Bekerja dengan aturan pemberdayaan telemetri - Amazon CloudWatch
Integrasi aturan pemberdayaan dengan AWS ConfigMemahami perilaku aturan pemberdayaanMembuat aturan pemberdayaan telemetriMengelola aturan telemetriMemecahkan masalah konfigurasi telemetri

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan aturan pemberdayaan telemetri

Anda dapat membuat aturan pengaktifan telemetri untuk mengonfigurasi koleksi telemetri secara otomatis untuk sumber daya Anda. AWS Aturan membantu Anda menstandarisasi pengumpulan telemetri di seluruh organisasi atau akun Anda dan memastikan cakupan pemantauan yang konsisten.

Integrasi aturan pemberdayaan dengan AWS Config

CloudWatch Audit dan konfigurasi telemetri terintegrasi AWS Config untuk secara otomatis menemukan sumber daya yang sesuai dengan aturan pemberdayaan Anda dan menerapkannya pada pengumpulan data telemetri Anda. Saat Anda membuat aturan pengaktifan, konfigurasi telemetri akan membuat perekam yang sesuai. AWS Config Perekam ini menyertakan item konfigurasi untuk jenis sumber daya tertentu yang Anda tentukan dalam aturan pemberdayaan.

Amazon CloudWatch menggunakan AWS Config Internal service linked recorder. Anda tidak dikenakan biaya untuk CloudWatch penggunaan CIs tersebut sebagai bagian dari Perekam Tertaut Layanan Internal.

catatan

Saat Anda membuat aturan pemberdayaan, kami menemukan sumber daya yang tidak sesuai (yang tanpa telemetri diaktifkan) melalui AWS Config Configuration Items (CIs) sebelum menyalakannya berdasarkan cakupan aturan pemberdayaan Anda. Penemuan awal sumber daya mungkin memakan waktu hingga 24 jam untuk diselesaikan dalam beberapa kasus.

Konfigurasi telemetri digunakan untuk: AWS Config

  • Temukan sumber daya di seluruh organisasi atau akun

  • Lacak perubahan konfigurasi telemetri

Memahami perilaku aturan pemberdayaan

Konfigurasi telemetri mengikuti pola tertentu saat mengevaluasi dan menerapkan aturan:

Aturan pemberdayaan dievaluasi menurut pola hierarkis. Aturan organisasi dievaluasi terlebih dahulu, kemudian aturan yang berlaku untuk unit organisasi (OUs), dan akhirnya aturan yang berlaku untuk akun individu. Aturan di tingkat organisasi memberikan telemetri dasar yang diperlukan untuk organisasi Anda. Aturan di tingkat OU dan akun dapat mengumpulkan data telemetri tambahan, tetapi mereka tidak dapat mengumpulkan lebih sedikit data telemetri. Jika aturan seperti itu dibuat, itu akan menciptakan konflik aturan.

Dalam setiap lingkup (organisasi, OU, atau akun), aturan harus mempertahankan keunikan berdasarkan jenis sumber daya, jenis telemetri, dan konfigurasi tujuan. Aturan duplikat memicu pengecualian konflik. Jika aturan yang sama ada dalam cakupan yang berbeda, seperti aturan tingkat organisasi untuk log VPC Flow CloudWatch ke dan aturan tingkat OU untuk log Aliran VPC, aturan yang lebih tinggi dalam hierarki akan diterapkan. Namun, jika ada beberapa aturan yang bertentangan, tidak ada aturan yang diterapkan.

Untuk log Aliran VPC, Telemetry Config hanya membuat log aliran baru untuk sumber daya yang cocok dengan cakupan aturan. Itu tidak menghapus atau memengaruhi log Aliran VPC yang telah dibuat sebelumnya, bahkan jika mereka berbeda dari parameter aturan saat ini. Untuk CloudWatch Log, grup log yang ada dipertahankan asalkan cocok dengan pola sumber daya.

Jika Anda memperbarui aturan pengaktifan, hanya sumber daya baru yang cocok dengan aturan yang mengadopsi konfigurasi yang diperbarui, setelan telemetri yang ada tetap tidak berubah untuk sumber daya yang ada. Jika sumber daya menjadi tidak sesuai dengan aturan yang ada karena penghapusan manual data telemetri, aturan pemberdayaan baru diadopsi setelah sumber daya dibawa kembali ke kepatuhan.

Membuat aturan pemberdayaan telemetri

Saat Anda membuat aturan pengaktifan telemetri, Anda menentukan:

  • Ruang lingkup aturan (organisasi, unit organisasi, atau akun)

  • Jenis sumber daya yang diterapkan aturan

  • Jenis telemetri untuk mengaktifkan (metrik, log, atau jejak)

  • Tag opsional untuk memfilter sumber daya mana yang dipengaruhi aturan

Untuk membuat aturan pemberdayaan telemetri

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, pilih konfigurasi Telemetri.

  3. Pilih tab Aturan Pengaktifan.

  4. Pilih Tambahkan aturan.

  5. Untuk nama Aturan, masukkan nama untuk aturan Anda.

  6. Untuk lingkup Aturan, pilih salah satu dari berikut ini:

    • Organisasi - Aturan berlaku di seluruh AWS Organizations

    • Unit organisasi - Aturan berlaku untuk OU tertentu

    • Akun - Aturan berlaku untuk satu akun

  7. Untuk Sumber data, pilih AWS layanan yang akan dikonfigurasi.

  8. Untuk jenis Telemetri, pilih jenis telemetri yang akan diaktifkan.

  9. Opsional: Tambahkan tag untuk memfilter sumber daya mana yang dipengaruhi aturan.

  10. Pilih Buat aturan.

Mengelola aturan telemetri

Setelah membuat aturan, Anda dapat mengedit atau menghapusnya. Anda juga dapat melihat sumber daya mana yang memengaruhi setiap aturan dan memantau kepatuhan aturan.

Untuk mengelola aturan yang ada

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, pilih konfigurasi Telemetri.

  3. Pilih tab Aturan Pengaktifan.

  4. Pilih aturan untuk melihat detailnya atau pilih salah satu tindakan ini:

    • Edit - Ubah pengaturan aturan

    • Hapus - Hapus aturan

Memecahkan masalah konfigurasi telemetri

Bagian ini menjelaskan masalah umum yang mungkin Anda temui saat menggunakan konfigurasi telemetri dan cara mengatasinya.

Konflik aturan dan resolusi

Ketika beberapa aturan berlaku untuk sumber daya yang sama, konfigurasi telemetri menyelesaikan konflik menggunakan prioritas ini:

  1. Aturan tingkat organisasi lebih diutamakan daripada aturan tingkat akun

  2. Pencocokan tag yang lebih spesifik lebih diutamakan daripada aturan umum

  3. Jika ada beberapa aturan yang saling bertentangan, tidak ada aturan yang diterapkan, Anda harus menyelesaikan konflik terlebih dahulu.

Masalah umum

Sumber daya tidak muncul dalam penemuan

Verifikasi bahwa:

  • Jenis sumber daya didukung

  • AWS Perekam Config diaktifkan

  • Anda memiliki izin IAM yang sesuai

Aturan tidak berlaku secara otomatis

Periksa:

  • Konfigurasi ruang lingkup aturan

  • Filter tag

catatan

Saat Anda membuat aturan pemberdayaan, kami menemukan sumber daya yang tidak sesuai (yang tanpa telemetri diaktifkan) melalui AWS Config Configuration Items (CIs) sebelum menyalakannya berdasarkan cakupan aturan pemberdayaan Anda. Penemuan awal sumber daya mungkin memakan waktu hingga 24 jam untuk diselesaikan dalam beberapa kasus.

Pertimbangan khusus layanan

Log Aliran VPC Amazon

Saat membuat log aliran:

  • Menggunakan pola default/ aws/vpc/vpc -id jika tidak ada yang ditentukan

  • Log aliran yang dibuat pelanggan yang ada dipertahankan

  • Pembaruan aturan hanya memengaruhi log aliran baru

  • Anda dapat menggunakan<vpc-id>, <account-id>makro untuk membagi grup log.

  • CloudWatch tidak membuat log aliran untuk VPCs itu sudah menelan log ke CloudWatch Log

Amazon EKS Kontrol Pesawat Logging

Saat mengaktifkan pencatatan bidang kontrol:

  • <cluster-name>Menggunakan pola grup CloudWatch log default /aws/eks/ /cluster. Amazon EKS membuat Grup Log per Cluster secara otomatis.

  • Pembaruan aturan hanya memengaruhi cluster baru atau hanya cluster yang tidak mengaktifkan jenis log cakupan

  • Dapat mengaktifkan jenis log tertentu: api, audit, authenticator, ControllerManager, scheduler

AWS Log ACL Web WAF

Saat membuat log WAF:

  • Menggunakan pola grup CloudWatch log default dan selalu awalan dengan - aws-waf-logs

  • Pembaruan aturan hanya memengaruhi Web baru ACLs atau Web yang sudah ada ACLs yang tidak mengaktifkan logging ke CloudWatch Log

  • CloudWatch tidak mengaktifkan log untuk Web ACLs yang sudah menelan log ke CloudWatch Log

Log Penyelesai Amazon Route 53

Saat mengaktifkan pencatatan kueri resolver:

  • Menggunakan pola grup CloudWatch log default /aws/route53resolver jika tidak ada yang ditentukan

  • CloudWatch tidak membuat log kueri resolver untuk VPCs itu sudah menelan log ke Log CloudWatch

  • Aturan pengaktifan mengonfigurasi pencatatan kueri Route 53 untuk cakupan aturan VPCs berdasarkan Anda. CloudWatch tidak menemukan profil Route 53 dan konfigurasi terkait.

Log Akses NLB

Saat mengaktifkan log akses:

  • Menggunakan pola pola grup CloudWatch log default dengan awalan/aws/nlb/access-logs jika tidak ada yang ditentukan

  • CloudWatch tidak mengaktifkan pengiriman log untuk NLBs yang sudah menelan log ke Log CloudWatch

Telemetri Batuan Dasar AgentCore Amazon

  • Aktifkan log dan jejak yang dipancarkan dari semua AgentCore primitif Bedrock yang tersedia seperti Runtime, Browser Tools, Code Interpreter Tools, dll. Ikuti pengalaman konsol Konfigurasi Telemetri untuk membuat aturan pengiriman log kemudian diikuti dengan membuat aturan pengiriman jejak.

  • Saat membuat aturan pengiriman jejak, Pencarian Transaksi akan diaktifkan dan kebijakan izin tambahan akan dibuat untuk memungkinkan CloudWatch X-Ray mengirim jejak berkorelasi ke grup log terkelola di akun Anda. Selain itu, kebijakan sumber daya X-Ray akan dibuat untuk memungkinkan AgentCore primitif Bedrock saat ini dan yang baru untuk mengirimkan jejak ke akun Anda.

CloudTrail Log menggunakan saluran terkait layanan

Saat mengaktifkan CloudTrail log menggunakan jalur SLC:

  • Menggunakan grup CloudWatch log terkelola aws/cloudtrail/ <event-types>

  • Konfigurasi penerusan CloudTrail Trail buatan pelanggan yang ada dipertahankan

  • CloudWatch Aturan Pengaktifan hanya menggunakan saluran terkait layanan untuk menelan log

  • Peristiwa menggunakan periode retensi yang dikonfigurasi untuk grup log

  • Untuk CloudTrail acara, sebagai bagian dari wizard pengaktifan, Anda dapat memilih setidaknya satu jenis acara untuk dicerna. CloudWatch

  • Jika peristiwa dikirimkan dengan penundaan (ditunjukkan oleh alasan tambahan DELIVERY_DELAY) dan Anda sebelumnya mengonfigurasi periode retensi yang lebih pendek, peristiwa yang tertunda mungkin hanya tersedia selama periode retensi yang lebih pendek.

  • Penting: Untuk penerapan multi-wilayah: Aturan CloudWatch pemberdayaan memerlukan konfigurasi terpisah di setiap AWS wilayah dan belum tersedia di semua wilayah. Untuk cakupan multi-wilayah yang komprehensif, pertimbangkan untuk terus menggunakan CloudTrail jalur pengiriman acara CloudWatch hingga ketersediaan regional meluas.