Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# CloudWatch indagini
La funzionalità di CloudWatch indagine è un assistente generativo basato sull'intelligenza artificiale che può aiutarti a rispondere agli incidenti del tuo sistema. Utilizza l'IA generativa per scansionare la telemetria del sistema e visualizzare rapidamente dati e suggerimenti di telemetria che potrebbero essere correlati al problema. Questi suggerimenti includono metriche, log, eventi di implementazione e ipotesi sulle cause principali con rappresentazioni visive quando sono coinvolte più risorse. Per un elenco completo dei tipi di dati che l'assistente IA può far emergere, consulta [Informazioni che CloudWatch le indagini possono emergere nelle indagini](Investigations-SuggestionTypes.md).
È possibile condurre indagini senza alcuna configurazione aggiuntiva nella risoluzione dei problemi operativi. CloudWatch Quando si avvia un'indagine, CloudWatch investigations utilizza le autorizzazioni associate all'utente che ha effettuato l'accesso per esaminare e analizzare le risorse associate all'allarme, alle metriche o alla query di Logs Insights e fornire suggerimenti per la risoluzione dei problemi. L'indagine non crea risorse e ogni azione intrapresa dalle CloudWatch indagini viene registrata per la tracciabilità. CloudTrail L'indagine fornisce le seguenti informazioni per aiutarti nella risoluzione dei problemi operativi:
+ Visualizza osservazioni, suggerimenti e ipotesi generati dall'IA
+ Accedi alle rappresentazioni visive di ipotesi basate su più risorse
+ Consulta le spiegazioni in linguaggio naturale e l'analisi delle cause principali
+ Accedi all'analisi AI dei dati di telemetria, tra cui metriche, log, eventi di implementazione, eventi, eventi di modifica CloudTrail , dati di AWS Health tracciamento X-Ray e query Logs Insights CloudWatch
La configurazione delle indagini ti fornirà CloudWatch indagini più approfondite.
Quando configuri CloudWatch le indagini, le indagini hanno le seguenti funzionalità aggiuntive:
+ Accettare o ignorare suggerimenti e osservazioni
Per ogni suggerimento, decidi se aggiungerlo agli esiti dell'indagine o eliminarlo. Questo aiuta CloudWatch le indagini a perfezionarsi e ad individuare la causa principale del problema. CloudWatch le indagini possono aiutarti a trovare la causa principale senza dover identificare e interrogare manualmente più metriche e altre fonti di telemetria ed eventi. Un problema la cui risoluzione avrebbe richiesto ore di ricerca e il passaggio da una console all'altra può essere risolto in un tempo molto più breve.
+ Configurazione dell'accesso multi-account
Utilizza l'osservabilità CloudWatch tra account per consentire alle indagini di raccogliere dati da altri account di origine.
+ Aggiunta di nuove origini di telemetria all'indagine
L'aggiunta di dati dalla cronologia CloudTrail degli eventi aiuta CloudWatch le indagini ad associare i problemi agli eventi di cambiamento. L'aggiunta di X-Ray migliora la topologia e la mappatura delle applicazioni. Puoi anche aggiungere dati da Application Signals per approfondire lo stato delle tue applicazioni e dei tuoi servizi, combinando la telemetria con le altre origini di telemetria. Se utilizzi Amazon EKS Clusters, puoi fornire alle CloudWatch indagini l'accesso alle tue risorse EKS, per fornire informazioni più granulari sulle risorse del cluster che potrebbero essere coinvolte nel problema in esame.
+ Aggiunta di note o commenti agli esiti delle indagini
Essere in grado di fornire un contesto aggiuntivo agli esiti delle indagini per fornire una prospettiva durante la rendicontazione o l'audit.
+ Esecuzione delle correzioni suggerite dal runbook
CloudWatch le indagini potrebbero suggerire di utilizzare un runbook di Automation per tentare di risolvere automaticamente il problema. Automazione è una funzionalità di Systems Manager, un altro servizio AWS . I runbook di Automazione definiscono una serie di passaggi, od operazioni, da eseguire sulle risorse selezionate. Ogni runbook è progettato per risolvere un problema specifico.
+ Condivisione dei risultati delle indagini con i membri del team
Senza ulteriori informazioni sulla configurazione, le indagini vengono collegate alla sessione dell'utente che ha effettuato l'accesso. Gli altri utenti non possono visualizzare i risultati dell'indagine o continuare l'indagine. Dopo aver configurato CloudWatch le indagini, le indagini sono disponibili per tutti gli utenti dell'account a cui sono state concesse le autorizzazioni richieste.
+ Conclusione, archiviazione o riapertura manuali dell'indagine
Prima che CloudWatch le indagini vengano configurate nel tuo account, le indagini vengono eseguite una sola volta e poi completate. Una volta CloudWatch configurate le indagini, le indagini possono continuare fino alla risoluzione. Una volta risolto il problema, l'indagine viene archiviata. Se hai risolto il problema ma le condizioni che hanno causato l'indagine sussistono ancora, puoi chiudere l'indagine manualmente. Se le condizioni riemergono, puoi riavviare (o riaprire) l'indagine.
+ Rapporti sulle indagini
Una volta completata un'indagine, puoi generare un rapporto di indagine completo che riporta automaticamente tutti i risultati dell'indagine, gli eventi temporali e le azioni consigliate.
La configurazione delle CloudWatch indagini crea un gruppo di indagine nel tuo account. Ogni account può avere un gruppo di indagine con un massimo di 2 indagini attive simultanee nel gruppo di indagine. Ogni mese, ciascun account può creare fino a 150 indagini avanzate con analisi IA. I gruppi di indagine sono configurazioni a livello di account. Quando in un account viene creato un gruppo di indagine, questo viene utilizzato per tutte le indagini avviate nell'account.
**Nota**
Quando configuri CloudWatch le indagini, CloudWatch utilizzerà il ruolo IAM fornito per scansionare periodicamente le risorse del tuo account allo scopo di mappare le risorse e la telemetria. Alcuni servizi come Lambda richiameranno l'API di decrittografia KMS CloudWatch per conto di determinate chiamate API relative alla descrizione o all'elenco delle risorse. Questo processo in background viene eseguito per garantire che la topologia rifletta lo stato più recente dell'account e delle sue dipendenze. Questo aggiornamento avviene indipendentemente dal fatto che un'indagine sia attiva o meno.
**Topics**
+ [Metodi per creare un'indagine](creation-methods.md)
+ [Comprensione delle visualizzazioni delle ipotesi](Investigations-HypothesisVisualization.md)
+ [In che modo le indagini trovano dati da cui trarre suggerimenti CloudWatch](data-usage-considerations.md)
+ [Costi associati alle indagini CloudWatch](investigations-costs.md)
+ [Informazioni che CloudWatch le indagini possono emergere nelle indagini](Investigations-SuggestionTypes.md)
+ [AWS servizi in cui sono supportate le indagini](Investigations-Services.md)
+ [Condurre un' CloudWatch indagine senza configurazioni aggiuntive](Investigations-Ephemeral.md)
+ [Configurare le CloudWatch indagini](Investigations-GetStarted.md)
+ [(Consigliato) Best practice per migliorare le indagini](Investigations-RecommendedServices.md)
+ [Esamina i problemi operativi nel tuo ambiente](Investigations-Investigate.md)
+ [Indagini tra account](Investigations-cross-account.md)
+ [Generazione di report sugli incidenti](Investigations-Incident-Reports.md)
+ [Integrazioni con altri sistemi](Investigations-Integrations.md)
+ [Sicurezza nelle CloudWatch indagini](Investigations-Security.md)
+ [CloudWatch conservazione dei dati delle indagini](Investigations-Retention.md)
+ [Risoluzione dei problemi](Investigations-Troubleshooting.md)
# Metodi per creare un'indagine
È possibile creare indagini nei modi seguenti:
+ AWS Dall'interno di molte console. **Ad esempio, puoi avviare un'indagine quando visualizzi una CloudWatch metrica o un allarme nella CloudWatch console o dalla scheda Monitor di una funzione Lambda nella pagina delle proprietà.**
+ Seguendo una richiesta in chat con le indagini. CloudWatch Puoi iniziare ponendo domande come “Perché questa funzione Lambda oggi è lenta?” o “Cosa c'è che non va nel mio database?”
+ Configurando un'azione di CloudWatch allarme per avviare automaticamente un'indagine quando l'allarme entra nello stato ALARM.
Dopo aver avviato un'indagine con uno di questi metodi, CloudWatch Investigations analizza il sistema per trovare dati di telemetria che potrebbero essere pertinenti alla situazione e genera anche ipotesi basate su ciò che rileva. CloudWatch le indagini fanno emergere sia i dati di telemetria che le ipotesi. In qualsiasi momento, dopo aver accettato un'ipotesi, è possibile generare un rapporto completo sugli incidenti che acquisisce automaticamente i risultati delle indagini correnti, gli eventi cronologici e le azioni consigliate.
# Comprensione delle visualizzazioni delle ipotesi
Quando CloudWatch le indagini generano ipotesi che includono più risorse, la visualizzazione dell'indagine fornisce una rappresentazione visiva delle relazioni causali tra tali risorse. Questa visualizzazione schematica delle ipotesi consente di comprendere rapidamente problemi complessi senza leggere lunghe spiegazioni testuali.
La visualizzazione delle ipotesi mostra le risorse come nodi collegati dai percorsi identificati dalle indagini. CloudWatch Ad esempio, se un'ipotesi prevede che la funzione Lambda A influenzi la tabella B di DynamoDB, saranno rappresentati due nodi che mostrano la relazione.
**Funzionalità principali delle visualizzazioni delle ipotesi:**
+ **Nodi di risorse**: ogni AWS risorsa menzionata nell'ipotesi appare come un nodo distinto, etichettato con il tipo e l'identificatore di risorsa.
+ **Connessioni**: le connessioni tra i nodi indicano le relazioni identificate dalle CloudWatch indagini.
+ **Contesto visivo**: il layout consente di comprendere a colpo d'occhio la portata e la complessità dei problemi relativi a più risorse.
Questa rappresentazione visiva è particolarmente utile per:
+ Comprendere gli errori dei sistemi distribuiti che interessano più servizi
+ Identificare le relazioni di impatto a monte e a valle
+ Valutare rapidamente la portata di un problema prima di passare a un'analisi dettagliata
**Nota**
Le visualizzazioni delle ipotesi vengono generate automaticamente quando le CloudWatch indagini identificano relazioni causali tra più risorse.
# In che modo le indagini trovano dati da cui trarre suggerimenti CloudWatch
CloudWatch investigations utilizza un'ampia gamma di fonti di dati per determinare le relazioni di dipendenza e pianificare i percorsi di analisi, comprese le configurazioni dei dati di telemetria, le configurazioni dei servizi e le relazioni osservate. Queste relazioni di dipendenza si trovano più facilmente se si utilizzano Application Signals e. CloudWatch AWS X-Ray Quando Application Signals e X-Ray non sono disponibili, CloudWatch le indagini cercheranno di dedurre le relazioni di dipendenza attraverso anomalie telemetriche concomitanti.
Sebbene CloudWatch le indagini continueranno ad analizzare i dati di telemetria e a fornire suggerimenti senza che queste funzionalità siano abilitate, consigliamo vivamente di abilitare i servizi e le funzionalità elencati in per una qualità e prestazioni ottimali delle indagini. [(Consigliato) Best practice per migliorare le indagini](Investigations-RecommendedServices.md) CloudWatch
**Importante**
Per aiutare CloudWatch le indagini a fornire le informazioni più pertinenti, potremmo utilizzare determinati contenuti delle CloudWatch indagini, tra cui, a titolo esemplificativo, le domande poste dall'utente alle CloudWatch indagini e relative risposte, approfondimenti, interazioni con gli utenti, telemetria e metadati per migliorare il servizio. La tua fiducia, la tua privacy e la sicurezza dei tuoi contenuti sono le nostre maggiori priorità. Per ulteriori informazioni, consulta i [Termini del servizio **AWS **](https://aws.amazon.com/service-terms/) e la [Policy sull'IA responsabile di **AWS **](https://aws.amazon.com/ai/responsible-ai/policy/).
Puoi scegliere di non consentire la raccolta dei tuoi contenuti per sviluppare o migliorare la qualità delle CloudWatch indagini creando una politica di disattivazione dei servizi di intelligenza artificiale per AI Operations (aiops). CloudWatch Per ulteriori informazioni, consulta le [politiche di disattivazione dei servizi di intelligenza artificiale](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) nella Guida per l'utente. AWS Organizations
# Costi associati alle indagini CloudWatch
CloudWatch le indagini potrebbero comportare l'utilizzo del AWS servizio, tra cui telemetria e interrogazioni sulle risorse e altro utilizzo delle API. Sebbene la maggior parte di questi dati non venga addebitata sulla AWS fattura, esistono delle eccezioni, tra cui, a titolo esemplificativo ma non esaustivo:
+ CloudWatch APIs (`ListMetrics`, `GetDashboard``ListDashboards`, e`GetInsightRuleReport`)
+ X-Ray APIs (`GetServiceGraph``GetTraceSummaries`, e) `BatchGetTraces`
+ CloudWatch investigations utilizza anche AWS Cloud Control APIs , che potrebbe comportare l'utilizzo di AWS servizi come Amazon Kinesis Data Streams e. AWS Lambda
+ Inoltre, se scegli di integrare CloudWatch le indagini nelle applicazioni di chat, potresti dover utilizzare Amazon Simple Notification Service.
Per l'utilizzo di questi servizi oltre il piano AWS gratuito, verranno visualizzati gli addebiti sulla bolletta. AWS Si prevede che tali costi siano minimi per il normale utilizzo delle CloudWatch indagini. Per ulteriori informazioni, consulta i [prezzi di Flussi di dati Amazon Kinesis](https://aws.amazon.com/kinesis/data-streams/pricing/), i [prezzi AWS Lambda di Automazione](https://aws.amazon.com/lambda/pricing/) e i [prezzi di Amazon Simple Notification Service](https://aws.amazon.com/sns/pricing/).
# Informazioni che CloudWatch le indagini possono emergere nelle indagini
CloudWatch le indagini possono far emergere i seguenti tipi di elementi e aggiungerli alla scheda **Suggerimenti** di un'indagine. Per le ipotesi che coinvolgono più risorse, possono essere forniti anche diagrammi visivi per illustrare le relazioni causali.
+ Ipotesi sulle cause principali
+ CloudWatch allarmi, inclusi allarmi metrici e allarmi compositi
+ CloudWatch metriche
+ AWS Health eventi
+ Modifica gli eventi registrati CloudTrail
+ Dati di tracciamento di X-Ray
+ CloudWatch Registra le interrogazioni di Insights per i gruppi di log nella classe di log Standard
+ CloudWatch Dati di Contributor Insights
+ CloudWatch Dati di Application Signals
+ CloudWatch Dati di Database Insights
# AWS servizi in cui sono supportate le indagini
È possibile avviare indagini a partire dai dati di telemetria (come CloudWatch metriche, allarmi e registri), esaminare i segnali di anomalia generati ed esplorare ipotesi sulle indagini. CloudWatch le indagini funzionano meglio quando ti aiutano con una guida automatizzata alla risoluzione dei problemi sui servizi elencati di seguito: AWS
+ Gateway Amazon API
+ AWS AppSync
+ Amazon Data Firehose
+ Amazon DynamoDB
+ Amazon EBS1
+ Amazon EC21
+ Amazon ECS su Amazon EC22
+ Amazon ECS su Fargate2
+ Amazon EKS3
+ Flusso di dati Amazon Kinesis
+ AWS Lambda
+ OpenSearch Servizio Amazon
+ Amazon RDS4
+ Simple Storage Service (Amazon S3)
+ Amazon SNS
+ Amazon SQS
+ AWS Step Functions
L'elenco dei servizi continuerà ad essere ampliato nel tempo. CloudWatch le indagini utilizzano un'ampia gamma di fonti di dati per determinare le relazioni di dipendenza e pianificare i percorsi di analisi, comprese le configurazioni dei dati di telemetria, le configurazioni dei servizi e le relazioni osservate tramite Application Signals e X-Ray. CloudWatch Laddove nessuna delle precedenti opzioni è disponibile, le CloudWatch indagini cercheranno di dedurre le relazioni di dipendenza attraverso anomalie telemetriche concomitanti.
**Best practice di configurazione**
Sebbene CloudWatch le indagini continuino ad analizzare i dati di telemetria e a fornire suggerimenti senza che siano abilitate le seguenti funzionalità, per una qualità e prestazioni ottimali delle indagini, consigliamo di completare i seguenti passaggi: CloudWatch
+ 1 Sia per Amazon EC2 che per Amazon EBS, aggiorna il tuo CloudWatch agente alla versione 1.30049.1 o successiva. Per ulteriori informazioni, consulta [Raccogli metriche, log e tracce utilizzando l'agente CloudWatch](Install-CloudWatch-Agent.md).
+ 2 Per Amazon ECS, abilita CloudWatch Container Insights. Per ulteriori informazioni, consulta [Container Insights](ContainerInsights.md).
+ 3 Per Amazon EKS, abilita CloudWatch Container Insights e configura Amazon EKS Access Entries. Per ulteriori informazioni, consultare [Container Insights](ContainerInsights.md) e [Integrazione con Amazon EKS](EKS-Integration.md).
+ 4 Per Amazon RDS, abilita CloudWatch Database Insights in **modalità Advanced**. Per ulteriori informazioni, consulta [Turning on the Advanced mode of Database Insights for Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_DatabaseInsights.TurningOnAdvanced.html) nella *Guida per l'utente di Aurora*.
+ Abilita CloudWatch Application Signals e X-Ray. Per ulteriori informazioni, consulta [Segnali applicativi](CloudWatch-Application-Monitoring-Sections.md) e [What is AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html).
# Condurre un' CloudWatch indagine senza configurazioni aggiuntive
**È possibile condurre un' CloudWatch indagine basata sull'intelligenza artificiale senza alcuna configurazione aggiuntiva Account AWS utilizzando la funzione **Investigazioni** disponibile in Risoluzione dei problemi operativi.**
Queste indagini forniscono l'accesso immediato alle funzionalità di CloudWatch indagine provenienti da fonti di telemetria di uso comune nella console. AWS Questo tipo di indagine è basato sulla sessione, è di sola lettura e viene eliminato automaticamente dopo 24 ore.
Il pannello dell'indagine fornisce:
+ **Osservazioni generate dall'IA**: una telemetria basata sull'osservazione iniziale fornita per individuare dati di supporto aggiuntivi che possono portare a una potenziale causa principale.
+ **Ipotesi sulla causa principale**: potenziali spiegazioni della causa del problema, inclusi diagrammi causali quando sono coinvolte più risorse.
+ Spiegazioni in **linguaggio naturale: descrizioni dei risultati e delle raccomandazioni** Easy-to-understand
Puoi utilizzare i suggerimenti del pannello dell'indagine per accelerare il processo di risoluzione dei problemi.
## Per avviare un'indagine
1. Accedi a qualsiasi origine di telemetria supportata che mostri un problema che desideri esaminare, ad esempio:
+ Una CloudWatch metrica che mostra modelli insoliti
+ Un CloudWatch allarme in stato ALARM
+ Una scheda di monitoraggio della funzione Lambda che mostra problemi di prestazioni
1. In **Risoluzione dei problemi operativi**, scegli la scheda **Indagine**, quindi scegli **Avvia indagine**.
1. Guardate come CloudWatch le indagini analizzano i dati di telemetria e generano informazioni sulle potenziali cause alla radice.
1. (Facoltativo) Per aggiungere ulteriori origini di telemetria o collaborare all'indagine con altri, scegli **Inizia** nella casella delle informazioni nella parte inferiore della scheda **Indagine**. Il processo di configurazione del gruppo di indagine è guidato. Per ulteriori informazioni, consulta [Configurare le CloudWatch indagini](Investigations-GetStarted.md)
**Importante**
È necessario disporre delle autorizzazioni IAM appropriate per creare o accedere ai gruppi di indagine. Gli utenti con autorizzazioni di sola lettura vedranno le informazioni sulla richiesta di autorizzazioni aggiuntive ai propri amministratori.
# Configurare le CloudWatch indagini
La configurazione CloudWatch delle indagini crea un gruppo di indagine che le CloudWatch indagini utilizzeranno per accedere alla telemetria e ai dati aggregati relativi all'indagine. Prima di creare il gruppo di indagine, puoi esaminare un'indagine di esempio per avere un'idea generale del suo funzionamento.
**Topics**
+ [Consultazione di un'indagine di esempio](Investigations-sample.md)
+ [Configurazione di un gruppo di indagine](Investigations-GetStarted-Group.md)
+ [Configura gli allarmi per creare indagini](Investigations-configure-alarms.md)
+ [Integrazione con Amazon EKS](EKS-Integration.md)
# Consultazione di un'indagine di esempio
Se desideri vedere come funziona un'indagine prima di configurare un gruppo di indagine per il tuo account, puoi creare un'indagine di esempio con una procedura guidata. L'indagine di esempio non utilizza i tuoi dati e non effettua chiamate dati né avvia operazioni API nel tuo account.
**Per visualizzare l'indagine di esempio**
1. CloudWatch Apri [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)la console all'indirizzo.
1. Nel pannello di navigazione a sinistra, scegli **Operazioni di IA**, **Panoramica**.
1. Scegli **Prova un'indagine di esempio**.
La console mostra l'indagine di esempio, con suggerimenti ed esiti nel pannello a destra. In ciascun popup, scegli **Avanti** per passare alla parte successiva della procedura guidata dell'esempio.
# Configurazione di un gruppo di indagine
Per impostare CloudWatch indagini nel tuo account da utilizzare con un'indagine avanzata, crei un *gruppo investigativo*. La creazione di un gruppo di indagine è un'operazione di configurazione che si effettua una sola volta; una volta creato, viene utilizzato per condurre altre indagini. Le impostazioni nel gruppo di indagine consentono di gestire centralmente le proprietà comuni delle indagini, come le seguenti:
+ Chi può accedere alle indagini
+ Supporto alle indagini tra account per accedere alle risorse in altri account durante l'indagine
+ Se i dati delle indagini sono crittografati con una chiave AWS Key Management Service gestita dal cliente.
+ Per quanto tempo le indagini e i relativi dati vengono conservati per impostazione predefinita.
È possibile avere un solo gruppo di indagine per account. Ogni indagine all'interno del tuo account farà parte di questo gruppo di indagine.
Per creare un gruppo di indagine devi accedere a un responsabile IAM a cui è associata la **AIOpsConsoleAdminPolicy**o la politica **AdministratorAccess**IAM oppure a un account con autorizzazioni simili.
**Nota**
Per poter scegliere l'opzione consigliata di creare un nuovo ruolo IAM per CloudWatch le indagini (indagini operative), devi accedere a un responsabile IAM che disponga delle autorizzazioni `iam:CreateRole``iam:AttachRolePolicy`, e. `iam:PutRolePolicy`
**Importante**
CloudWatch le indagini utilizzano l'*inferenza interregionale* per distribuire il traffico tra diverse regioni. AWS Per ulteriori informazioni, consulta [Inferenza tra Regioni](Investigations-Security.md#cross-region-inference).
**Per creare un gruppo di indagine nel tuo account**
1. Apri la console all' CloudWatch indirizzo. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Nel pannello di navigazione a sinistra, scegli **Operazioni di IA**, **Configurazione**.
1. Scegli **Configura per questo account**.
1. Facoltativamente, modifica il periodo di conservazione per le indagini. Per ulteriori informazioni sugli elementi soggetti al periodo di conservazione, consulta [CloudWatch conservazione dei dati delle indagini](Investigations-Retention.md).
1. (Facoltativo) Per crittografare i dati delle indagini con una chiave gestita dal cliente AWS KMS , scegli **Personalizza le impostazioni di crittografia** e segui i passaggi per creare o specificare una chiave da utilizzare. Se non specifichi una chiave gestita dal cliente, CloudWatch Investigations utilizza una chiave AWS proprietaria per la crittografia. Per ulteriori informazioni, consulta [Crittografia dei dati di indagine](Investigations-Security.md#Investigations-KMS).
1. Scegli come concedere alle CloudWatch indagini le autorizzazioni per accedere alle risorse. Per poter scegliere una delle prime due opzioni, devi aver effettuato l'accesso a un principale IAM che disponga delle autorizzazioni `iam:CreateRole`, `iam:AttachRolePolicy` e `iam:PutRolePolicy`.
1. (Consigliato) Seleziona **Crea automaticamente un nuovo ruolo con autorizzazioni di indagine predefinite**. A questo ruolo verranno concesse le autorizzazioni utilizzando le politiche AWS gestite per le operazioni di intelligenza artificiale. Per ulteriori informazioni, vedere. [Autorizzazioni utente per il tuo gruppo di CloudWatch indagine](Investigations-Security.md#Investigations-Security-IAM)
1. Crea un nuovo ruolo e poi assegna i modelli di policy.
1. Scegli **Assegna un ruolo esistente** se disponi già di un ruolo con le autorizzazioni che desideri utilizzare.
Se scegli questa opzione, devi assicurarti che il ruolo includa una policy di attendibilità che indichi `aiops.amazonaws.com` come principale del servizio. Per ulteriori informazioni sull'utilizzo dei principali del servizio nelle policy di attendibilità, consulta [Principiali dei servizi AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services).
Ti consigliamo inoltre di includere una sezione `Condition` con il numero di account per evitare una situazione di “confused deputy”. L'esempio seguente di policy di attendibilità illustra sia il principale del servizio sia la sezione `Condition`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aiops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*"
}
}
}
]
}
```
------
1. Scegli **Crea gruppo di indagine**: ora puoi creare un'indagine sulla base di un allarme, di una metrica o di un approfondimento sui log.
Facoltativamente, puoi impostare le configurazioni aggiuntive consigliate per migliorare la tua esperienza.
1. Nel pannello di navigazione a sinistra, scegli **Operazioni di IA, Configurazione**.
1. Nella scheda **Configurazione opzionale**, scegli i miglioramenti che desideri aggiungere alle indagini. CloudWatch
1. In **Configura l'accesso multi-account** puoi impostare questo account come account di monitoraggio che raccoglie dati da altri account di origine della tua organizzazione. Per ulteriori informazioni, consulta [Indagini tra account](Investigations-cross-account.md).
1. Per **le integrazioni avanzate**, scegli di consentire alle CloudWatch indagini l'accesso a servizi aggiuntivi del tuo sistema, per consentirgli di raccogliere più dati ed essere più utile.
1. Nella sezione **Tag per il rilevamento dei limiti delle applicazioni**, inserisci le chiavi dei tag personalizzate esistenti per le applicazioni personalizzate nel tuo sistema. I tag delle risorse aiutano CloudWatch le indagini a restringere lo spazio di ricerca quando non sono in grado di scoprire relazioni definite tra le risorse. Ad esempio, per scoprire che un servizio Amazon ECS dipende da un database Amazon RDS, le CloudWatch indagini possono scoprire questa relazione utilizzando fonti di dati come X-Ray e Application Signals. CloudWatch Tuttavia, se non hai implementato queste funzionalità, le CloudWatch indagini cercheranno di identificare possibili relazioni. I limiti dei tag possono essere utilizzati per restringere le risorse che verranno scoperte dalle CloudWatch indagini in questi casi.
Non è necessario inserire i tag creati da myApplications o perché CloudFormation le CloudWatch indagini possono rilevare automaticamente tali tag.
1. CloudTrail registra gli eventi relativi alle modifiche del sistema, inclusi gli eventi di distribuzione. Questi eventi possono spesso essere utili per CloudWatch le indagini volte a creare ipotesi sulle cause principali dei problemi del sistema. Nella sezione **CloudTrailrelativa al rilevamento degli eventi da modificare**, è possibile concedere alle CloudWatch indagini un certo accesso agli eventi registrati AWS CloudTrail abilitando **Consenti all'assistente l'accesso alla CloudTrail modifica degli eventi tramite la cronologia degli eventi**. CloudTrail Per ulteriori informazioni, consulta [Lavorare con la cronologia CloudTrail degli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
1. Le sezioni **X-Ray for topology mapping** e **Application Signals for Health Assessment** indicano altri AWS servizi che possono aiutare CloudWatch le indagini a trovare informazioni. Se li hai implementati e hai concesso la policy **AIOpsAssistantPolicy**IAM alle CloudWatch indagini, sarà in grado di accedere alla telemetria X-Ray e Application Signals.
Per ulteriori informazioni su come questi servizi aiutano le indagini, consulta e. CloudWatch [X-Ray](Investigations-RecommendedServices.md#Investigations-Xray) [CloudWatch Segnali applicativi](Investigations-RecommendedServices.md#Investigations-ApplicationSignals)
1. Se utilizzi Amazon EKS, il tuo gruppo CloudWatch investigativo per le indagini può utilizzare le informazioni direttamente dal tuo cluster Amazon EKS dopo aver impostato le voci di accesso. Per ulteriori informazioni, consulta [Integrazione con Amazon EKS](EKS-Integration.md).
1. Se utilizzi Amazon RDS, abilita la modalità avanzata di Database Insights sulle istanze di database. Database Insights monitora il carico del database e fornisce un'analisi dettagliata delle prestazioni che aiuta le indagini a identificare i problemi relativi al database CloudWatch durante le indagini. Quando Advanced Database Insights è abilitato, CloudWatch le indagini possono generare automaticamente report di analisi delle prestazioni che includono osservazioni dettagliate, anomalie metriche, analisi delle cause principali e consigli specifici per il carico di lavoro del database. Per ulteriori informazioni su Database Insights e su come abilitare la modalità Advanced, consulta [Monitoraggio dei database Amazon RDS con CloudWatch Database Insights](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_DatabaseInsights.html).
1. Puoi integrare CloudWatch le indagini con un canale di *chat*. In questo modo è possibile ricevere notifiche relative a un'indagine tramite il canale di chat. CloudWatch le indagini supportano i canali di chat nelle seguenti applicazioni:
+ Slack
+ Microsoft Teams
Se desideri eseguire l'integrazione con un canale di chat, ti consigliamo di completare alcuni passaggi aggiuntivi prima di abilitare questa miglioria nel gruppo di indagine. Per ulteriori informazioni, consulta [Integrazione di con sistemi di chat di terze parti](Investigations-Integrations.md#Investigations-Integrations-Chat).
Quindi, esegui i seguenti passaggi per l'integrazione con un canale di chat nelle applicazioni di chat:
+ Nella sezione **Integrazione del client di chat**, scegli **Seleziona l'argomento SNS**.
+ Seleziona l'argomento SNS da utilizzare per l'invio di notifiche sulle tue indagini.
# Configura gli allarmi per creare indagini
È possibile configurare un CloudWatch allarme esistente per creare automaticamente indagini nelle indagini. CloudWatch Quando l'allarme entra nello stato ALARM, crea CloudWatch automaticamente una nuova indagine o si aggiunge a un'indagine esistente in base alla stringa di deduplicazione.
Quando configuri un allarme per creare automaticamente indagini, devi specificare un Amazon Resource Name (ARN) nell'ActionARNS dell'allarme. Questo ARN identifica il gruppo di indagine in cui verranno create le indagini innescate da allarmi. Facoltativamente, puoi includere una stringa di deduplicazione nell'ARN per raggruppare gli allarmi correlati.
## Formato e parametri ARN
Il modello ARN per le azioni di allarme del gruppo di indagine segue questo formato:
```
arn:aws:aiops:region:account-id:investigation-group/investigation-group-identifier#DEDUPE_STRING=value
```
La tabella seguente descrive ogni componente ARN:
| Parametro | Description |
| --- | --- |
| region(richiesto) | La AWS regione in cui ha sede il tuo gruppo investigativo. Ad esempio: us-east-1. |
| account-id(richiesto) | L'ID del tuo AWS account a 12 cifre. Ad esempio: 123456789012. |
| investigation-group-identifier(richiesto) | L'identificatore univoco del tuo gruppo investigativo. Ad esempio, sMwwg1IogXdvL7UZ |
| DEDUPE\$1STRING=value (facoltativo) | Una stringa di deduplicazione che raggruppa gli allarmi correlati nella stessa indagine. Quando più allarmi utilizzano la stessa stringa di deduplicazione, contribuiscono a una singola indagine invece di crearne di separati. |
**Esempio senza stringa di deduplicazione:**
```
arn:aws:aiops:us-east-1:123456789012:investigation-group/sMwwg1IogXdvL7UZ
```
**Esempio con stringa di deduplicazione:**
```
arn:aws:aiops:us-east-1:123456789012:investigation-group/sMwwg1IogXdvL7UZ#DEDUPE_STRING=performance
```
### Vantaggi delle stringhe di deduplicazione
Le stringhe di deduplicazione aiutano a organizzare gli allarmi correlati e a ridurre la frammentazione delle indagini. Utilizza le stringhe di deduplicazione quando:
+ **Più allarmi monitorano lo stesso sistema**: gli allarmi di CPU, memoria e disco per la stessa istanza EC2 possono condividere una stringa di deduplicazione per creare un'indagine completa.
+ **Si verificano errori a cascata**: quando un problema attiva più allarmi correlati, la stessa stringa di deduplicazione impedisce la creazione di indagini separate per ogni sintomo.
+ **Vuoi classificare per tipo di problema**: utilizza stringhe descrittive come «prestazioni», «connettività» o «sicurezza» per raggruppare gli allarmi per categoria di problema.
Esempi efficaci di stringhe di deduplicazione:
+ `DEDUPE_STRING=webserver-performance`- Raggruppa gli allarmi relativi alle prestazioni per i server Web
+ `DEDUPE_STRING=database-connectivity`- Problemi di connessione al database dei gruppi
+ `DEDUPE_STRING=instance-i-1234567890abcdef0`- Raggruppa tutti gli allarmi per una specifica istanza EC2
**Nota**
Se non viene specificata alcuna stringa di deduplicazione, il sistema utilizza una combinazione predefinita di nome dell'allarme, ID account e regione per raggruppare le indagini.
Per ulteriori informazioni sui gruppi di indagine, vedere. [Configurazione di un gruppo di indagine](Investigations-GetStarted-Group.md)
# Configurare un allarme per creare indagini
Dopo aver impostato un gruppo investigativo nel tuo account, puoi configurare gli CloudWatch allarmi esistenti in modo che creino automaticamente le indagini quando entrano nello stato ALARM. Ciò elimina la necessità di avviare manualmente le indagini e garantisce una risposta coerente ai problemi operativi. È possibile configurare gli allarmi utilizzando la Console AWS di gestione, AWS CLI CloudFormation, o. AWS SDKs
------
#### [ Console ]
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione, scegli **Allarmi** e seleziona una sveglia esistente.
1. Scegli **Actions (Operazioni)**, **Edit (Modifica)**.
1. Nella sezione **Azioni di allarme**, scegli **Aggiungi azione di allarme**.
1. Nella sezione **Configura azioni**, **Azione investigativa**, scegli l'ARN del gruppo investigativo.
1. (Facoltativo) Aggiungi una stringa di deduplicazione per raggruppare gli allarmi correlati.
1. Seleziona **Update Alarm (Aggiorna allarme)**.
------
#### [ CLI ]
Questo comando richiede di specificare un ARN per il parametro `alarm-actions`. Per informazioni su come creare l'ARN, consulta [Formato e parametri ARN](Investigations-configure-alarms.md#Investigations-arn-format).
**Per configurare un CloudWatch allarme con InvestigationGroup action ()AWS CLI**
1. Installa e configura il AWS CLI, se non l'hai già fatto. Per informazioni, consulta la pagina [Installazione o aggiornamento della versione più recente di AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Eseguire il seguente comando per raccogliere informazioni sull'allarme da configurare.
```
aws cloudwatch describe-alarms --alarm-names "alarm name"
```
1. Esegui il seguente comando per aggiornare un allarme. Sostituisci ogni *example resource placeholder* con le tue informazioni.
```
aws cloudwatch put-metric-alarm --alarm-name name \
--alarm-description "description" \
--metric-name name --namespace namespace \
--statistic statistic --period value --threshold value \
--comparison-operator value \
--dimensions "dimensions" --evaluation-periods value \
--alarm-actions "arn:aws:aiops:region:{account-id}:investigation-group/{investigationGroupIdentifier}#DEDUPE_STRING={my-dedupe-string}"
```
Ecco un esempio:
```
//Without deduplication string
aws cloudwatch put-metric-alarm --alarm-name cpu-mon \
--alarm-description "Alarm when CPU exceeds 70 percent" \
--metric-name CPUUtilization --namespace AWS/EC2 \
--statistic Average --period 300 --threshold 70 \
--comparison-operator GreaterThanThreshold \
--dimensions "Name=InstanceId,Value=i-12345678" --evaluation-periods 2 \
--alarm-actions arn:aws:aiops:us-east-1:123456789012:investigation-group/sMwwg1IogXdvL7UZ \
--unit Percent
//With deduplication string
aws cloudwatch put-metric-alarm --alarm-name cpu-mon \
--alarm-description "Alarm when CPU exceeds 70 percent" \
--metric-name CPUUtilization --namespace AWS/EC2 \
--statistic Average --period 300 --threshold 70 \
--comparison-operator GreaterThanThreshold \
--dimensions "Name=InstanceId,Value=i-12345678" --evaluation-periods 2 \
--alarm-actions arn:aws:aiops:us-east-1:123456789012:investigation-group/sMwwg1IogXdvL7UZ#DEDUPE_STRING=performance \
--unit Percent
```
------
#### [ CloudFormation ]
Questa sezione include CloudFormation modelli che puoi utilizzare per configurare gli CloudWatch allarmi per creare o aggiornare automaticamente le indagini. Ogni modello richiede di specificare un ARN per il parametro `AlarmActions`. Per informazioni su come creare l'ARN, consulta [Formato e parametri ARN](Investigations-configure-alarms.md#Investigations-arn-format).
```
//Without deduplication string
Resources:
MyAlarm:
Type: AWS::CloudWatch::Alarm
Properties:
AlarmActions:
- !Sub "arn:aws:aiops:${AWS::Region}:${AWS::AccountId}:investigation-group/{investigationGroupIdentifier}"
//With deduplication string
Resources:
MyAlarm:
Type: AWS::CloudWatch::Alarm
Properties:
AlarmActions:
- !Sub "arn:aws:aiops:${AWS::Region}:${AWS::AccountId}:investigation-group/{investigationGroupIdentifier}#DEDUPE_STRING={my-dedupe-string}"
```
------
#### [ SDK ]
Questa sezione include frammenti di codice Java che è possibile utilizzare per configurare gli CloudWatch allarmi per creare o aggiornare automaticamente le indagini. Ogni frammento richiede di specificare un ARN per il parametro `investigationGroupArn`. Per informazioni su come creare l'ARN, consulta [Formato e parametri ARN](Investigations-configure-alarms.md#Investigations-arn-format).
```
import com.amazonaws.services.cloudwatch.AmazonCloudWatch;
import com.amazonaws.services.cloudwatch.AmazonCloudWatchClientBuilder;
import com.amazonaws.services.cloudwatch.model.ComparisonOperator;
import com.amazonaws.services.cloudwatch.model.Dimension;
import com.amazonaws.services.cloudwatch.model.PutMetricAlarmRequest;
import com.amazonaws.services.cloudwatch.model.PutMetricAlarmResult;
import com.amazonaws.services.cloudwatch.model.StandardUnit;
import com.amazonaws.services.cloudwatch.model.Statistic;
//Without deduplication string
private void putMetricAlarmWithCloudWatchInvestigationAction() {
final AmazonCloudWatch cloudWatchClient =
AmazonCloudWatchClientBuilder.defaultClient();
Dimension dimension = new Dimension()
.withName("InstanceId")
.withValue("i-12345678");
String investigationGroupArn = "arn:aws:aiops:us-east-1:123456789012:investigation-group/sMwwg1IogXdvL7UZ";
PutMetricAlarmRequest request = new PutMetricAlarmRequest()
.withAlarmName("cpu-mon")
.withComparisonOperator(
ComparisonOperator.GreaterThanThreshold)
.withEvaluationPeriods(2)
.withMetricName("CPUUtilization")
.withNamespace("AWS/EC2")
.withPeriod(300)
.withStatistic(Statistic.Average)
.withThreshold(70.0)
.withActionsEnabled(true)
.withAlarmDescription("Alarm when CPU exceeds 70 percent")
.withUnit(StandardUnit.Percent)
.withDimensions(dimension)
.withAlarmActions(investigationGroupArn);
PutMetricAlarmResult response = cloudWatchClient.putMetricAlarm(request);
}
//With deduplication string
private void putMetricAlarmWithCloudWatchInvestigationActionWithDedupeString() {
final AmazonCloudWatch cloudWatchClient =
AmazonCloudWatchClientBuilder.defaultClient();
Dimension dimension = new Dimension()
.withName("InstanceId")
.withValue("i-12345678");
String investigationGroupArn = "arn:aws:aiops:us-east-1:123456789012:investigation-group/sMwwg1IogXdvL7UZ#DEDUPE_STRING=performance";
PutMetricAlarmRequest request = new PutMetricAlarmRequest()
.withAlarmName("cpu-mon")
.withComparisonOperator(
ComparisonOperator.GreaterThanThreshold)
.withEvaluationPeriods(2)
.withMetricName("CPUUtilization")
.withNamespace("AWS/EC2")
.withPeriod(300)
.withStatistic(Statistic.Average)
.withThreshold(70.0)
.withActionsEnabled(true)
.withAlarmDescription("Alarm when CPU exceeds 70 percent")
.withUnit(StandardUnit.Percent)
.withDimensions(dimension)
.withAlarmActions(investigationGroupArn);
PutMetricAlarmResult response = cloudWatchClient.putMetricAlarm(request);
}
```
------
# Integrazione con Amazon EKS
CloudWatch i gruppi investigativi possono utilizzare le informazioni direttamente dal tuo cluster Amazon EKS. Per iniziare, concedi innanzitutto l'accesso al ruolo IAM `Investigation Group`. Consigliamo di utilizzare la *politica di accesso AWS * gestito predefinita `AmazonAIOpsAssistantPolicy` che consente ai gruppi CloudWatch investigativi di accedere alle risorse del cluster. Utilizzando questa policy, riceverai automaticamente gli aggiornamenti delle policy in base alle necessità.
**Nota**
`AmazonAIOpsAssistantPolicy` è una policy di accesso. La politica di identità AWS gestita che autorizza l'accesso associato alle CloudWatch indagini sui gruppi di indagine è. [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html)
Utilizza l'opzione **Configurazione avanzata** per limitare l'accesso fornito dalla policy di accesso a un set di namespace o all'intero cluster. In alternativa, puoi limitare ulteriormente l'accesso associando la voce di accesso a un'autorizzazione RBAC del gruppo Kubernetes. Per ulteriori informazioni, consulta [Creating access entries](https://docs.aws.amazon.com/eks/latest/userguide/creating-access-entries.html).
## Configurazione della voce di accesso di Amazon EKS (console)
Per associarlo `AmazonAIOpsAssistantPolicy` al ruolo di indagine utilizzando la console di AWS gestione, segui questi passaggi:
1. Apri la CloudWatch console e vai alla pagina di configurazione delle indagini.
1. Nella sezione Amazon EKS Access, seleziona l'opzione per associare `AmazonAIOpsAssistantPolicy` al tuo ruolo di indagine.
1. Rivedi i dettagli della policy e conferma l'associazione.
Per personalizzare ulteriormente l'ambito di accesso:
1. Fai clic su **Configurazione avanzata** nella sezione Accesso ad Amazon EKS.
1. Avverrà il reindirizzamento alla console Amazon EKS.
1. Nella console Amazon EKS, puoi:
1. Limitazione della policy in base a namespace specifici
1. Configurazione della funzionalità di gruppo per un controllo degli accessi più granulare
## Configurazione delle voci di accesso di Amazon EKS (CDK)
Per configurare Amazon EKS Access Entries utilizzando il AWS CDK, utilizza il seguente esempio di codice:
```
const testAccessEntry = new AccessEntry(this, `test-access-entry`, {
cluster: eksCluster,
principal: investigationsIamRole.roleArn,
accessPolicies: [
AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', {
accessScopeType: AccessScopeType.CLUSTER
}),
],
});
```
## Amazon AIOps AssistantPolicy
La policy di accesso di Amazon EKS `AmazonAIOpsAssistantPolicy` fornisce un accesso completo in sola lettura alle risorse del cluster. Le informazioni di ciascuna risorsa potrebbero non essere attualmente utilizzate dalle CloudWatch indagini.
```
- apiGroups: [""]
resources:
- pods
- pods/log
- services
- nodes
- namespaces
- events
- persistentvolumes
- persistentvolumeclaims
- configmaps
verbs:
- get
- list
- apiGroups: ["apps"]
resources:
- deployments
- replicasets
- statefulsets
- daemonsets
verbs:
- get
- list
- apiGroups: ["batch"]
resources:
- jobs
- cronjobs
verbs:
- get
- list
- apiGroups: ["events.k8s.io"]
resources:
- events
verbs:
- get
- list
- apiGroups: ["networking.k8s.io"]
resources:
- ingresses
- ingressclasses
verbs:
- get
- list
- apiGroups: ["storage.k8s.io"]
resources:
- storageclasses
verbs:
- get
- list
- apiGroups: ["metrics.k8s.io"]
resources:
- pods
- nodes
verbs:
- get
- list
```
## Aggiornamenti ad Amazon AIOps AssistantPolicy
| Modifica | Descrizione | Data |
| --- | --- | --- |
| Aggiungi una politica per le CloudWatch indagini | Versione iniziale di AmazonAIOpsAssistantPolicy | 9 agosto 2025 |
# (Consigliato) Best practice per migliorare le indagini
Come best practice, ti consigliamo di abilitare diversi AWS servizi e funzionalità nel tuo account che possono aiutare CloudWatch le indagini a scoprire maggiori informazioni sulla tua topologia e fornire suggerimenti migliori durante le indagini.
**Topics**
+ [CloudWatch agente](#Investigations-CloudWatchAgent)
+ [AWS CloudTrail](#Investigations-CloudTrail)
+ [CloudWatch Segnali applicativi](#Investigations-ApplicationSignals)
+ [X-Ray](#Investigations-Xray)
+ [Approfondimenti sui container](#Investigations-ContainerInsights)
+ [Database Insights](#Investigations-DatabaseInsights)
## CloudWatch agente
Ti consigliamo di installare la versione più recente dell' CloudWatch agente sui tuoi server. L'utilizzo di una versione recente dell' CloudWatch agente migliora la capacità di individuare problemi in Amazon EC2 e Amazon EBS durante le indagini. È necessario utilizzare almeno la versione 1.300049.1 o successiva dell'agente. CloudWatch Per ulteriori informazioni sull' CloudWatchagente e su come installarlo, vedere. [Raccogli metriche, log e tracce utilizzando l'agente CloudWatch](Install-CloudWatch-Agent.md)
## AWS CloudTrail
Ti consigliamo di configurare i CloudTrail percorsi per inviare eventi di gestione ai CloudWatch registri. CloudTrail registra gli eventi di gestione relativi alle operazioni del piano di controllo nell' AWS account, come la configurazione delle politiche di autorizzazione e la creazione, la modifica e l'aggiornamento delle risorse. Quando CloudTrail gli eventi vengono inviati ai CloudWatch registri, CloudWatch le indagini possono analizzare questi eventi nell' AWS account per rilevare le modifiche apportate all'account in relazione all'indagine. Per ulteriori informazioni, consulta [Cos'è AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), [Creazione di un percorso con la CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html), [Utilizzo dei CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) e [Invio di eventi ai CloudWatch registri](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html).
**Nota**
CloudWatch le indagini possono analizzare solo CloudTrail gli eventi dei percorsi che inviano eventi ai CloudWatch registri nella stessa AWS regione in cui si svolge l'indagine. Per le indagini su più account, esaminerà i CloudTrail percorsi di ogni account configurato nella stessa regione in cui conduci l'indagine.
## CloudWatch Segnali applicativi
CloudWatch Application Signals scopre la topologia dell'ambiente, comprese le applicazioni e le relative dipendenze. Inoltre, raccoglie automaticamente metriche standard come latenza e disponibilità. Abilitando Application Signals, CloudWatch le indagini possono utilizzare questa topologia e le informazioni metriche durante le indagini.
Per ulteriori informazioni su Application Signals, consulta [Segnali applicativi](CloudWatch-Application-Monitoring-Sections.md).
## X-Ray
È consigliabile abilitare AWS X-Ray. X-Ray raccoglie le tracce relative alle richieste gestite dall'applicazione. Per ogni richiesta tracciata all'applicazione, è possibile visualizzare informazioni dettagliate non solo sulla richiesta e sulla risposta, ma anche sulle chiamate effettuate dall'applicazione a AWS risorse downstream, microservizi, database e Web. APIs Queste informazioni possono aiutare le indagini durante le CloudWatch indagini.
Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
## Approfondimenti sui container
Se utilizzi Amazon ECS o Amazon EKS, ti consigliamo di installare Approfondimenti sui container. Ciò migliora la capacità delle CloudWatch indagini di individuare problemi nei contenitori. Per ulteriori informazioni sull' CloudWatch agente e su come installarlo, consulta[Container Insights](ContainerInsights.md).
## Database Insights
Se utilizzi Amazon RDS, ti consigliamo di abilitare la modalità avanzata di Database Insights sulle tue istanze di database. Database Insights monitora il carico del database e fornisce un'analisi dettagliata delle prestazioni che aiuta CloudWatch le indagini a identificare i problemi relativi al database durante le indagini. Quando Advanced Database Insights è abilitato, CloudWatch le indagini possono generare automaticamente report di analisi delle prestazioni che includono osservazioni dettagliate, anomalie metriche, analisi delle cause principali e consigli specifici per il carico di lavoro del database. Per ulteriori informazioni su Database Insights e su come abilitare la modalità Advanced, consulta [Monitoraggio dei database Amazon RDS con CloudWatch Database Insights](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_DatabaseInsights.html).
# Esamina i problemi operativi nel tuo ambiente
Puoi creare indagini in diversi modi a seconda del tuo flusso di lavoro e dell'origine del problema che stai esaminando. Una volta che un'indagine è attiva, puoi esaminare i suggerimenti generati dall'intelligenza artificiale, accettare o scartare i risultati e intraprendere azioni correttive tramite runbook automatici.
Le seguenti procedure mostrano come avviare le indagini da diversi punti di ingresso e come utilizzare le indagini attive:
**Contents**
+ [Crea un'indagine](Investigations-CreateInvestigation.md)
+ [Creazione di un'indagine dalla chat di Amazon Q](Investigations-CreateInvestigation.md#Investigations-CreateInvestigation-QChat)
+ [Crea un'indagine a partire da un'azione di CloudWatch allarme](Investigations-CreateInvestigation.md#Investigations-CreateInvestigation-AlarmAction)
+ [Crea un'indagine a partire da un obiettivo del livello di servizio (SLO) di CloudWatch Application Signals](Investigations-CreateInvestigation-SLO.md)
+ [Visualizzare e continuare un'indagine aperta](Investigations-Continue.md)
+ [Revisione ed esecuzione delle correzioni suggerite dai runbook per le indagini CloudWatch](suggested-investigation-actions.md)
+ [Gestione delle indagini in corso](Investigations-Manage.md)
+ [Riavvio di un'indagine archiviata](Investigations-Restart.md)
# Crea un'indagine
Puoi avviare un'indagine da diverse AWS console, tra cui (ma non solo) pagine di CloudWatch allarme, pagine CloudWatch metriche e pagine di monitoraggio Lambda.
**Per avviare un'indagine da una pagina della console AWS**
1. A **livello di account**, seleziona il grafico della metrica o dell'allarme che desideri esaminare.
1. Se nella parte superiore della pagina è presente il pulsante **Indaga**, selezionalo e scegli **Avvia una nuova indagine**.
Altrimenti, scegli l'icona del menu con i puntini di sospensione verticali ![\[Depicts the appearance of the vertical ellipsis icon on the console\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/monitoring/images/vmore.png) per la metrica e scegli **Indaga**, **Avvia una nuova indagine**.
1. Nel pannello **Indagine**, inserisci un nome per l'indagine in **Titolo della nuova indagine** e, facoltativamente, inserisci delle note sulla metrica o sull'allarme selezionato.
1. In **Ora di inizio dell' CloudWatch indagine sull'impatto approssimativo** consiglia un timestamp per l'analisi in base alla telemetria selezionata. Per modificare il timestamp dell'indagine, aggiorna la data e l'ora.
1. Quindi scegli **Avvia indagine**.
L'indagine ha inizio. CloudWatch le indagini analizzano i dati di telemetria per trovare dati che potrebbero essere associati a questa situazione.
1. Per spostare i dati delle indagini nel pannello più grande, scegli **Apri a pagina intera**.
1. Per istruzioni dettagliate sui passaggi che puoi eseguire mentre continui l'indagine, consulta [Visualizzare e continuare un'indagine aperta](Investigations-Continue.md).
## Creazione di un'indagine dalla chat di Amazon Q
Puoi porre domande sui problemi relativi alla tua implementazione nella chat dedicata alle indagini. CloudWatch Puoi porre domande come “Perché questa funzione Lambda oggi è lenta?”
In tal caso, CloudWatch le indagini potrebbero porre domande di follow-up ed eseguire un controllo dello stato di salute del problema. Dopo il controllo dell'integrità, la chat ti chiederà se desideri avviare un'indagine.
Per ulteriori informazioni e altre domande di esempio, consulta [Chatting with Amazon Q about AWS](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/chat-with-q.html#example-questions-investigations).
Per istruzioni dettagliate sui passaggi che puoi eseguire mentre continui l'indagine dopo che è stata avviata, consulta [Visualizzare e continuare un'indagine aperta](Investigations-Continue.md).
## Crea un'indagine a partire da un'azione di CloudWatch allarme
Quando si crea un CloudWatch allarme, è possibile specificare che avvii automaticamente un'indagine quando entra nello stato ALARM. È possibile fare ciò sia per gli allarmi delle metriche sia per gli allarmi compositi. Per ulteriori informazioni, consultare [Avvia un' CloudWatch indagine da un allarme](Start-Investigation-Alarm.md), [Crea un CloudWatch allarme basato su una soglia statica](ConsoleAlarms.md) e [Create a composite alarm](Create_Composite_Alarm.md).
# Crea un'indagine a partire da un obiettivo del livello di servizio (SLO) di CloudWatch Application Signals
Puoi avviare un'indagine a partire da una metrica SLO ( CloudWatch Application Signals Service Level Objective).
**Per avviare un'indagine sulla base di un obiettivo del livello di servizio (SLO) di CloudWatch Application Signals**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Vai alla pagina della console **Applications Signals (APM)**, **Obiettivi del livello di servizio (SLO)**.
1. Seleziona una voce dall'elenco **Obiettivi del livello di servizio (SLO)** per visualizzare le metriche disponibili per tale SLO.
1. Seleziona una metrica, quindi scegli **Indaga** dal menu **Operazione**.
In alternativa, nella visualizzazione della metrica che desideri analizzare, accanto al menu Altro ![\[Vertical ellipsis used to display more options.\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/monitoring/images/vmore.png), seleziona l'icona IA ![\[Icon used to represent a feature that uses artificial intelligence .\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/monitoring/images/cw-ai-icon.png) per avviare un'indagine.
**Nota**
Se non hai configurato le indagini operative nel tuo account, l'icona IA apre il pannello **Risoluzione dei problemi operativi**. Seleziona **Inizia** per configurare un gruppo di indagine, quindi continua.
1. Nel pannello **Risoluzione dei problemi operativi** di **Indagine**, in **Titolo dell'indagine**, inserisci un nome per l'indagine e, facoltativamente, inserisci delle note sulla metrica selezionata.
1. In **Impatto approssimativo, ora di inizio** CloudWatch delle indagini, consiglia un timestamp per l'analisi in base alla telemetria selezionata. Per modificare il timestamp dell'indagine, aggiorna la data e l'ora.
1. Quindi scegli **Avvia indagine**.
L'indagine ha inizio. CloudWatch le indagini analizzano i dati di telemetria per trovare dati che potrebbero essere associati a questa situazione.
1. Per spostare i dati delle indagini nel pannello più grande, scegli **Apri a pagina intera**.
1. Per istruzioni dettagliate sui passaggi che puoi eseguire mentre continui l'indagine, consulta [Visualizzare e continuare un'indagine aperta](Investigations-Continue.md).
# Visualizzare e continuare un'indagine aperta
Utilizza i passaggi riportati in questa sezione per visualizzare e continuare l'indagine esistente
**Per visualizzare e continuare un'indagine**
1. Se non sei ancora nella pagina dedicata all'indagine, procedi come segue:
1. Apri la console all'indirizzo. CloudWatch [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Nel pannello di navigazione a sinistra, scegli **Operazioni di IA**, **Indagini**.
1. Scegli il nome dell'indagine.
1. La sezione **Feed** mostra gli elementi che sono stati aggiunti agli esiti dell'indagine, inclusa la metrica o l'allarme originariamente selezionati per avviare l'indagine.
Il pannello sulla destra include delle schede. Scegli la scheda **Suggerimenti**.
1. La scheda **Suggerimenti** mostra *le osservazioni* di altri dati di telemetria rilevati CloudWatch dalle indagini e che potrebbero essere correlati all'indagine. Potrebbe anche includere *ipotesi*, che sono possibili ragioni o cause profonde della situazione individuate dalle CloudWatch indagini.
Sia le osservazioni che le ipotesi sono scritte in linguaggio naturale mediante indagini. CloudWatch
A questo scopo, sono disponibili numerose opzioni:
+ Per ogni suggerimento, puoi scegliere **Accetta** o **Elimina**.
Quando scegli **Accetta**, il suggerimento viene aggiunto alla sezione **Feed** e CloudWatch investigations utilizza queste informazioni per indirizzare ulteriori scansioni e suggerimenti.
Se scegli **Elimina**, il suggerimento viene spostato nella scheda **Eliminati**.
+ Per ogni suggerimento relativo al tipo di osservazione, puoi scegliere di espandere il grafico nella scheda **Suggerimenti** o aprirlo nella CloudWatch console per visualizzare ulteriori dettagli al riguardo.
+ Alcune delle osservazioni potrebbero essere il risultato di interrogazioni di CloudWatch Logs Insights eseguite CloudWatch dalle indagini nell'ambito dell'indagine. Quando un'osservazione è il risultato di una query di CloudWatch Logs Insights, la query stessa viene visualizzata come parte dell'osservazione. È possibile modificare la query ed eseguirla nuovamente. A tale scopo, scegli l'icona del menu con i puntini di sospensione verticali ![\[An example of a CloudWatch overview home page, showing alarms and their current state, and examples of other metrics graph widgets that might appear on the overview home page.\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/monitoring/images/vmore.png) accanto ai risultati, quindi scegli **Apri in Approfondimenti di Logs**. Per ulteriori informazioni, vedere [Analisi dei dati di registro con CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) Insights.
+ Se conosci la telemetria in un AWS servizio che potrebbe essere applicabile a questa indagine, puoi accedere alla console del servizio e aggiungere la telemetria all'indagine. Ad esempio, per aggiungere una metrica Lambda all'indagine, puoi effettuare quanto segue:
1. Apri la console Lambda.
1. Nella sezione **Monitoraggio**, individua la metrica.
1. Apri il menu contestuale con i puntini di sospensione verticali ![\[An example of a CloudWatch overview home page, showing alarms and their current state, and examples of other metrics graph widgets that might appear on the overview home page.\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/monitoring/images/vmore.png) per la metrica, scegli **Indagine**, **Aggiungi all'indagine**. Quindi, nel pannello **Indagine**, seleziona il nome dell'indagine.
+ Quando visualizzi un'ipotesi nella scheda **Suggerimenti**, puoi scegliere **Mostra ragionamento per visualizzare i dati utilizzati dalle indagini** per generare l'ipotesi. CloudWatch Per le ipotesi che coinvolgono più risorse, puoi anche vedere una rappresentazione visiva che mostra le relazioni causali tra le risorse sotto forma di nodi connessi.
+ Puoi scegliere la scheda **Eliminati** e visualizzare i suggerimenti che sono stati eliminati in precedenza. Per aggiungerne uno agli esiti, scegli **Ripristina agli esiti**.
+ Per aggiungere note agli esiti, scegli **Nuova nota** nel pannello **Feed**. Quindi inserisci le tue note e scegli **Aggiungi**.
1. Quando aggiungi un'ipotesi all'area **Feed**, potrebbe essere visualizzato **Mostra operazioni suggerite**. In tal caso, selezionando questa opzione vengono visualizzate le operazioni che è possibile intraprendere, supponendo che l'ipotesi relativa al problema sia corretta. Le possibili operazioni includono quanto segue:
+ I **Suggerimenti relativi alla documentazione** sono collegamenti alla documentazione di AWS che possono aiutarti a comprendere il problema su cui stai lavorando e a risolverlo. Per visualizzare la documentazione suggerita, scegli il relativo collegamento **Rivedi**
+ I **suggerimenti sui runbook** sono suggerimenti che sfruttano i *runbook* predefiniti in Automazione Systems Manager. Ogni runbook definisce una serie di passaggi per eseguire un'attività su una risorsa. AWS Per informazioni su come continuare con un'azione di runbook, consulta. [Revisione ed esecuzione delle correzioni suggerite dai runbook per le indagini CloudWatch](suggested-investigation-actions.md)
**Importante**
L'esecuzione di un runbook di Automazione è a pagamento. Tuttavia, CloudWatch investigations fornisce un'anteprima delle azioni intraprese da un runbook suggerito, dandovi l'opportunità di valutare meglio se eseguire il runbook. Per informazioni sui prezzi di Automazione, consulta [Prezzi AWS Systems Manager di Automazione](https://aws.amazon.com/systems-manager/pricing/#Automation).
1. (Facoltativo) Scegliete **Rapporto sugli incidenti** per creare un documento completo di analisi degli incidenti. Per ulteriori informazioni, consulta [Generazione di report sugli incidenti](Investigations-Incident-Reports.md).
1. Quando sei pronto per terminare un'indagine, scegli **Termina indagine** e poi, facoltativamente, aggiungi le note finali. Lo stato dell'indagine cambia in **Archiviata**. È possibile riavviare le indagini archiviate aprendo la pagina delle indagini e selezionando **Riavvia l'indagine**.
**Nota**
A un certo punto, potresti vedere il messaggio **Analisi completata. Indagine conclusa.** visualizzato sopra l'area **Feed**. Se poi aggiungi altri dati di telemetria ai risultati, questo messaggio cambia e CloudWatch le indagini ricominciano a scansionare i dati telemetrici, sulla base dei nuovi dati che hai aggiunto ai risultati.
# Revisione ed esecuzione delle correzioni suggerite dai runbook per le indagini CloudWatch
**Quando si aggiunge un'ipotesi all'area **Feed** di un'indagine attiva, nelle indagini potrebbe essere visualizzato Mostra CloudWatch le azioni suggerite.** Un'operazione suggerita potrebbe essere quella di visualizzare la documentazione, con delle informazioni per aiutarti a risolvere un problema manualmente.
Un altro suggerimento potrebbe essere quello di utilizzare un *runbook di Automazione* per tentare di risolvere automaticamente il problema. L'automazione è una funzionalità di Systems Manager, un'altra Servizio AWS. I runbook di Automazione definiscono una serie di passaggi, od operazioni, da eseguire sulle risorse selezionate. Ogni runbook è progettato per risolvere un problema specifico. I runbook possono soddisfare diverse esigenze operative, quali creazione, riparazione, riconfigurazione, installazione, risoluzione dei problemi, correzione, duplicazione e altro ancora. Per ulteriori informazioni su Automazione, consulta [Integrazione con l'automazione AWS Systems Manager](Investigations-Integrations.md#Investigations-Integrations-SSM).
**Prima di iniziare**
Prima di utilizzare i runbook di Automazione in un'indagine, è necessario essere a conoscenza delle seguenti considerazioni importanti:
+ La scelta di eseguire il runbook comporta dei costi. Per informazioni, consulta [Prezzi di AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/#Automation).
+ Le cause principali e i suggerimenti sui runbook si basano sul ragionamento automatico e sui servizi di intelligenza artificiale generativa.
**Importante**
L'utente è responsabile delle operazioni derivanti dall'esecuzione dei passaggi del runbook e della scelta dei valori dei parametri immessi durante l'esecuzione del runbook. Potrebbe essere necessario modificare il runbook consigliato per assicurarsi che funzioni come previsto. Per ulteriori informazioni, consulta [https://aws.amazon.com/ai/responsible-ai/policy/](https://aws.amazon.com/ai/responsible-ai/policy/).
+ A seconda del runbook, potrebbe essere necessario immettere i valori per **Parametri di input** del runbook prima che l'esecuzione possa essere eseguita.
+ Il runbook viene eseguito utilizzando le autorizzazioni IAM assegnate all'operatore. Se necessario, accedi con autorizzazioni IAM differenti per eseguire il runbook. Oltre alle autorizzazioni per le operazioni da intraprendere, per eseguire i passaggi del runbook sono necessarie autorizzazioni aggiuntive di Systems Manager. Per ulteriori informazioni, consulta [Setting up Automation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) nella *Guida per l'utente di AWS Systems Manager *.
**Per esaminare ed eseguire le azioni suggerite nel runbook per le indagini CloudWatch**
1. Per visualizzare le informazioni su un runbook consigliato, scegli **Rivedi** per ottenere informazioni su come eseguire i passaggi del runbook.
Nella pagina dei dettagli dell'indagine, scegli **Suggerimenti**.
1. Nel pannello **Suggerimenti**, esamina l'elenco delle ipotesi basate sull'analisi del sistema del problema in esame.
Per ogni ipotesi, puoi scegliere tra le seguenti opzioni:
+ **Mostra ragionamento**: visualizza ulteriori informazioni sul motivo per cui il sistema ha generato l'ipotesi.
+ **Visualizza operazioni**: visualizza le operazioni suggerite per il problema. Non tutte le ipotesi includono operazioni suggerite.
+ **Accetta**: accetta l'ipotesi e aggiungila alla sezione **Feed** dell'indagine.
**Nota**
L'accettazione dell'ipotesi non comporta l'esecuzione automatica della soluzione di runbook associata. È possibile visualizzare i runbook suggeriti prima di accettare un'ipotesi, ma è necessario accettare l'ipotesi per eseguire un runbook.
+ **Ignora**: respingi l'ipotesi senza approfondirla ulteriormente.
1. Dopo aver scelto **Visualizza operazione**, nel pannello **Operazioni suggerite**, esamina l'elenco delle operazioni suggerite che puoi intraprendere per risolvere il problema. Le operazioni suggerite possono includere uno o più dei seguenti:
+ **AWS articoli di conoscenza**: fornisce informazioni sulle procedure che è possibile eseguire per risolvere manualmente il problema, oltre a un collegamento a ulteriori informazioni.
+ **AWS documentazione**: fornisce collegamenti agli argomenti della documentazione per gli utenti relativi al problema.
+ **AWS-owned runbook**: elenca uno o più runbook di automazione gestiti da AWS che è possibile eseguire per tentare di risolvere i problemi.
+ **Runbook di tua proprietà**: elenca uno o più runbook di Automazione personalizzati, creati da te o da qualcun altro all'interno del tuo account o della tua organizzazione, che puoi eseguire per tentare di risolvere i problemi.
**Nota**
Il sistema genera automaticamente questo elenco di runbook valutando le parole chiave nei runbook personalizzati e confrontandole con i termini relativi al problema oggetto di indagine.
Un numero maggiore di corrispondenze di parole chiave indica che un determinato runbook personalizzato appare più in alto nell'elenco dei **Runbook di tua proprietà**.
1. Dopo aver valutato l'ipotesi, puoi esaminare ulteriormente un'operazione specifica suggerita e leggere la documentazione correlata scegliendo **Ulteriori informazioni**. Puoi anche scegliere **Rivedi i dettagli per esaminare i** runbook suggeriti di proprietà di e di tua proprietà. AWS
1. Quando scegli **Rivedi i dettagli** per i runbook, procedi come segue:
1. In **Descrizione del runbook**, rivedi il contenuto, che fornisce una panoramica delle operazioni che il runbook può intraprendere per correggere il problema oggetto dell'indagine. Scegli **Visualizza passaggi** per visualizzare il flusso di lavoro del runbook e approfondire i dettagli dei singoli passaggi.
1. Per **Parametri di input**, specifica i valori per i parametri richiesti dal runbook. Questi parametri variano da runbook a runbook.
1. In **Anteprima di esecuzione**, rivedi attentamente le informazioni. Queste informazioni spiegano quale sarebbe l'ambito e l'impatto se si scegliesse di eseguire il runbook.
Il contenuto di **Anteprima di esecuzione** fornisce le seguenti informazioni:
+ In quante account e Regioni verrebbe eseguita l'operazione del runbook.
+ I tipi di operazioni che verrebbero intraprese e quante di ciascun tipo.
I tipi di operazioni includono quanto segue:
+ `Mutating`: una fase di runbook apporterebbe modifiche alle destinazioni tramite operazioni che creano, modificano o eliminano risorse.
+ `Non-Mutating`: una fase del runbook recupererebbe i dati sulle risorse, non apportandoci nessuna modifica. Questa categoria include generalmente `Describe`, `List`, `Get` e simili operazioni API di sola lettura.
+ `Undetermined`: Un passaggio indeterminato richiama le esecuzioni eseguite da un altro servizio di orchestrazione come AWS Lambda, o Run Command AWS Step Functions, una funzionalità di. AWS Systems Manager Un passaggio indeterminato potrebbe anche richiamare un'API di terze parti o eseguire un Python PowerShell o uno script. Systems Manager Automation non è in grado di rilevare quale sarebbe il risultato dei processi di orchestrazione o delle esecuzioni di API di terze parti, pertanto non li valuta. È necessario esaminare manualmente i risultati di tali fasi per determinarne l'impatto.
Per informazioni sulle operazioni supportate e sui relativi tipi di impatto, consulta [Remediation impact types of runbook actions](https://docs.aws.amazon.com/systems-manager/latest/userguide/remediation-impact-type.html) nella *Guida per l'utente di AWS Systems Manager *.
1. quindi esamina attentamente le informazioni di anteprima prima di decidere se procedere.
In questo caso, è possibile scegliere una delle seguenti operazioni:
+ Arresta il runbook senza eseguirlo.
+ Modifica i parametri di input prima di eseguire il runbook.
+ Esegui il runbook con le opzioni già selezionate.
**Importante**
La scelta di eseguire il runbook comporta dei costi. Per informazioni, consulta [Prezzi di AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/#Automation).
1. Se vuoi eseguire il runbook, scegli **Esegui**.
Se hai già accettato l'ipotesi, l'esecuzione viene avviata.
Se non hai ancora accettato l'ipotesi, viene visualizzata una finestra di dialogo che richiede di accettarla prima dell'esecuzione.
Dopo aver scelto **Esegui** per un runbook, l'operazione viene aggiunta al pannello **Feed** dell'indagine. Dall'indagine, puoi monitorare i nuovi dati nelle metriche degli esiti per vedere se le operazioni del runbook stanno risolvendo il problema.
# Gestione delle indagini in corso
Puoi visualizzare un elenco delle indagini in corso, terminare le indagini attive, riaprire le indagini archiviate, rinominare ed eliminare le indagini. Puoi intraprendere queste operazioni per singole indagini o in blocco.
**Per gestire le indagini in corso**
1. Apri la CloudWatch console all'indirizzo. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Nel pannello di navigazione a sinistra, scegli **Operazioni di IA**, **Indagini**.
1. (Facoltativo) Filtra le indagini visualizzate nell'elenco per nome o stato dell'indagine.
1. Seleziona le caselle di controllo relative all'indagine o alle indagini su cui desideri intervenire.
1. Scegli **Termina indagine**, **Rinomina** o **Elimina**.
Ti verrà richiesto di confermare l'operazione o di inserire un nuovo titolo per l'indagine.
# Riavvio di un'indagine archiviata
È possibile riavviare le indagini archiviate.
**Per riavviare un'indagine archiviata**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione a sinistra, scegli **Operazioni di IA**, **Indagini**.
1. Scegli il nome di un'indagine archiviata.
1. Scegli **Riavvia l'indagine**.
1. (Facoltativo) Aggiornare i report sugli incidenti.
Tutti i report sugli incidenti generati dall'indagine originale rimangono disponibili nella cronologia delle indagini. Puoi accedere a questi rapporti dalla pagina dei dettagli dell'indagine. Se l'indagine riavviata rivela altri fatti, puoi rigenerare il rapporto sull'incidente seguendo i seguenti passaggi:
1. Scegli **Segnalazione incidente** per rigenerare il rapporto sull'incidente con fatti nuovi o aggiornati.
1. Dalla pagina del **rapporto sull'incidente**, consulta i fatti aggiornati.
1. Scegli **Rigenera** per aggiornare il rapporto sull'incidente. Se il pulsante **Rigenera** è disabilitato, non sono presenti fatti nuovi.
Ti consigliamo di non lasciare le indagini aperte a tempo indeterminato, perché le transizioni di stato di allarme relative all'indagine continueranno a essere aggiunte all'indagine finché sarà aperta.
# Indagini tra account
CloudWatch Le indagini su più account consentono di esaminare i problemi delle applicazioni che si estendono su più account Account AWS da un account di monitoraggio centralizzato. Questa funzionalità consente di correlare dati di telemetria, metriche e log su un massimo di 25 account, oltre all'account di monitoraggio, per ottenere una visibilità completa sulle applicazioni distribuite e risolvere scenari complessi che interessano più account.
**Topics**
+ [Prerequisiti](#Investigations-cross-account-prereq)
+ [Configurazione dell'account di monitoraggio per l'accesso multi-account](#Investigations-cross-account-monitoring-account)
+ [Configurazione dell'account di origine per l'accesso multi-account](#Investigations-cross-account-source-account)
+ [Indagini su problemi tra account](#Investigations-cross-account-investigation)
## Prerequisiti
+ Per le indagini tra account, è necessario che sia già configurata l'osservabilità tra account al fine di visualizzare le telemetrie dei vari account. Per soddisfare il prerequisito, configura l'[osservabilità tra account](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html) o il [pannello di controllo per tutti gli account](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html).
+ Configura un gruppo di indagine. Per l'osservabilità tra account, questo dovrebbe avvenire nell'account di monitoraggio. Puoi anche configurare i gruppi negli account di origine ed eseguire indagini su singoli account all'interno degli stessi.
## Configurazione dell'account di monitoraggio per l'accesso multi-account
**Configurazione dell'account di monitoraggio per l'accesso multi-account**
1. Apri la console all'indirizzo. CloudWatch [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Nel pannello di navigazione a sinistra, scegli **Operazioni di IA**, **Configurazione**.
1. In **Configura l'accesso multi-account**, seleziona **Configura**.
1. Aggiungi l'ID account per un massimo di 25 account nella sezione **Elenca account di origine**.
1. Aggiorna il ruolo IAM.
1. Automaticamente
+ Se scegli **Aggiorna automaticamente il ruolo di assistente (consigliato)**, viene creata una policy gestita dal cliente denominata `AIOpsAssistantCrossAccountPolicy-${guid}` che include le istruzioni `sts:AssumeRole` necessarie per assumere il ruolo di assistente negli account di origine specificati. La scelta dell'opzione di aggiornamento automatico imposta come valore predefinito il nome del ruolo IAM su `AIOps-CrossAccountInvestigationRole` negli account di origine.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole",
"arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole",
"arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
]
}
}
```
------
+ Se il proprietario dell'account di monitoraggio rimuove un account di origine dalla configurazione tra account, la policy IAM non si aggiornerà automaticamente. Devi aggiornare manualmente il ruolo e la policy IAM per assicurarti che disponga sempre delle autorizzazioni minime possibili.
+ Potresti raggiungere il limite di policy gestite per ruolo se le autorizzazioni non vengono aggiornate manualmente quando viene rimosso un account di origine. È necessario eliminare tutte le policy gestite non utilizzate associate al ruolo di indagine.
1. Manualmente
+ Nell'esempio seguente viene illustrata la policy di attendibilità richiesta per il ruolo di assistente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAIOpsAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "aiops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "arn:aws:aiops:us-east-1:123456789012:investigation-group/AaBbcCDde1EfFG2g"
}
}
}
]
}
```
------
Puoi utilizzare il AWS CLI per creare il ruolo personalizzato dell'account di origine e quindi collegarlo `AIOpsAssistantPolicy` al ruolo utilizzando i seguenti comandi, sostituendo i valori segnaposto con i valori appropriati per il tuo ambiente:
```
aws iam create-role
--role-name custom-role-name
--assume-role-policy-document
'{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "AWS": "investigation-group-role-arn"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "investigation-group-arn"
} } } ] }'
aws iam attach-role-policy
--role-name custom-role-name
--policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy
```
+ Per concedere l'accesso multi-account, la policy di autorizzazione del ruolo di assistente nell'account di monitoraggio deve contenere quanto segue. Se configuri manualmente l'account di monitoraggio, puoi assegnare al ruolo il nome che preferisci. `AIOps-CrossAccountInvestigationRole` non è l'impostazione predefinita: assicurati di specificare il nome del ruolo di assistente per ciascuno degli account di origine.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::777777777777:role/custom_source_account_role_name",
"arn:aws:iam::555555555555:role/custom_source_account_role_name",
"arn:aws:iam::666666666666:role/custom_source_account_role_name"
]
}
}
```
------
+ Usa il AWS CLI per aggiornare il gruppo di indagine dell'account di monitoraggio con il ruolo ARN dell'account di origine personalizzato utilizzando il seguente comando, sostituendo i valori segnaposto con i valori appropriati per il tuo ambiente:
```
aws aiops update-investigation-group
--identifier investigation-group-id
--cross-account-configurations sourceRoleArn=sourceRoleArn1 sourceRoleArn=sourceRoleArn2
```
Per ulteriori dettagli su questo comando, consulta la [documentazione di riferimento dei comandi di AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/aiops/update-investigation-group.html).
## Configurazione dell'account di origine per l'accesso multi-account
1. Assegna il nome `AIOps-CrossAccountInvestigationRole` a un ruolo IAM se hai selezionato l'opzione **Aggiorna automaticamente il ruolo di assistente** per configurare l'account di monitoraggio. Se hai utilizzato l'opzione di configurazione manuale, fornisci al ruolo IAM il nome del ruolo personalizzato dell'account di origine.
1. Collega la policy AWS gestita `AIOpsAssistantPolicy` al ruolo nella console IAM.
1. La policy di attendibilità del ruolo sull'account di origine si presenta così. `ExternalID`deve essere specificato nella policy. Utilizza l'ARN del gruppo di indagine dell'account di monitoraggio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "investigation-group-arn"
}
}
}
]
}
```
------
1. Questa operazione deve essere eseguita in ciascuno degli account di origine.
1. Se si configura il ruolo dell'account di monitoraggio tramite la console, il nome del ruolo dell'account di origine viene impostato per impostazione predefinita su `AIOps-CrossAccountInvestionRole`.
1. Per confermare l'accesso, accedi all'account di monitoraggio, seleziona **Gruppo di indagine** e quindi **Configurazione**, poi scegli **Configurazione dell'accesso multi-account**.
Assicurati che l'account di origine compaia nella configurazione tra account e che lo stato sia **Collegato all'account di monitoraggio**.
## Indagini su problemi tra account
Dopo aver configurato la dashboard di osservabilità CloudWatch tra account, puoi visualizzare e analizzare i dati di telemetria tra account presenti nel tuo account di monitoraggio. È necessario aggiungere la telemetria tra account dall'account di origine per eseguire un'indagine su tale account di origine.
Per informazioni dettagliate su come creare un'indagine, consulta [Esamina i problemi operativi nel tuo ambiente](Investigations-Investigate.md).
# Generazione di report sugli incidenti
I report sugli incidenti ti aiutano a scrivere più rapidamente e facilmente un rapporto sulle tue indagini sugli incidenti. Puoi utilizzare questo rapporto per fornire dettagli alla direzione o per aiutare il tuo team a imparare dall'incidente e ad adottare azioni per prevenire future situazioni simili. La struttura del rapporto si basa sugli standard di settore per questi tipi di report e può essere copiata in altri archivi per la conservazione a lungo termine.
Quando si utilizza il Console di gestione AWS per creare una *investigation group* risorsa nelle CloudWatch indagini, viene creato un ruolo IAM per consentire al gruppo di accedere alle risorse durante l'indagine. La generazione di report sugli incidenti relativi CloudWatch alle indagini richiede la concessione di autorizzazioni aggiuntive al gruppo investigativo. La nuova politica gestita `AIOpsAssistantIncidentReportPolicy` fornisce le autorizzazioni richieste e viene aggiunta automaticamente ai gruppi di indagine creati Console di gestione AWS successivamente al 10 ottobre 2025. Per ulteriori informazioni, consulta [AIOpsAssistantIncidentReportPolicy](managed-policies-cloudwatch.md#managed-policies-QInvestigations-AIOpsAssistantIncidentReportPolicy).
**Nota**
Se utilizzi CDK o SDK, devi aggiungere esplicitamente il ruolo del gruppo di indagine e specificare la politica del ruolo o le autorizzazioni in linea equivalenti per il ruolo. Per ulteriori dettagli sulle autorizzazioni, consulta [Sicurezza nelle CloudWatch indagini](Investigations-Security.md)
Questi report raccolgono i risultati delle indagini, le cause principali, gli eventi cronologici e le azioni correttive consigliate in un formato strutturato che può essere facilmente condiviso con le parti interessate e utilizzato per l'apprendimento organizzativo.
La generazione di report sugli incidenti è inclusa senza costi aggiuntivi per tutti gli utenti addetti CloudWatch alle indagini e si integra perfettamente con il flusso di lavoro delle indagini.
**Come funzionano le segnalazioni sugli incidenti**
1. Esegui un'indagine sul tuo incidente.
1. Accetta almeno un'ipotesi. Ogni ipotesi accettata viene presa in considerazione per il rapporto. Non è necessario che l'ipotesi sia accurata al 100%.
1. Scegli **Rapporto sull'incidente**. Durante l'indagine, l'intelligenza artificiale ha analizzato i dati raccolti per l'indagine e i fatti derivati. I fatti sono informazioni atomiche sull'incidente che costituiscono la base per la generazione del rapporto. L'estrazione dei fatti può richiedere alcuni minuti.
1. Una volta completata l'estrazione dei fatti, puoi esaminare i dati disponibili nelle seguenti aree:
1. **Panoramica dell'incidente**: panoramica di alto livello dell'incidente, comprese la gravità, la durata e l'ipotesi operativa.
1. **Valutazione dell'impatto**: metriche e analisi relative all'impatto dell'incidente sui clienti, sulla funzione di servizio e sulle operazioni aziendali.
1. **Rilevamento e risposta**: metriche e analisi relative a come e quando l'incidente è stato rilevato e a come l'utente ha risposto all'incidente.
1. Analisi **della causa principale: analisi** dettagliata delle cause sottostanti basata su ipotesi di indagine.
1. **Mitigazione e risoluzione**: metriche e analisi relative alle fasi di mitigazione e alle misure di risoluzione, oltre alla misurazione del tempo necessario per l'attenuazione e la risoluzione degli incidenti.
1. **Apprendimento e fasi successive**: un elenco di azioni consigliate che il team deve prendere in considerazione, generato automaticamente in base ai risultati delle indagini. Queste raccomandazioni possono includere misure preventive contro incidenti simili, nonché suggerimenti per migliorare i processi di monitoraggio e risposta.
1. Dopo aver esaminato i fatti, scegli **Genera rapporto** per creare un'analisi completa dell'incidente. Sebbene i fatti selezionati servano come punti di riferimento chiave, il rapporto attinge a tutte le informazioni disponibili raccolte durante l'indagine. Questo processo può richiedere alcuni minuti.
1. Dopo aver generato il rapporto, puoi quindi:
+ Usa il rapporto così com'è:
+ Copialo per modificarlo nel tuo editor esterno, se necessario
+ Salvalo per riferimento successivo
+ Migliora il rapporto aggiungendo altri dati:
+ Scegli **Aggiungi fatti** (metodo consigliato) per inserire contenuti testuali aggiuntivi come ticket per incidenti o narrazioni personalizzate. L'intelligenza artificiale analizzerà questi contenuti per aumentare i fatti esistenti o dedurne di nuovi.
+ Modifica direttamente i fatti (usali con parsimonia): i fatti modificati manualmente possono creare incongruenze con la tempistica dell'indagine. Questa opzione dovrebbe essere utilizzata solo come ultima risorsa quando **Aggiungi fatti** non consente di ottenere il risultato desiderato.
+ Scegli **Rigenera rapporto** per creare un nuovo rapporto utilizzando le informazioni aggiornate.
**Topics**
+ [Comprensione dei fatti derivati dall'intelligenza artificiale nei report sugli incidenti](Investigations-IncidentReports-ai-facts.md)
+ [Terminologia dei report sugli incidenti](Investigations-IncidentReports-terms.md)
+ [Genera un rapporto da un'indagine](Investigations-IncidentReports-Generate.md)
+ [Utilizzo dell'analisi dei 5 motivi nei report sugli incidenti](incident-report-5whys.md)
# Comprensione dei fatti derivati dall'intelligenza artificiale nei report sugli incidenti
I fatti derivati dall'intelligenza artificiale costituiscono la base delle CloudWatch indagini sulle segnalazioni sugli incidenti e rappresentano informazioni che il sistema di intelligenza artificiale considera oggettivamente vere o altamente probabili sulla base di un'analisi completa dell'ambiente in uso. AWS Questi fatti emergono attraverso un processo sofisticato che combina il riconoscimento dei modelli di apprendimento automatico con metodi di verifica sistematici, creando un solido framework per l'analisi degli incidenti che mantiene il rigore operativo richiesto per gli ambienti di produzione.
Comprendere come vengono sviluppati i dati derivati dall'intelligenza artificiale aiuta a valutarne l'affidabilità e a prendere decisioni informate durante la risposta agli incidenti. Il processo rappresenta un approccio ibrido in cui l'intelligenza artificiale aumenta l'esperienza umana anziché sostituirla, garantendo che le informazioni generate siano complete e affidabili.
## Il processo di sviluppo di fatti derivati dall'intelligenza artificiale
Il passaggio da dati di telemetria grezzi a fatti concreti derivati dall'intelligenza artificiale inizia con l'osservazione dei pattern, dove l'IA delle CloudWatch indagini analizza grandi quantità di telemetria utilizzando sofisticati algoritmi di apprendimento automatico. AWS L'intelligenza artificiale esamina le CloudWatch metriche, i log e le tracce su più dimensioni contemporaneamente, identificando modelli e relazioni ricorrenti che potrebbero non essere immediatamente evidenti agli operatori umani. L'analisi comprende modelli temporali che rivelano quando si verificano in genere gli incidenti e le relative caratteristiche di durata, correlazioni di servizio che mostrano come i diversi AWS servizi interagiscono durante gli scenari di errore, anomalie metriche che precedono o accompagnano gli incidenti e sequenze di eventi di registro che indicano modalità di errore specifiche.
Considera, ad esempio, come l'IA potrebbe osservare che nel tuo ambiente, l'utilizzo della CPU delle istanze Amazon EC2 supera costantemente il 90% circa 15 minuti prima che i tempi di risposta delle applicazioni superino le soglie accettabili. Questa relazione temporale, se osservata in più incidenti, diventa un modello significativo degno di ulteriori indagini. L'intelligenza artificiale non si limita a notare la correlazione; misura la significatività statistica della relazione e prende in considerazione vari fattori di confusione che potrebbero influenzare il modello.
Partendo da questi modelli osservati, l'IA passa alla generazione di ipotesi, formulando potenziali spiegazioni per le relazioni che ha scoperto. Questo processo prevede la creazione di più ipotesi concorrenti e la loro classificazione per probabilità in base alla forza delle prove a sostegno. Quando l'intelligenza artificiale osserva che i picchi della CPU precedono il degrado dei tempi di risposta, può generare diverse ipotesi: esaurimento delle risorse dovuto a una capacità di elaborazione insufficiente, perdite di memoria che causano un aumento del sovraccarico della CPU o algoritmi inefficienti innescati da schemi di input specifici. Ogni ipotesi riceve un livello di confidenza preliminare basato sulla precisione con cui spiega i dati osservati e si allinea ai comportamenti di servizio noti. AWS
La verifica e la convalida umana di queste ipotesi assicurano che queste informazioni generate dall'intelligenza artificiale soddisfino gli standard operativi prima di diventare realtà nei report sugli incidenti. Questo processo prevede la correlazione dei modelli derivati dall'intelligenza artificiale con i modelli di comportamento dei AWS servizi consolidati, la verifica della coerenza con le migliori pratiche del settore per la risposta agli incidenti e la convalida rispetto ai dati storici sugli incidenti provenienti da ambienti simili. L'intelligenza artificiale deve dimostrare che i suoi risultati sono riproducibili in diversi metodi di analisi e periodi di tempo, soddisfare i requisiti di significatività statistica per il processo decisionale operativo, allinearsi alle osservazioni empiriche sul comportamento dei AWS servizi e fornire informazioni utili per la risoluzione o la prevenzione degli incidenti.
Nel corso di questo processo, l'IA affronta diverse sfide intrinseche che è necessario comprendere quando si interpretano fatti derivati dall'intelligenza artificiale. La distinzione tra correlazione e causalità rimane una sfida fondamentale; mentre l'IA potrebbe identificare forti correlazioni tra i picchi di traffico di rete e il verificarsi di incidenti, stabilire la causalità diretta richiede ulteriori indagini e competenze di settore. Le variabili nascoste che non rientrano nell'ambito della AWS telemetria, come le dipendenze da servizi di terze parti o i problemi dei fornitori di rete esterni, possono influenzare gli incidenti senza essere rilevate nell'analisi dell'IA. La qualità dei dati derivati dall'intelligenza artificiale dipende interamente dalla completezza e dall'accuratezza dei CloudWatch dati sottostanti, pertanto una copertura di monitoraggio completa è essenziale per informazioni affidabili.
I nuovi modelli di incidenti rappresentano un'altra sfida, in quanto non sono presenti nei dati di addestramento dell'IA e AIs spesso hanno difficoltà a interpretare modalità di guasto sconosciute. Questa limitazione sottolinea l'importanza dell'esperienza umana nell'interpretare i fatti derivati dall'intelligenza artificiale e nell'integrarli con la conoscenza del dominio e la comprensione contestuale.
## Applicazione di fatti derivati dall'intelligenza artificiale nella risposta agli incidenti
L'intelligenza artificiale eccelle nell'identificare modelli su set di dati di grandi dimensioni che sarebbe impraticabile per gli esseri umani analizzare manualmente, fornendo informazioni che possono accelerare in modo significativo la diagnosi e la risoluzione degli incidenti. L'intelligenza artificiale funziona meglio se combinata con l'esperienza umana in grado di fornire un contesto, convalidare conclusioni e identificare fattori che potrebbero non essere rilevati nei dati telemetrici.
L'approccio più efficace consiste nel trattare i fatti derivati dall'intelligenza artificiale come punti di partenza altamente informati per l'indagine piuttosto che come conclusioni definitive. Quando l'intelligenza artificiale identifica un fatto come «l'esaurimento del pool di connessioni al database ha preceduto l'incidente di 8 minuti», si ottiene un indizio prezioso che può essere verificato rapidamente attraverso un'analisi mirata delle metriche del database e dei log delle applicazioni. Questa soluzione offre un lasso di tempo specifico e una potenziale causa principale per indagare, riducendo drasticamente il tempo necessario per identificare il problema rispetto alla ricerca manuale in tutta la telemetria disponibile.
La qualità dei dati gioca un ruolo cruciale nell'affidabilità dei fatti derivati dall'intelligenza artificiale. Una copertura di CloudWatch monitoraggio completa fornisce all'IA l'accesso a informazioni complete e accurate per l'analisi. Le lacune nel monitoraggio possono portare a fatti incompleti o fuorvianti, poiché l'IA può funzionare solo con i dati a sua disposizione. Organizations che utilizzano pratiche di osservabilità complete che includono la raccolta dettagliata di metriche, la registrazione completa e il tracciamento distribuito hanno maggiori probabilità di avere dati accurati e utilizzabili derivati dall'intelligenza artificiale nei loro report sugli incidenti.
# Terminologia dei report sugli incidenti
Nelle CloudWatch indagini e nei rapporti sugli incidenti vengono utilizzati i seguenti termini:
Fatto derivato dall'intelligenza artificiale
Un'informazione o osservazione che il sistema di intelligenza artificiale considera oggettivamente vera o altamente probabile sulla base dei dati disponibili, della telemetria, dei log e degli schemi storici all'interno dei servizi. AWS Questi dati sono derivati da analisi algoritmiche e modelli di apprendimento automatico e, sebbene siano considerati affidabili dal sistema, dovrebbero essere soggetti a verifica umana, specialmente in contesti decisionali critici. I fatti derivati dall'intelligenza artificiale possono includere correlazioni tra eventi, rilevazioni di anomalie o inferenze sul comportamento del sistema che potrebbero non essere immediatamente evidenti agli operatori umani.
Azioni correttive
Misure specifiche e attuabili consigliate dalle CloudWatch indagini per affrontare la causa principale di un incidente e prevenirne il ripetersi, sulla base delle AWS migliori pratiche e del contesto specifico delle risorse interessate.
Categorie di fatti
Raggruppamenti strutturati di informazioni relative agli incidenti, come metriche di impatto, dettagli di rilevamento e fasi di mitigazione, utilizzati per organizzare i dati per la generazione di report.
Valutazione dell'impatto
Una valutazione quantitativa e qualitativa degli effetti di un incidente sulle prestazioni del sistema, sull'esperienza utente e sulle operazioni aziendali, derivata da CloudWatch metriche e altri dati di AWS servizio aggiunti all'indagine.
Generazione di report sugli incidenti
Un processo automatizzato che crea una documentazione completa di un incidente operativo, compresa la tempistica, l'impatto, la causa principale e le fasi di risoluzione, sulla base dei dati raccolti durante un' CloudWatch indagine investigativa.
Feed per le indagini
Una visualizzazione cronologica delle osservazioni accettate, delle ipotesi e delle note aggiunte dagli utenti nell'ambito di un'indagine CloudWatch investigativa, che funge da registrazione principale dei progressi e dei risultati dell'indagine.
Lezioni apprese
Informazioni e opportunità di miglioramento generate automaticamente identificate attraverso il processo di indagine sugli incidenti, finalizzate a migliorare l'affidabilità del sistema, l'efficienza operativa e le capacità di risposta agli incidenti in tutta l'organizzazione.
Valutazione del rapporto
Una valutazione automatizzata del rapporto sull'incidente generato, che identifica potenziali lacune nei dati o aree che richiedono informazioni aggiuntive per migliorare la completezza e la qualità del rapporto.
Analisi della causa principale
Un processo sistematico di identificazione del motivo fondamentale di un problema operativo, che sfrutta CloudWatch indagini, ipotesi e correlazioni basate sull'intelligenza artificiale tra più servizi. AWS
Scheda Suggerimenti
Una funzionalità CloudWatch delle indagini che presenta osservazioni e ipotesi generate dall'intelligenza artificiale su potenziali cause o problemi correlati, basate sull'analisi della telemetria e dei log del sistema.
Eventi della sequenza temporale
Una sequenza cronologica di eventi significativi durante un incidente, estratta automaticamente da CloudWatch registri, metriche e altri dati di AWS servizio per fornire una panoramica chiara della progressione dell'incidente.
# Genera un rapporto da un'indagine
È possibile generare report sugli incidenti a partire da indagini in corso o completate. I report sugli incidenti generati all'inizio di un'indagine potrebbero non includere fatti chiave come le cause profonde e le azioni consigliate. Quando l'indagine è attiva, puoi modificare i dati disponibili per integrare l'indagine con informazioni aggiuntive. Al termine dell'indagine, non è possibile modificare o aggiungere dati all'indagine.
**Prerequisiti**
Prima di generare un incidente, verifica che siano soddisfatti i seguenti requisiti:
+ Assicurati che il gruppo investigativo utilizzi la chiave KMS richiesta e disponga di politiche IAM appropriate associate al suo ruolo per la decrittografia dei dati dai servizi. AWS Se AWS le tue risorse sono crittografate con chiavi KMS gestite dal cliente, devi aggiungere le dichiarazioni delle politiche IAM al ruolo del gruppo di indagine per concedere a CloudWatch Investigations le autorizzazioni necessarie per decrittografare e accedere a questi dati.
+ Al ruolo del gruppo di indagine sono state concesse le seguenti autorizzazioni:
+ `aiops:GetInvestigation`
+ `aiops:ListInvestigationEvents`
+ `aiops:GetInvestigationEvent`
+ `aiops:PutFact`
+ `aiops:UpdateReport`
+ `aiops:CreateReport`
+ `aiops:GetReport`
+ `aiops:ListFacts`
+ `aiops:GetFact`
+ `aiops:GetFactVersions`
**Nota**
Puoi aggiungere queste autorizzazioni come politica in linea al ruolo del gruppo di indagine o allegare una politica di autorizzazioni aggiuntiva al ruolo del gruppo di indagine. Per ulteriori informazioni, consultare [Autorizzazioni per la generazione di report sugli incidenti](Investigations-Security.md#Investigations-Security-IAM-IRG).
La nuova politica gestita `AIOpsAssistantIncidentReportPolicy` fornisce le autorizzazioni richieste e viene aggiunta automaticamente ai gruppi di indagine creati dopo il 10 ottobre 2025. Per ulteriori informazioni, consulta [AIOpsAssistantIncidentReportPolicy](managed-policies-cloudwatch.md#managed-policies-QInvestigations-AIOpsAssistantIncidentReportPolicy).
**Per generare un rapporto sugli incidenti**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione a sinistra, scegli **Operazioni di IA**, **Indagini**.
1. Scegli il nome di un'indagine.
1. Nella pagina dell'indagine, alla voce **Feed**, accetta eventuali ulteriori ipotesi pertinenti e aggiungi eventuali note aggiuntive all'indagine.
**Nota**
La generazione del report richiede un'indagine con almeno un'ipotesi accettata.
1. Nella parte superiore della pagina di indagine, seleziona **Segnalazione incidente**. Attendi che i fatti rilevanti dell'indagine vengano raccolti e sincronizzati.
1. Nella pagina **Rapporto sull'incidente**, esamina i fatti utilizzati per generare il rapporto. I dati sono disponibili nel riquadro a destra. Naviga nella scheda della categoria dei fatti utilizzando le frecce sinistra e destra oppure espandi il riquadro per visualizzare tutte le categorie.
1. Scegli **Modifica** in un pannello dei fatti per aggiungere o modificare manualmente i dati in quella categoria.
1. Scegli **Visualizza i dettagli** su un pannello informativo per visualizzare le prove a sostegno e la cronologia dei fatti raccolte dall'assistente AI. Puoi anche scegliere **Modifica** nella finestra dei dettagli del fatto.
1. Scegli **Aggiungi fatti** se desideri fornire un contesto aggiuntivo all'indagine, ad esempio eventi esterni o circostanze attenuanti.
1. Scegli **Genera rapporto**.
CloudWatch le indagini analizzeranno i dati delle indagini e genereranno un rapporto strutturato. Questo processo potrebbe richiedere del tempo.
1. Esamina il rapporto generato nel riquadro di anteprima. Il rapporto includerà:
+ Eventi della sequenza temporale estratti automaticamente
+ Analisi delle cause principali basata su ipotesi accettate
+ Valutazione d'impatto derivata dalla telemetria delle indagini
+ Azioni correttive consigliate e lezioni apprese seguendo le migliori pratiche AWS
1. Per conservare una copia del rapporto in una posizione diversa, puoi scegliere di copiare il testo del rapporto e incollarlo nella posizione desiderata.
1. Scegli **Valutazione del rapporto** per esaminare un elenco delle lacune nei dati nel rapporto. Puoi utilizzare queste informazioni per raccogliere dati aggiuntivi per il rapporto, quindi aggiornare i fatti di conseguenza e rigenerare il rapporto.
# Utilizzo dell'analisi dei 5 motivi nei report sugli incidenti
Quando si generano report sugli incidenti, CloudWatch le indagini possono eseguire un'analisi delle cause principali dei 5 motivi per identificare sistematicamente le cause alla base dei problemi operativi. Questo approccio strutturato migliora i report sugli incidenti con informazioni più approfondite e misure correttive attuabili.
Questa funzionalità utilizza Amazon Q per fornire una chat conversazionale. L'utente che ha effettuato l'accesso Console di gestione AWS deve disporre delle seguenti autorizzazioni:
```
{
"Sid" : "AmazonQAccess",
"Effect" : "Allow",
"Action" : [
"q:StartConversation",
"q:SendMessage",
"q:GetConversation",
"q:ListConversations",
"q:UpdateConversation",
"q:DeleteConversation",
"q:PassRequest"
],
"Resource" : "*"
}
```
È possibile aggiungere queste autorizzazioni direttamente o allegando la politica o la politica [AIOpsOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsOperatorAccess.html)gestita all'utente [AIOpsConsoleAdminPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsConsoleAdminPolicy.html)o al ruolo.
## Cos'è l'analisi 5 Whys?
The 5 Whys è una tecnica di analisi delle cause profonde che chiede ripetutamente il «perché», per passare dai sintomi incidenti alle cause fondamentali. Ogni risposta diventa la base per la domanda successiva, creando una catena logica che rivela la vera causa principale anziché limitarsi ai sintomi superficiali.
Durante la generazione di report sugli incidenti, CloudWatch le indagini utilizzano questo metodo per analizzare i risultati delle indagini e fornire un'analisi strutturata delle cause principali che va oltre i guasti tecnici immediati per identificare problemi di processo, configurazione o sistemici.
## Vantaggi della segnalazione degli incidenti
L'inclusione dell'analisi dei 5 motivi nei report sugli incidenti offre diversi vantaggi:
+ **Identificazione completa delle cause principali**: va oltre le cause tecniche immediate per identificare i problemi di processo o di sistema sottostanti
+ **Piani di riparazione attuabili: fornisce azioni** specifiche e mirate per prevenire il ripetersi piuttosto che correzioni temporanee
+ **Apprendimento organizzativo** - Documenta la catena causale completa per riferimenti futuri e condivisione delle conoscenze del team
+ **Analisi strutturata**: garantisce un'indagine sistematica anziché una risoluzione di problemi ad hoc
## Scenari di esempio nei report sugli incidenti
### Errore di connessione al database
**Incidente iniziale:** applicazione di e-commerce con 500 errori diffusi
1. **Perché 1:** Perché gli utenti ricevono 500 errori? L'applicazione non può connettersi al database primario.
1. **Perché 2:** Perché l'applicazione non riesce a connettersi al database? L'istanza del database ha esaurito le connessioni disponibili.
1. **Perché 3:** Perché il database ha esaurito le connessioni? Un processo di elaborazione in batch ha aperto molte connessioni senza chiuderle correttamente.
1. **Perché 4:** Perché il processo batch non ha chiuso correttamente le connessioni? La gestione degli errori del processo non include la pulizia della connessione in scenari di errore.
1. **Perché 5:** Perché non è stata implementata la corretta gestione degli errori? Il processo di revisione del codice non include controlli specifici per i modelli di gestione delle risorse.
**Causa principale:** standard di revisione del codice inadeguati per la gestione delle risorse
**Azioni consigliate:** aggiornamento dell'elenco di controllo per la revisione del codice, implementazione del monitoraggio del pool di connessioni, aggiunta del rilevamento automatico delle perdite di risorse
### Incidente di peggioramento delle prestazioni
**Incidente iniziale:** i tempi di risposta delle API sono aumentati da 200 ms a 5000 ms durante i picchi di traffico
1. **Perché 1:** Perché i tempi di risposta sono aumentati? L'utilizzo della CPU ha raggiunto il 100% su tutte le istanze dell'applicazione.
1. **Perché 2:** Perché la scalabilità automatica non ha aggiunto altre istanze? Il ridimensionamento automatico è stato attivato ma le nuove istanze non hanno superato i controlli di integrità.
1. **Perché 3:** Perché le nuove istanze non hanno superato i controlli di integrità? Il processo di avvio dell'applicazione richiede 8 minuti, in più rispetto al timeout del controllo dello stato di salute.
1. **Perché 4:** Perché l'avvio richiede così tanto tempo? L'applicazione scarica file di configurazione di grandi dimensioni da S3 a ogni avvio.
1. **Perché 5:** Perché questo ritardo di avvio non è stato considerato nella configurazione con scalabilità automatica? I test delle prestazioni sono stati eseguiti con istanze preriscaldate, non con avviamenti a freddo.
**Causa principale: la** metodologia di test delle prestazioni non riflette gli scenari di scalabilità automatica della produzione
**Azioni consigliate:** includere test di avvio a freddo, ottimizzazione dell'avvio delle applicazioni, regolazione dei timeout dei controlli di integrità, implementazione della memorizzazione nella cache della configurazione
### Incidente complesso con analisi delle filiali
**Incidente iniziale:** i clienti OpenSearch serverless hanno subito un calo della disponibilità del 48,3% per 11 ore
**Catena di analisi principale:**
1. **Perché 1:** Perché i clienti hanno subito un peggioramento del servizio? La disponibilità del servizio è scesa al 48,3% a causa di un errato dimensionamento degli ingester.
1. **Perché 2:** Perché l'ingester scaling non era corretto? CortexOperator ha ridotto il numero di ingestioni da 223 a 174 a causa di un errore di calcolo del saldo AZ.
1. **Perché 3:** Perché il saldo AZ è stato calcolato CortexOperator male? Il codice non è stato in grado di elaborare nuovi formati di etichette Kubernetes dopo l'aggiornamento alla versione 1.17.
1. **Perché 4 (Branch A - Technical):** Perché il codice non gestiva nuovi formati di etichette? Il codice prevedeva «failure-domain.beta.kubernetes». io/zone' labels but Kubernetes 1.17 changed to 'topology.kubernetes.io/zone'.
1. **Perché 5 (Branch A):** Perché non è stata implementata la compatibilità con le versioni precedenti? La modifica del formato dell'etichetta non è stata documentata nelle note di aggiornamento esaminate durante la pianificazione della distribuzione.
**Filiale B - Analisi del processo:**
1. **Perché 4 (Filiale B - Processo):** Perché non è stato rilevato nei test? I test di integrazione hanno utilizzato cluster preconfigurati con vecchi formati di etichette.
1. **Perché 5 (Branch B):** Perché i test non includevano la convalida del formato delle etichette? La configurazione dell'ambiente di test non rispecchiava la sequenza di aggiornamento della versione di Kubernetes di produzione.
**Cause principali identificate:**
+ Tecnico: mancata compatibilità con le versioni precedenti per le modifiche al formato delle etichette Kubernetes
+ Processo: la metodologia di test non convalida gli impatti dell'aggiornamento della versione
**Piano di correzione integrato: implementazione della** logica di rilevamento del formato delle etichette, miglioramento delle procedure di test di aggiornamento, aggiunta della convalida automatica della compatibilità e definizione del processo di valutazione dell'impatto delle modifiche alle versioni.
## Utilizzo del flusso di lavoro guidato dei 5 perché
CloudWatch investigations fornisce un flusso di lavoro guidato per l'analisi dei 5 motivi per aiutarvi a risolvere i fatti mancanti e a rafforzare le segnalazioni sugli incidenti. Questa funzionalità viene visualizzata come flusso di lavoro consigliato quando il sistema identifica le opportunità per migliorare l'analisi delle cause alla radice.
### Esperienza di analisi interattiva
L'analisi dei 5 perché nelle CloudWatch indagini utilizza un approccio interattivo basato su chat che guida l'utente attraverso il processo di indagine. Questo metodo conversazionale aiuta a garantire un'analisi completa mantenendo al contempo il flusso logico tra le domande.
**Caratteristiche principali dell'esperienza interattiva:**
+ **Inizializzazione basata sui fatti**: il sistema presenta fin dall'inizio i fatti rilevanti dell'indagine, utilizzandoli per precompilare risposte ovvie e indicando chiaramente i suggerimenti basati sui fatti anziché quelli basati sull'inferenza
+ **Indagine guidata**: per ogni domanda sul «perché», il sistema suggerisce risposte in base ai dati disponibili, richiede un contesto aggiuntivo specifico e guida l'utente a considerare aspetti importanti prima di procedere
+ **Gestione delle filiali** - Quando vengono identificati più fattori che contribuiscono, il sistema presenta chiaramente le opzioni delle filiali, spiega le relazioni tra le filiali e aiuta a dare priorità alle indagini parallele
+ **Convalida progressiva**: per ogni risposta, il sistema riformula le risposte per motivi di chiarezza, cerca conferme, evidenzia le informazioni chiave e collega i risultati a un contesto più ampio
Questo approccio garantisce l'acquisizione di tutte le informazioni pertinenti mantenendo al contempo l'attenzione sulle relazioni causali più critiche.
**Accesso al flusso di lavoro guidato:**
1. Durante la generazione del rapporto sugli incidenti, consulta la sezione **I fatti richiedono attenzione** nel pannello di destra.
1. **Cerca il suggerimento relativo all'**analisi Guided 5-Whys** nella sezione Flusso di lavoro consigliato.**
1. Scegli **Guide me** per avviare il processo interattivo 5 Whys.
1. Segui le istruzioni guidate per risolvere sistematicamente ogni domanda sul «perché», costruendo una catena causale completa dai sintomi alla causa principale.
Il flusso di lavoro guidato aiuta ad acquisire informazioni complete sulla causa principale illustrandoti ogni fase della metodologia dei 5 perché. I risultati dell'analisi vengono incorporati automaticamente nel rapporto sull'incidente, che fornisce una documentazione strutturata per le revisioni post-incidente e l'apprendimento organizzativo.
Puoi anche richiedere un'analisi dei 5 perché tramite l'interfaccia di chat ponendo domande come «Esegui un'analisi dei 5 perché per questo incidente» o «Qual è la causa principale utilizzando la metodologia 5 Whys?»
## Gestione di incidenti complessi con cause multiple
Alcuni incidenti coinvolgono molteplici fattori che richiedono percorsi di analisi paralleli. CloudWatch le indagini supportano l'analisi delle filiali per garantire che tutte le cause significative siano identificate e affrontate.
**Quando è necessaria l'analisi delle filiali:**
+ Si sono verificati più guasti indipendenti contemporaneamente
+ Componenti di sistema diversi hanno contribuito allo stesso impatto sui clienti
+ Sia i guasti tecnici che quelli di processo hanno avuto un ruolo significativo
+ Gli errori a cascata hanno creato molteplici catene causali
**Processo di analisi delle filiali:**
1. **Identificazione delle filiali** - Il sistema identifica i punti in cui più cause convergono o divergono
1. **Indagine parallela**: ogni filiale viene analizzata utilizzando la metodologia completa 5 Whys
1. **Mappatura delle connessioni**: le relazioni tra le filiali vengono documentate per mostrare come interagiscono
1. **Risoluzione integrata**: i piani di riparazione affrontano tutte le cause principali identificate e le relative interazioni
Questo approccio globale garantisce che gli incidenti complessi ricevano un'analisi approfondita e che tutti i fattori che vi contribuiscono siano presi in considerazione nel piano di riparazione finale.
## Le migliori pratiche per un'analisi efficace dei 5 perché
Per massimizzare l'efficacia dell'analisi dei 5 motivi nelle segnalazioni degli incidenti, segui queste best practice derivate dall'esperienza operativa:
### Linee guida per la formulazione delle domande
+ **Iniziate con l'impatto sui clienti**: iniziate ogni analisi con il problema relativo al cliente per mantenere l'attenzione sull'impatto aziendale
+ **Aumenta progressivamente la profondità tecnica**: passa dall'impatto aziendale ai dettagli tecnici man mano che avanzi con le domande
+ **Mantieni la continuità logica**: assicurati che ogni risposta porti naturalmente alla domanda successiva senza lacune logiche
+ **Includi prove a sostegno**: fai riferimento a metriche, registri o eventi temporali specifici per convalidare ogni risposta
### Convalida dell'analisi
Convalida l'analisi dei 5 perché utilizzando questi criteri:
+ **Flusso logico**: chiara progressione dai sintomi alla causa principale senza passaggi mancanti
+ **Precisione tecnica**: terminologia corretta, descrizioni accurate del comportamento del sistema e interazioni valide tra i componenti
+ **Completezza**: l'analisi spiega tutti i sintomi osservati e raggiunge una causa fondamentale che, se affrontata, impedirebbe la recidiva
+ **Agibilità: la causa principale identificata porta a azioni** correttive specifiche e implementabili
### Le insidie più comuni da evitare
+ **Fermatevi ai sintomi**: non concludete l'analisi al primo guasto tecnico; continuate fino a individuare le cause sistemiche o di processo
+ **Analisi incentrata sulla colpa: concentratevi** sugli errori del sistema e dei processi piuttosto che sulle singole azioni
+ **Pensiero basato su un unico percorso**: prendi in considerazione molteplici fattori che contribuiscono e utilizza l'analisi delle filiali, se del caso
+ **Prove insufficienti**: assicurati che ogni risposta sia supportata da dati concreti derivanti dalla tua indagine
### Integrazione con le sezioni relative ai report sugli incidenti
L'analisi dei 5 motivi si integra con altre sezioni del rapporto sull'incidente per fornire una documentazione completa:
+ **Correlazione temporale**: ogni domanda sul «perché» può fare riferimento a eventi temporali specifici, fornendo un contesto temporale per le relazioni causali
+ **Convalida delle metriche**: le risposte sono supportate da metriche e grafici che dimostrano i comportamenti tecnici descritti
+ **Allineamento della valutazione dell'impatto**: il primo «perché» si collega direttamente alle metriche di impatto sui clienti documentate nella sezione sulla valutazione dell'impatto
+ Nozioni di **base sulle lezioni apprese** - Le cause principali identificate attraverso l'analisi di 5 Perché sono alla base delle lezioni apprese e delle azioni correttive
Questa integrazione garantisce la coerenza in tutta la segnalazione dell'incidente e fornisce alle parti interessate una narrazione completa e coerente dai sintomi iniziali alla causa principale fino ai piani di riparazione.
# Integrazioni con altri sistemi
**Topics**
+ [Integrazione con l'automazione AWS Systems Manager](#Investigations-Integrations-SSM)
+ [Integrazione di con sistemi di chat di terze parti](#Investigations-Integrations-Chat)
## Integrazione con l'automazione AWS Systems Manager
CloudWatch le indagini sono integrate con Automation, una funzionalità di AWS Systems Manager. Non è necessario configurare l'integrazione, ma potrebbe essere necessario aggiornare le autorizzazioni AWS Identity and Access Management (IAM) per poter utilizzare i runbook di automazione.
**Che cos'è? AWS Systems Manager**
Systems Manager consente di visualizzare, gestire e gestire centralmente *nodi gestiti* su larga scala in AWS ambienti locali e multicloud. In Systems Manager, un nodo gestito è un computer configurato per l'uso con Systems Manager. Per ulteriori informazioni, consulta la [https://docs.aws.amazon.com/systems-manager/latest/userguide/](https://docs.aws.amazon.com/systems-manager/latest/userguide/).
**Che cos'è Automazione Systems Manager?**
Automazione esegue attività comuni di manutenzione, implementazione, risoluzione dei problemi e correzione tramite l'uso di *runbook*. Ogni runbook definisce una serie di passaggi per l'esecuzione delle attività. Ogni passaggio è associato a un'*operazione* specifica. L'operazione determina gli input, il comportamento e l'output della fase. Per le descrizioni della ventina di operazioni supportate per i runbook, consulta la [documentazione di riferimento alle operazioni di Automazione Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-actions.html) nella *Guida per l'utente di AWS Systems Manager *.
L'automazione fornisce oltre 400 runbook gestiti AWS . Per i dettagli su ogni runbook, inclusa una step-by-step descrizione delle azioni eseguite durante l'esecuzione, vedere il riferimento al [runbook di Systems Manager Automation](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html). I clienti possono anche progettare i propri runbook per affrontare scenari specifici nei propri ambienti. Per informazioni, consulta [Creating your own runbooks](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-documents.html) nella *Guida per l'utente di AWS Systems Manager *.
Per informazioni sull'uso dei runbook in un'indagine, consulta [Revisione ed esecuzione delle correzioni suggerite dai runbook per le indagini CloudWatch](suggested-investigation-actions.md).
## Integrazione di con sistemi di chat di terze parti
Integrando CloudWatch le indagini con le CloudWatch indagini nelle applicazioni di chat, puoi inviare gli aggiornamenti delle indagini a servizi di chat di terze parti, tra cui Slack e Microsoft Teams. L'integrazione è facilitata da Amazon Simple Notification Service.
I seguenti argomenti descrivono i passaggi necessari nell'ordine consigliato:
**Topics**
+ [Creazione e configurazione dell'argomento e della policy di accesso di Amazon SNS](#Investigations-Integrations-Chat-policy)
+ [Configura le CloudWatch indagini nelle tue applicazioni di chat](#Investigations-Integrations-Chatbot-configure)
+ [Aggiungi argomenti di Amazon SNS a AI Operations CloudWatch](#Investigations-Integrations-Chat-configure)
### Creazione e configurazione dell'argomento e della policy di accesso di Amazon SNS
Crea un argomento Amazon SNS nella stessa Regione della tua indagine. Per ulteriori informazioni, consulta [Creating an Amazon Simple Notification Service topic](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html).
Per abilitare CloudWatch le indagini per l'invio di notifiche, devi aggiungere la seguente politica di accesso all'argomento Amazon SNS
```
{
"Sid": "AIOPS-CHAT-PUBLISH",
"Effect": "Allow",
"Principal": {
"Service": "aiops.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "SNS-TOPIC-ARN",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-Id"
}
}
}
```
### Configura le CloudWatch indagini nelle tue applicazioni di chat
Per configurare CloudWatch le indagini nelle applicazioni di chat per la comunicazione con un servizio di chat di terze parti, utilizza i seguenti tutorial:
+ [Tutorial: Nozioni di base su Slack](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html)
+ [Tutorial: Nozioni di base su Microsoft Teams](https://docs.aws.amazon.com/chatbot/latest/adminguide/teams-setup.html).
Quindi, per supportare l'utilizzo delle azioni dell'assistente AI all'interno dei canali di chat, devi fornire al ruolo di CloudWatch investigazione nelle applicazioni di chat le autorizzazioni appropriate. Quando crei un nuovo ruolo del canale IAM per il canale, seleziona i modelli di policy per le **Notifiche** e le **Autorizzazioni per l'assistente alle operazioni di Amazon Q**.
Allega la policy IAM **AIOpsOperatorAccess**gestita alle policy guardrail nelle CloudWatch indagini nelle applicazioni di chat. Ciò concede le autorizzazioni alle CloudWatch indagini nelle applicazioni di chat per interagire con le CloudWatch indagini ed eseguire le azioni richieste per tuo conto.
Nella configurazione del canale, devi anche iscriverti all'argomento Amazon SNS creato nella procedura precedente.
### Aggiungi argomenti di Amazon SNS a AI Operations CloudWatch
È necessario utilizzare la CloudWatch console per configurare CloudWatch le indagini da integrare con Amazon SNS. L'operazione può essere eseguita durante la creazione del gruppo di indagine nel tuo account o in un secondo momento.
Se hai già creato un gruppo di indagine e desideri aggiungere l'integrazione con la chat, segui questi passaggi.
**Per aggiungere l'integrazione della chat a un gruppo di indagine esistente**
1. Apri la CloudWatch console all'indirizzo. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Nel pannello di navigazione, scegli **Operazioni di IA**, **Configurazione**.
1. Nella scheda **Configurazione facoltativa**, nella sezione **Integrazione con la chat**, procedi come segue:
+ Se hai già integrato CloudWatch indagini in applicazioni di chat con un sistema di chat di terze parti, puoi scegliere **Seleziona argomento SNS** per scegliere l'argomento Amazon SNS da utilizzare per inviare aggiornamenti sulle indagini. Questo argomento di Amazon SNS inoltrerà tali aggiornamenti al client di chat.
+ **Se desideri integrare CloudWatch le indagini nelle applicazioni di chat con un sistema di chat di terze parti, scegli Configura nuovo client di chat.** Per ulteriori informazioni sulla configurazione di questa configurazione, consulta [Guida introduttiva CloudWatch alle indagini nelle applicazioni di chat](https://docs.aws.amazon.com/chatbot/latest/adminguide/getting-started.html).
Quando vengono generati rapporti sugli incidenti, è possibile inviare notifiche ai canali di chat configurati per avvisare i membri del team della disponibilità di nuova documentazione. Queste notifiche includono collegamenti ai report generati e possono essere personalizzate per includere risultati o azioni chiave.
# Sicurezza nelle CloudWatch indagini
Questa sezione include argomenti su come CloudWatch le indagini si integrano con le funzionalità AWS di sicurezza e autorizzazioni.
**Topics**
+ [CloudWatch Autorizzazioni, conservazione e crittografia predefinite per le indagini](#Ephemeral-Investigations-Security)
+ [Autorizzazioni utente per il tuo gruppo di CloudWatch indagine](#Investigations-Security-IAM)
+ [Autorizzazioni aggiuntive per Database Insights](#Investigations-Security-RDS)
+ [Come controllare a quali dati CloudWatch hanno accesso le indagini durante le indagini](#Investigations-Security-Data)
+ [Crittografia dei dati di indagine](#Investigations-KMS)
+ [Inferenza tra Regioni](#cross-region-inference)
## CloudWatch Autorizzazioni, conservazione e crittografia predefinite per le indagini
Quando esegui indagini utilizzando le impostazioni predefinite senza configurazioni aggiuntive nell'account, l'indagine utilizza le autorizzazioni disponibili per la sessione corrente della console e accede ai dati di telemetria utilizzando esclusivamente le autorizzazioni di sola lettura. Non sono richieste policy di configurazione o autorizzazione dei ruoli IAM del gruppo di indagine. Tuttavia, ciò significa che l'accesso dell'indagine ai dati è limitato dalle autorizzazioni dell'utente registrato.
Questa indagine è disponibile solo per lo stesso utente che l'ha avviata. L'indagine è disponibile per la visualizzazione solo per un periodo di 24 ore, dopodiché viene eliminata senza che sia disponibile alcuna opzione di ripristino.
I dati delle indagini sono crittografati quando sono inattivi con una chiave AWS proprietaria. Non puoi visualizzare o gestire le chiavi AWS di proprietà e non puoi usarle per altri scopi o controllarne l'utilizzo. Tuttavia, non devi effettuare alcuna operazione né modificare impostazioni per utilizzare queste chiavi. Per ulteriori informazioni, consulta [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html).
## Autorizzazioni utente per il tuo gruppo di CloudWatch indagine
AWS ha creato tre policy IAM gestite che puoi utilizzare per i tuoi utenti che lavoreranno con il tuo gruppo CloudWatch investigativo.
+ [AIOpsConsoleAdminPolicy](managed-policies-cloudwatch.md#managed-policies-QInvestigations-AIOpsConsoleAdminPolicy)— offre a un amministratore la possibilità di impostare CloudWatch indagini sull'account, accedere alle CloudWatch azioni investigative, gestire la propagazione delle identità affidabili e gestire l'integrazione con IAM Identity Center e l'accesso organizzativo.
+ [AIOpsOperatorAccess](managed-policies-cloudwatch.md#managed-policies-QInvestigations-AIOpsOperatorAccess)— concede a un utente l'accesso alle azioni di indagine, incluso l'avvio di un'indagine. Concede inoltre le autorizzazioni aggiuntive necessarie per accedere agli eventi di indagine.
+ [AIOpsReadOnlyAccess](managed-policies-cloudwatch.md#managed-policies-QInvestigations-AIOpsReadOnlyAccess)— concede autorizzazioni di sola lettura per CloudWatch indagini e altri servizi correlati.
Ti consigliamo di utilizzare tre principi IAM, garantendo a uno di essi la policy **AIOpsConsoleAdminPolicy**IAM, a un altro la policy e al terzo la **AIOpsOperatorAccess**policy. **AIOpsReadOnlyAccess** Questi principali potrebbero essere ruoli IAM (consigliato) o utenti IAM. Quindi i tuoi utenti che si occupano di CloudWatch indagini accederanno utilizzando uno di questi principi.
### Autorizzazioni per la generazione di report sugli incidenti
La generazione di report sugli incidenti richiede autorizzazioni aggiuntive per consentire all'IA di raccogliere eventi, fatti e quindi creare report.
Gli utenti **AIOpsConsoleAdminPolicy**possono generare, modificare e copiare i report sugli incidenti. Per impostazione predefinita, al gruppo investigativo viene assegnato il compito **AIOpsAssistantPolicy **di consentirgli l'accesso alla risorsa. Tuttavia, non dispone delle autorizzazioni necessarie per generare un rapporto di indagine. Per concedere le autorizzazioni al gruppo di indagine per raccogliere i dati dell'indagine in un rapporto sugli incidenti, è necessario aggiungere una politica simile all'esempio seguente che includa autorizzazioni aggiuntive o aggiungere le azioni aggiuntive come politica in linea al gruppo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IncidentReportOperations",
"Effect": "Allow",
"Action": [
"aiops:GetInvestigation",
"aiops:ListInvestigationEvents",
"aiops:GetInvestigationEvent",
"aiops:CreateReport",
"aiops:UpdateReport",
"aiops:GetReport",
"aiops:PutFact",
"aiops:ListFacts",
"aiops:GetFact",
"aiops:GetFactVersions"
],
"Resource": [
"arn:aws:aiops:*:*:investigation-group/*"
]
}
]
}
```
------
La nuova policy gestita `AIOpsAssistantIncidentReportPolicy` fornisce le autorizzazioni richieste e viene aggiunta automaticamente ai gruppi di indagine creati dopo il 10 ottobre 2025. Per ulteriori informazioni, consulta [AIOpsAssistantIncidentReportPolicy](managed-policies-cloudwatch.md#managed-policies-QInvestigations-AIOpsAssistantIncidentReportPolicy).
## Autorizzazioni aggiuntive per Database Insights
Per utilizzare le funzionalità di Database Insights durante le indagini, devi collegare la policy `AmazonRDSPerformanceInsightsFullAccess` gestita al ruolo o all'utente IAM che utilizzi per eseguire le indagini. CloudWatch le indagini richiedono queste autorizzazioni per creare e accedere ai report di analisi delle prestazioni per le istanze di database Amazon RDS.
Per collegare questa policy, utilizza la console IAM per aggiungere la policy gestita `AmazonRDSPerformanceInsightsFullAccess` al principale dell'indagine. Per ulteriori informazioni su questa politica gestita e sulle relative autorizzazioni, consulta [Amazon RDSPerformance InsightsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSPerformanceInsightsFullAccess.html).
## Come controllare a quali dati CloudWatch hanno accesso le indagini durante le indagini
Quando configuri un gruppo investigativo nel tuo account, specifichi le autorizzazioni di cui dispongono le CloudWatch indagini per accedere alle tue risorse durante le indagini. Puoi farlo assegnando un ruolo IAM al gruppo di indagine.
Per consentire alle CloudWatch indagini di accedere alle risorse ed essere in grado di formulare suggerimenti e ipotesi, il metodo consigliato consiste nell'attribuire il **AIOpsAssistantPolicy**ruolo al gruppo di indagine. Ciò concede al gruppo d'indagine il permesso di analizzare le risorse dell'utente durante le AWS indagini. Per informazioni sui contenuti completi di questa policy, consulta [AIOpsAssistantPolicy](managed-policies-cloudwatch.md#managed-policies-QInvestigations-AIOpsAssistant).
Puoi anche scegliere di assegnare il ruolo del generale AWS [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)al gruppo investigativo, oltre a ricoprire il ruolo. **AIOpsAssistantPolicy** La ragione di ciò è che si AWS aggiorna **ReadOnlyAccess**più frequentemente con le autorizzazioni per AWS i nuovi servizi e le azioni che vengono rilasciate. **AIOpsAssistantPolicy**Verrà inoltre aggiornato per nuove azioni, ma non così frequentemente.
Se desideri definire i permessi concessi alle CloudWatch indagini, puoi allegare una policy IAM personalizzata al ruolo IAM del gruppo di indagine anziché allegare la policy. **AIOpsAssistantPolicy** Per fare ciò, avvia la tua policy personalizzata con il contenuto di [AIOpsAssistantPolicy](managed-policies-cloudwatch.md#managed-policies-QInvestigations-AIOpsAssistant)e poi rimuovi le autorizzazioni che non desideri concedere alle indagini. CloudWatch In questo modo eviterai che CloudWatch le indagini forniscano suggerimenti basati sui AWS servizi o sulle azioni a cui non concedi l'accesso.
**Nota**
Tutto ciò a cui CloudWatch le indagini possono accedere può essere aggiunto all'indagine e visto dai vostri operatori investigativi. Ti consigliamo di allineare le autorizzazioni per CloudWatch le indagini con le autorizzazioni di cui dispongono gli operatori del tuo gruppo investigativo.
### Consentire alle CloudWatch indagini di decrittografare i dati crittografati durante le indagini
Se crittografi i dati in uno dei seguenti servizi con una chiave gestita dal cliente e desideri che CloudWatch le indagini siano in AWS KMS grado di decrittografare i dati di questi servizi e includerli nelle indagini, dovrai allegare una o più politiche IAM aggiuntive al ruolo IAM del gruppo d'indagine.
+ AWS Step Functions
L'istruzione della policy dovrebbe includere una chiave di contesto per il contesto di crittografia per aiutare a definire le autorizzazioni. Ad esempio, la seguente politica consentirebbe CloudWatch le indagini per decrittografare i dati per una macchina a stati Step Functions.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AIOPSKMSAccessForStepFunctions",
"Effect": "Allow",
"Principal": {
"Service": "aiops.amazonaws.com"
},
"Action":
[
"kms:Decrypt"
],
"Resource": "*",
"Condition":
{
"StringEquals":
{
"kms:ViaService": "states.*.amazonaws.com",
"kms:EncryptionContext:aws:states:stateMachineArn": "arn:aws:states:region:accountId:stateMachine:*"
}
}
}
]
}
```
------
Per ulteriori informazioni su questi tipi di policy e sull'utilizzo di queste chiavi di contesto, consulta [kms: ViaService and kms:EncryptionContext:](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service) [https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-encryption-context](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-encryption-context) nella AWS Key Management Service Developer Guide e [aws](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn): nella IAM User Guide. SourceArn
## Crittografia dei dati di indagine
Per la crittografia dei dati delle indagini, AWS offre due opzioni:
+ **AWS chiavi di proprietà**: per impostazione predefinita, CloudWatch investigations crittografa i dati di indagine inattivi con una chiave AWS proprietaria. Non è possibile visualizzare o gestire le chiavi AWS di proprietà e non è possibile utilizzarle per altri scopi o controllarne l'utilizzo. Tuttavia, non devi effettuare alcuna operazione né modificare impostazioni per utilizzare queste chiavi. Per ulteriori informazioni sulle chiavi AWS possedute, vedi [chiavi AWS possedute](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
+ **Chiavi gestite dal cliente**: sono chiavi che crei, possiedi e gestisci tu. Puoi scegliere di utilizzare una chiave gestita dal cliente anziché una chiave AWS proprietaria per i dati delle indagini. Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta [Customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
I report sugli incidenti generati dalle indagini utilizzano le stesse impostazioni di crittografia dell'indagine principale. In questo modo si mantiene un livello di sicurezza coerente per tutti i dati e la documentazione delle indagini
**Nota**
CloudWatch investigations abilita automaticamente e gratuitamente la crittografia dei dati AWS inattivi utilizzando chiavi di proprietà. Se si utilizza una chiave gestita dal cliente, vengono applicati dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
Per ulteriori informazioni su AWS KMS, vedere [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
### Utilizzo di una chiave gestita dal cliente per il gruppo di indagine
Puoi associare un gruppo di indagine a una chiave gestita dal cliente. In tal modo, tutte le indagini create in quel gruppo utilizzeranno la chiave gestita dal cliente per crittografare i dati a riposo delle indagini.
CloudWatch l'utilizzo delle chiavi gestite dal cliente nelle indagini presenta le seguenti condizioni:
+ CloudWatch investigations supporta solo AWS KMS chiavi di crittografia simmetriche con le specifiche di chiave predefinite e il cui utilizzo `SYMMETRIC_DEFAULT` è definito come. `ENCRYPT_DECRYPT`
+ Affinché un utente possa creare o aggiornare un gruppo di indagine con una chiave gestita dal cliente, deve disporre delle autorizzazioni `kms:DescribeKey`, `kms:GenerateDataKey` e `kms:Decrypt`.
+ Affinché un utente possa creare o aggiornare un'indagine in un gruppo di indagine che utilizza una chiave gestita dal cliente, deve disporre delle autorizzazioni `kms:GenerateDataKey` e `kms:Decrypt`.
+ Affinché un utente possa visualizzare i dati di indagine in un gruppo di indagine che utilizza una chiave gestita dal cliente, deve disporre dell'autorizzazione `kms:Decrypt`.
### Impostazione delle indagini per utilizzare una chiave gestita dal cliente AWS KMS
Innanzitutto, se non disponi ancora di una chiave simmetrica da utilizzare, crea una nuova chiave con il seguente comando.
```
aws kms create-key
```
L'output del comando contiene l'ID e il nome della risorsa Amazon (ARN) della chiave. Ti serviranno nei passaggi successivi di questa sezione. Segue un esempio di output.
```
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1478910250.94,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/6f815f63-e628-448c-8251-e4EXAMPLE",
"AWSAccountId": "111122223333",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}
```
**Impostazione delle autorizzazioni sulla chiave**
Quindi, imposta le autorizzazioni sulla chiave. Per impostazione predefinita, tutte le AWS KMS chiavi sono private. Solo il proprietario della risorsa può utilizzarla per crittografare e decrittare i dati. Tuttavia, il proprietario della risorsa può concedere ad altri utenti e risorse le autorizzazioni per accedere alla chiave. Con questo passaggio, concedi al principale del servizio Operazioni di IA l'autorizzazione a utilizzare la chiave. L'entità del servizio deve trovarsi nella stessa AWS regione in cui è archiviata la chiave KMS.
Come procedura ottimale, ti consigliamo di limitare l'uso della chiave KMS solo agli AWS account o alle risorse specificati.
Il primo passaggio per impostare le autorizzazioni consiste nel salvare la policy predefinita per la chiave come `policy.json`. A tale scopo, utilizza il comando seguente. Sostituiscila *key-id* con l'ID della tua chiave.
```
aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json
```
Apri il file `policy.json` in un editor di testo e aggiungi le seguenti sezioni della policy in tale policy. Separa l'istruzione esistente dalle nuove sezioni con una virgola. Queste nuove sezioni utilizzano `Condition` sezioni per migliorare la sicurezza della AWS KMS chiave. Per ulteriori informazioni, consulta [AWS KMS keys and encryption context](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html#encrypt-log-data-kms-policy).
Questa policy fornisce le autorizzazioni ai principali del servizio per i seguenti motivi:
+ Il servizio `aiops` necessita delle autorizzazioni `GenerateDataKey` per ottenere la chiave dati e utilizzarla per crittografare i dati mentre sono archiviati in un file a riposo. L'autorizzazione `Decrypt` è necessaria per decrittografare i dati durante la lettura dall'archivio dati. La decrittografia avviene quando si leggono i dati utilizzando `aiops` APIs o quando si aggiorna l'indagine o l'evento di indagine. L'operazione di aggiornamento recupera i dati esistenti dopo averli decrittografati, li aggiorna e archivia i dati aggiornati nell'archivio dati dopo la crittografia.
+ Il servizio CloudWatch allarmi può creare indagini o eventi investigativi. Queste operazioni di creazione verificano che il chiamante abbia accesso alla AWS KMS chiave definita per il gruppo di indagine. La dichiarazione politica fornisce le autorizzazioni `GenerateDataKey` e `Decrypt` le autorizzazioni al servizio di CloudWatch allarmi per creare indagini per conto dell'utente.
**Nota**
La seguente politica presuppone che tu segua la raccomandazione di utilizzare tre principi IAM e di concedere a uno di essi la policy **AIOpsConsoleAdminPolicy**IAM, a un altro la policy e al terzo la **AIOpsOperatorAccess**policy. **AIOpsReadOnlyAccess** Questi principali potrebbero essere ruoli IAM (consigliato) o utenti IAM. Quindi i tuoi utenti che si occupano di CloudWatch indagini accederanno a uno di questi responsabili.
Per la seguente politica, avrai bisogno ARNs di uno di questi tre principi.
```
{
"Sid": "Enable AI Operations Admin for the DescribeKey permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "aiops.{region}.amazonaws.com"
}
}
},
{
"Sid": "Enable AI Operations Admin and Operator for the Decrypt and GenerateDataKey permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}",
"arn:aws:iam::{account-id}:role/{AIOpsOperator}"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "aiops.{region}.amazonaws.com"
},
"ArnLike": {
"kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
}
}
},
{
"Sid": "Enable AI Operations ReadOnly for the Decrypt permission",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{account-id}:role/{AIOpsReadOnly}"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "aiops.{region}.amazonaws.com"
},
"ArnLike": {
"kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
}
}
},
{
"Sid": "Enable the AI Operations service to have the DescribeKey permission",
"Effect": "Allow",
"Principal": {
"Service": "aiops.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{account-id}"
},
"StringLike": {
"aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
}
}
},
{
"Sid": "Enable the AI Operations service to have the Decrypt and GenerateDataKey permissions",
"Effect": "Allow",
"Principal": {
"Service": "aiops.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{account-id}"
},
"StringLike": {
"aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
},
"ArnLike": {
"kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
}
}
},
{
"Sid": "Enable CloudWatch to have the Decrypt and GenerateDataKey permissions",
"Effect": "Allow",
"Principal": {
"Service": "aiops.alarms.cloudwatch.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
},
"StringEquals": {
"aws:SourceAccount": "{account-id}",
"kms:ViaService": "aiops.{region}.amazonaws.com"
},
"StringLike": {
"aws:SourceArn": "arn:aws:cloudwatch:{region}:{account-id}:alarm:*"
}
}
}
```
Dopo aver aggiornato la policy, assegnala alla chiave immettendo il seguente comando.
```
aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json
```
**Associazione della chiave al gruppo di indagine**
Quando utilizzi la CloudWatch console per creare un gruppo di indagine, puoi scegliere di associare la AWS KMS chiave al gruppo di indagine. Per ulteriori informazioni, consulta [Configurazione di un gruppo di indagine](Investigations-GetStarted-Group.md).
Puoi anche associare una chiave gestita dal cliente a un gruppo di indagine esistente.
### Modifica della configurazione di crittografia
Puoi aggiornare un gruppo di indagine per passare dall'utilizzo di una chiave gestita dal cliente a una chiave di proprietà del servizio. Puoi anche passare dall'utilizzo di una chiave gestita dal cliente all'utilizzo di un'altra. Quando apporti una modifica di questo tipo, la modifica si applica alle nuove indagini create dopo la modifica. Le indagini precedenti restano associate alla configurazione di crittografia precedente. Le indagini attualmente in corso continuano inoltre a utilizzare la chiave originale per i nuovi dati.
Se una chiave utilizzata in precedenza è attiva e Amazon Q può accedervi per le indagini, puoi recuperare le indagini precedenti crittografate con quel metodo, nonché i dati delle indagini in corso che erano crittografati con la chiave precedente. Se elimini una chiave utilizzata in precedenza o ne revochi l'accesso, i dati dell'indagine crittografati con quella chiave non potranno essere recuperati.
## Inferenza tra Regioni
CloudWatch le indagini utilizzano l'*inferenza interregionale* per distribuire il traffico tra diverse regioni. AWS Sebbene i dati rimangano archiviati solo nella Regione primaria, quando si utilizza l'inferenza tra Regioni i dati delle indagini potrebbero spostarsi al di fuori della Regione primaria. Tutti i dati verranno trasmessi crittografati attraverso la rete sicura di Amazon.
Per i dettagli su dove avviene la distribuzione dell'inferenza in tutte le Regioni per ciascuna Regione, consulta la tabella seguente.
| Geografia delle indagini supportate CloudWatch | Regione di indagine | Possibili Regioni di inferenza |
| --- | --- | --- |
| Stati Uniti d'America (US) | Stati Uniti orientali (Virginia settentrionale) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
| | Stati Uniti orientali (Ohio) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
| | Stati Uniti occidentali (Oregon) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
| Europa (UE) | Europa (Francoforte) | UE (Francoforte), UE (Irlanda), UE (Parigi), UE (Stoccolma) |
| | Europa (Irlanda) | UE (Francoforte), UE (Irlanda), UE (Parigi), UE (Stoccolma) |
| | Europa (Spagna) | UE (Francoforte), UE (Irlanda), UE (Parigi), UE (Stoccolma) |
| | Europa (Stoccolma) | UE (Francoforte), UE (Irlanda), UE (Parigi), UE (Stoccolma) |
| Asia Pacifico (AP) | Asia Pacifico (Hong Kong) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
| | Asia Pacifico (Mumbai) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
| | Asia Pacifico (Singapore) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
| | Asia Pacifico (Sydney) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
| | Asia Pacifico (Tokyo) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
| | Asia Pacifico (Malesia) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
| | Asia Pacifico (Thailandia) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
# CloudWatch conservazione dei dati delle indagini
Il periodo di conservazione impostato per un gruppo di indagine determina per quanto tempo vengono conservati i dati di indagine. I valori validi sono compresi tra 7 e 90 giorni.
Dopo aver creato un'indagine per la prima volta, se non la si termina manualmente, l'indagine passa automaticamente allo stato CHIUSO dopo sette giorni. Dopodiché, il periodo di conservazione determina per quanto tempo i dati vengono conservati dopo che l'indagine è passata allo stato CHIUSO. I dati conservati durante il periodo di conservazione includono i dati dell'indagine, gli esiti accettati ed eliminati e i messaggi del log di audit dell'assistente IA.
Alla scadenza di questo periodo di conservazione, i dati dell'indagine vengono eliminati.
Se si termina manualmente un'indagine, l'indagine passa allo stato CHIUSO e inizia a decorrere il periodo di conservazione.
**Nota**
Le indagini condotte senza configurare CloudWatch le impostazioni delle indagini sono collegate alle singole sessioni utente e vengono eliminate dopo 24 ore, senza alcuna opzione di ripristino disponibile.
## Conservazione dei report sugli incidenti
Le segnalazioni sugli incidenti generate dalle indagini seguono la stessa politica di conservazione delle indagini precedenti.
Ti consigliamo di copiare le segnalazioni di incidenti importanti su sistemi esterni se hai bisogno di conservarle oltre il periodo di conservazione delle indagini.
Per ulteriori informazioni, consulta [Generazione di report sugli incidenti](Investigations-Incident-Reports.md).
# Risoluzione dei problemi
**Topics**
+ [CloudWatch le indagini non possono assumere i ruoli o le autorizzazioni IAM necessari. Verifica che i ruoli e le autorizzazioni richiesti siano configurati correttamente](#Investigations-Troubleshooting-Permissions)
+ [Impossibile identificare l'origine dell'evento. Verifica che la risorsa esista nella topologia dell'applicazione e che il tipo di risorsa sia supportato.](#Investigations-Troubleshooting-eventsource)
+ [Analisi completata. Invio di ulteriori esiti per ricevere suggerimenti aggiornati](#Investigations-Troubleshooting-complete)
+ [Lo stato dell'account di origine mostra “Collegamento in sospeso all'account di monitoraggio”](#Investigations-Troubleshooting-cross-account)
+ [Problemi relativi alla generazione di report sugli incidenti](#Investigations-Troubleshooting-IncidentReports)
## CloudWatch le indagini non possono assumere i ruoli o le autorizzazioni IAM necessari. Verifica che i ruoli e le autorizzazioni richiesti siano configurati correttamente
CloudWatch le indagini utilizzano un ruolo IAM per poter accedere alle informazioni nella topologia. Questo ruolo IAM deve essere configurato con autorizzazioni adeguate. Per ulteriori informazioni sulle autorizzazioni necessarie, consulta [Come controllare a quali dati CloudWatch hanno accesso le indagini durante le indagini](Investigations-Security.md#Investigations-Security-Data).
## Impossibile identificare l'origine dell'evento. Verifica che la risorsa esista nella topologia dell'applicazione e che il tipo di risorsa sia supportato.
Esistono diversi AWS servizi e funzionalità che ti consigliamo di abilitare per fornire ulteriori informazioni preziose alle CloudWatch indagini. Questi servizi e funzionalità possono aiutare le CloudWatch indagini a identificare le fonti degli eventi. Per ulteriori informazioni, consulta [(Consigliato) Best practice per migliorare le indagini](Investigations-RecommendedServices.md).
## Analisi completata. Invio di ulteriori esiti per ricevere suggerimenti aggiornati
Quando viene visualizzato questo messaggio, CloudWatch le indagini hanno terminato l'analisi della topologia e della telemetria sulla base dei risultati finora rilevati. Se ritieni che la causa principale non sia stata trovata, puoi aggiungere manualmente altri dati di telemetria all'indagine e ciò potrebbe CloudWatch indurre le indagini a eseguire nuovamente la scansione del sistema sulla base delle nuove informazioni.
Per aggiungere nuova telemetria, accedi alla console del servizio e aggiungi la telemetria all'indagine. Ad esempio, per aggiungere una metrica Lambda all'indagine, puoi effettuare quanto segue:
1. Apri la console Lambda.
1. Nella sezione **Monitoraggio**, individua la metrica.
1. Apri il menu contestuale con i puntini di sospensione verticali ![\[An example of a CloudWatch overview home page, showing alarms and their current state, and examples of other metrics graph widgets that might appear on the overview home page.\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/monitoring/images/vmore.png) per la metrica, scegli **Indagine**, **Aggiungi all'indagine**. Quindi, nel pannello **Indagine**, seleziona il nome dell'indagine.
## Lo stato dell'account di origine mostra “Collegamento in sospeso all'account di monitoraggio”
Verifica che sia l'account di monitoraggio sia l'account di origine siano configurati correttamente.
1. Verifica che l'ID dell'account di origine e il nome del ruolo dell'account di origine siano corretti.
1. Il ruolo dell'account di monitoraggio deve disporre dell'autorizzazione `sts:AssumeRole` per assumere il ruolo dell'account di origine.
1. Il ruolo dell'account di origine deve disporre di una policy di attendibilità per il ruolo dell'account di monitoraggio da assumere.
1. La policy di attendibilità nel ruolo dell'account di origine deve avere un ambito adeguato per far sì che l'ARN del gruppo di indagine rientri nella chiave di contesto `sts:ExternalId`:
```
"Condition": {
"StringEquals": {
"sts:ExternalId": "investigation-group-arn"
}
}
```
## Problemi relativi alla generazione di report sugli incidenti
Questa sezione descrive i problemi più comuni che potresti riscontrare durante la generazione di report sugli incidenti e come risolverli.
### La generazione dei report non riesce o produce contenuti incompleti
Se la generazione del report sull'incidente non riesce, verifica quanto segue:
+ **L'indagine ha almeno un'ipotesi accettata nel Feed**
+ Il tuo utente e il tuo gruppo investigativo dispongono delle autorizzazioni necessarie, vedi. [Autorizzazioni utente per il tuo gruppo di CloudWatch indagine](Investigations-Security.md#Investigations-Security-IAM)