada karena penghapusan manual data telemetri, aturan pemberdayaan baru diadopsi setelah sumber daya dibawa kembali ke kepatuhan.

Untuk log Amazon VPC Flow, konfigurasi telemetri hanya membuat log aliran baru untuk sumber daya yang cocok dengan cakupan aturan. Itu tidak menghapus atau memengaruhi log Aliran VPC Amazon yang telah dibuat sebelumnya, meskipun berbeda dari parameter aturan saat ini. Untuk CloudWatch Log, grup log yang ada dipertahankan asalkan cocok dengan pola sumber daya.

Integrasi dengan AWS Config

CloudWatch Audit dan konfigurasi telemetri terintegrasi AWS Config untuk secara otomatis menemukan sumber daya yang sesuai dengan aturan pemberdayaan Anda dan menerapkannya pada pengumpulan data telemetri Anda. Saat Anda membuat aturan pengaktifan, konfigurasi telemetri akan membuat perekam yang sesuai. AWS Config Perekam ini menyertakan item konfigurasi untuk jenis sumber daya tertentu yang Anda tentukan dalam aturan pemberdayaan.

Amazon CloudWatch menggunakan AWS Config Internal service linked recorder. Anda tidak dikenakan biaya untuk CloudWatch penggunaan CIs tersebut sebagai bagian dari Perekam Tertaut Layanan Internal.

catatan

Saat Anda membuat aturan pemberdayaan, kami menemukan sumber daya yang tidak sesuai (yang tanpa telemetri diaktifkan) melalui AWS Config Configuration Items (CIs) sebelum menyalakannya berdasarkan cakupan aturan pemberdayaan Anda. Penemuan awal sumber daya mungkin memakan waktu hingga 24 jam untuk diselesaikan dalam beberapa kasus.

Konfigurasi telemetri digunakan untuk: AWS Config

  • Temukan sumber daya di seluruh organisasi atau akun

  • Lacak perubahan konfigurasi telemetri

Aturan di seluruh Wilayah

Saat Anda membuat aturan dengan Wilayah target, Wilayah saat ini menjadi Wilayah asal untuk aturan tersebut. Aturan secara otomatis direplikasi ke Wilayah spoke yang Anda pilih.

Konsep kunci untuk aturan Multi-wilayah:

  • Aturan yang direplikasi tidak dapat diedit atau dihapus di Regions spoke. Anda harus menavigasi ke Wilayah beranda untuk memodifikasi atau menghapusnya.

  • Jika Anda memilih Semua wilayah, Wilayah baru secara otomatis disertakan saat Anda ikut serta.

  • Sistem secara berkala merekonsiliasi aturan di seluruh Wilayah untuk memperbaiki penyimpangan antara Wilayah asal dan Wilayah berbicara.

  • Tag yang diterapkan pada aturan di wilayah asal direplikasi untuk berbicara Daerah.

Saat aturan yang direplikasi dibuat, diperbarui, atau dihapus di Wilayah spoke, AWS CloudTrail merekam AwsServiceEvent di Wilayah spoke. Peristiwa ini dicatat observabilityadmin.amazonaws.com sebagai layanan pemanggilan dan termasuk aturan ARN di Wilayah spoke. Anda dapat menggunakan peristiwa ini untuk mengaudit aktivitas replikasi aturan Multi-wilayah.

Berikut ini adalah contoh AWS CloudTrail peristiwa yang direkam ketika aturan direplikasi dibuat di Region spoke:

{
    "eventVersion": "1.11",
    "userIdentity": {
        "accountId": "123456789012",
        "invokedBy": "observabilityadmin.amazonaws.com"
    },
    "eventTime": "2026-04-06T19:50:37Z",
    "eventSource": "observabilityadmin.amazonaws.com",
    "eventName": "CreateTelemetryRule",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "observabilityadmin.amazonaws.com",
    "userAgent": "observabilityadmin.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "eventID": "435d6da2-d099-4775-8944-1e039418de6f",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::ObservabilityAdmin::TelemetryRule",
            "ARN": "arn:aws:observabilityadmin:us-east-1:123456789012:telemetry-rule/my-multi-region-rule"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

eventNameBidang mencerminkan operasi yang dilakukan pada aturan yang direplikasi:CreateTelemetryRule,UpdateTelemetryRule, atauDeleteTelemetryRule. eventTypeItu selalu AwsServiceEvent karena operasi dilakukan oleh ObservabilityAdmin layanan atas nama pelanggan, bukan oleh panggilan API pelanggan langsung.

Membuat aturan pemberdayaan telemetri

Saat Anda membuat aturan pengaktifan telemetri, Anda menentukan:

  • Ruang lingkup aturan (organisasi, unit organisasi, atau akun)

  • Jenis sumber daya yang diterapkan aturan

  • Jenis telemetri untuk mengaktifkan (metrik, log, atau jejak)

  • Tag opsional untuk memfilter sumber daya mana yang dipengaruhi aturan

  • Wilayah target opsional untuk mereplikasi aturan di beberapa Wilayah

Untuk membuat aturan pemberdayaan telemetri

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, pilih Tertelan.

  3. Pilih tab Aturan Pengaktifan.

  4. Pilih Tambahkan aturan.

  5. Untuk nama Aturan, masukkan nama untuk aturan Anda.

  6. Untuk lingkup Aturan, pilih salah satu dari berikut ini:

    • Organisasi — Aturan berlaku di seluruh AWS Organizations

    • Unit organisasi - Aturan berlaku untuk OU tertentu

    • Akun — Aturan berlaku untuk satu akun

  7. Untuk Sumber data, pilih AWS layanan yang akan dikonfigurasi.

  8. Untuk jenis Telemetri, pilih jenis telemetri yang akan diaktifkan.

  9. (Opsional) Tambahkan tag untuk memfilter sumber daya mana yang dipengaruhi aturan.

  10. (Opsional) Untuk wilayah Target, pilih Wilayah tempat Anda ingin aturan ini diterapkan. Wilayah saat ini secara otomatis ditetapkan sebagai Wilayah asal untuk aturan tersebut. Jika Anda memilih Semua wilayah, Wilayah baru secara otomatis disertakan saat Anda ikut serta.

  11. Pilih Buat aturan.

Mengelola aturan telemetri

Setelah membuat aturan, Anda dapat mengedit atau menghapusnya. Anda juga dapat melihat sumber daya mana yang memengaruhi setiap aturan dan memantau kepatuhan aturan.

Untuk mengelola aturan yang ada

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, pilih Tertelan.

  3. Pilih tab Aturan Pengaktifan.

  4. Pilih aturan untuk melihat detailnya atau pilih salah satu tindakan ini:

    • Edit aturan - Ubah pengaturan aturan

    • Hapus — Hapus aturan

Mengelola aturan yang direplikasi

Saat Anda melihat aturan yang direplikasi di Region spoke, konsol akan menampilkan peringatan informasi yang menunjukkan bahwa aturan tersebut direplikasi dari Wilayah lain. Aturan Edit dan tindakan Hapus dinonaktifkan untuk aturan yang direplikasi di Wilayah spoke.

Untuk mengedit atau menghapus aturan yang direplikasi, navigasikan ke Wilayah beranda tempat aturan awalnya dibuat. Wilayah rumah ditampilkan dalam peringatan informasi.

Anda dapat menambahkan atau memodifikasi tag pada aturan yang direplikasi di Regions spoke. Perubahan tag yang dibuat di Wilayah spoke hanya berlaku untuk salinan lokal aturan dan tidak direplikasi kembali ke Wilayah asal.

Sumber data yang didukung

Sumber data berikut didukung oleh aturan pemberdayaan telemetri. Setiap sumber data memiliki perilaku dan pertimbangan konfigurasi yang spesifik.

Log Aliran VPC Amazon

Saat membuat log aliran:

  • Menggunakan pola default/ aws/vpc/vpc -id jika tidak ada yang ditentukan

  • Log aliran yang dibuat pelanggan yang ada dipertahankan

  • Pembaruan aturan hanya memengaruhi log aliran baru

  • Anda dapat menggunakan<vpc-id>, <account-id>makro untuk membagi grup log.

  • CloudWatch tidak membuat log aliran untuk VPCs yang sudah menelan log ke CloudWatch Log

Log Pesawat Kontrol Amazon EKS

Saat mengaktifkan pencatatan bidang kontrol:

  • <cluster-name>Menggunakan pola grup CloudWatch log default /aws/eks/ /cluster. Amazon EKS membuat Grup Log per Cluster secara otomatis.

  • Pembaruan aturan hanya memengaruhi cluster baru atau hanya cluster yang tidak mengaktifkan jenis log cakupan

  • Dapat mengaktifkan jenis log tertentu: api, audit, authenticator, ControllerManager, scheduler

AWS Log ACL Web WAF

Saat membuat log WAF:

  • Menggunakan pola grup CloudWatch log default dan selalu awalan dengan - aws-waf-logs

  • Pembaruan aturan hanya memengaruhi Web baru ACLs atau Web yang sudah ada ACLs yang tidak mengaktifkan logging ke CloudWatch Log

  • CloudWatch tidak mengaktifkan log untuk Web ACLs yang sudah menelan log ke CloudWatch Log

Log Penyelesai Amazon Route 53

Saat mengaktifkan pencatatan kueri resolver:

  • Menggunakan pola grup CloudWatch log default /aws/route53resolver jika tidak ada yang ditentukan

  • Anda dapat menggunakan <account-id>makro untuk membagi grup log.

  • CloudWatch tidak membuat log kueri resolver untuk VPCs itu sudah menelan log ke Log CloudWatch

  • Aturan pengaktifan mengonfigurasi pencatatan kueri Route 53 untuk Anda VPCs berdasarkan cakupan aturan. CloudWatch tidak menemukan profil Route 53 dan konfigurasi terkait.

Log Akses NLB

Saat mengaktifkan log akses:

  • Menggunakan pola grup CloudWatch log default dengan awalan/aws/nlb/access-logs jika tidak ada yang ditentukan

  • CloudWatch tidak mengaktifkan pengiriman log untuk NLBs yang sudah menelan log ke Log CloudWatch

CloudTrail Log menggunakan saluran terkait layanan

Saat mengaktifkan CloudTrail log menggunakan jalur SLC:

  • Menggunakan grup CloudWatch log terkelola aws/cloudtrail/ <event-types>

  • Konfigurasi penerusan CloudTrail Trail buatan pelanggan yang ada dipertahankan

  • CloudWatch Aturan Pengaktifan hanya menggunakan saluran terkait layanan untuk menelan log

  • Peristiwa menggunakan periode retensi yang dikonfigurasi untuk grup log

  • Untuk CloudTrail acara, sebagai bagian dari wizard pengaktifan, Anda dapat memilih setidaknya satu jenis acara untuk dicerna. CloudWatch

  • Jika peristiwa dikirimkan dengan penundaan (ditunjukkan oleh alasan tambahan DELIVERY_DELAY) dan Anda sebelumnya mengonfigurasi periode retensi yang lebih pendek, peristiwa yang tertunda mungkin hanya tersedia selama periode retensi yang lebih pendek.

Tip

Untuk mengonfigurasi CloudTrail log di beberapa Wilayah, gunakan pemilih wilayah Target saat membuat aturan pengaktifan. Ini mereplikasi aturan ke Wilayah yang Anda pilih secara otomatis dari Wilayah beranda.

Metrik Terperinci Amazon EC2 Amazon

Saat mengaktifkan pemantauan terperinci:

  • Perubahan status instans dapat memengaruhi pengumpulan metrik

AWS Security Hub

Saat mengaktifkan pencatatan Security Hub:

  • Menggunakan pola grup CloudWatch log terkelola aws/securityhub_cspm/findings

  • CloudWatch tidak mengaktifkan pengiriman log untuk Security Hub yang sudah menelan log ke Log terkelola CloudWatch

Amazon Bedrock AgentCore

  • Aktifkan log dan jejak yang dipancarkan dari semua AgentCore primitif Bedrock yang tersedia seperti Runtime, Browser Tools, Code Interpreter Tools, dll. Ikuti pengalaman konsol Konfigurasi Telemetri untuk membuat aturan pengiriman log kemudian diikuti dengan membuat aturan pengiriman jejak.

  • Saat membuat aturan pengiriman jejak, Pencarian Transaksi akan diaktifkan dan kebijakan izin tambahan akan dibuat untuk memungkinkan CloudWatch X-Ray mengirim jejak berkorelasi ke grup log terkelola di akun Anda. Selain itu, kebijakan sumber daya X-Ray akan dibuat untuk memungkinkan AgentCore primitif Bedrock saat ini dan yang baru untuk mengirimkan jejak ke akun Anda.

Gerbang Agentcore Batuan Dasar Amazon

Saat mengaktifkan pencatatan Bedrock Agentcore Gateway:

  • Menggunakan pola grup CloudWatch log default/ aws/bedrock/agentcore jika tidak ada yang ditentukan

  • CloudWatch tidak mengaktifkan pengiriman log untuk Bedrock Agentcore Gateway yang sudah menelan log ke Log CloudWatch

Memori Agentcore Amazon Bedrock

Saat mengaktifkan logging Memori Bedrock Agentcore:

  • Menggunakan pola grup CloudWatch log default/ aws/bedrock/agentcore jika tidak ada yang ditentukan

  • CloudWatch tidak mengaktifkan pengiriman log untuk Memori Agentcore Bedrock yang sudah menelan log ke Log CloudWatch

CloudFront Distribusi Amazon

Saat mengaktifkan Pencatatan CloudFront distribusi:

  • CloudWatch tidak mengaktifkan pengiriman log untuk CloudFront distribusi yang sudah menelan log ke Log CloudWatch

Metrik Kluster MSK Amazon

Saat mengaktifkan metrik MSK Cluster:

  • Hanya mendukung jenis telemetri METRICS

  • Anda dapat mengonfigurasi tingkat pemantauan yang ditingkatkan (PER_BROKER, PER_TOPIC_PER_BROKER, dll.) Untuk mengontrol perincian metrik yang dikumpulkan

  • Aturan dengan tingkat pemantauan yang ditingkatkan berbeda dapat hidup berdampingan untuk cluster MSK yang sama

OpenTelemetry Metrik Pengayaan

Saat mengaktifkan metrik OpenTelemetry Pengayaan:

  • Hanya mendukung jenis telemetri METRICS

  • Ini adalah pemberdayaan tingkat akun tanpa tujuan yang dapat dikonfigurasi pengguna

  • Kriteria pemilihan tingkat sumber daya tidak didukung

Identitas Beban Kerja Amazon Bedrock Agentcore

Saat mengaktifkan pencatatan Identitas Beban Kerja Agentcore Batuan Dasar Dasar:

  • Menggunakan pola grup CloudWatch log default/ aws/bedrock/agentcore jika tidak ada yang ditentukan

  • CloudWatch tidak mengaktifkan pengiriman log untuk Identitas Beban Kerja Bedrock Agentcore yang sudah menelan log ke Log CloudWatch