Utilizzo delle regole di abilitazione della telemetria - Amazon CloudWatch
Integrazione delle regole di abilitazione con AWS ConfigComprensione del comportamento delle regole di abilitazioneCreazione di regole di abilitazione della telemetriaGestione delle regole di telemetriaRisoluzione degli errori di configurazione della telemetria

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo delle regole di abilitazione della telemetria

Puoi creare regole di abilitazione della telemetria per configurare automaticamente la raccolta di telemetria per le tue risorse. AWS Le regole permettono di standardizzare la raccolta della telemetria in tutta l'organizzazione o nei singoli account, garantendo una copertura di monitoraggio uniforme.

Integrazione delle regole di abilitazione con AWS Config

CloudWatch Il controllo e la configurazione della telemetria si integrano per scoprire automaticamente le risorse che corrispondono alla regola di abilitazione e applicarle AWS Config alla raccolta dei dati di telemetria. Quando crei una regola di abilitazione, la configurazione della telemetria crea un registratore AWS Config corrispondente. Questo registratore include elementi di configurazione per i tipi di risorse specifici definiti nella regola di abilitazione.

Amazon CloudWatch utilizza il AWS registratore collegato al servizio Config Internal. Non ti viene addebitato alcun costo per CIs l' CloudWatch utilizzo nell'ambito degli Internal Service Linked Recorders.

Nota

Quando crei una regola di abilitazione, scopriamo le risorse non conformi (quelle senza telemetria abilitata) tramite AWS Config Configuration Items CIs () prima di attivarle in base all'ambito della regola di abilitazione. In alcuni casi, il completamento dell'individuazione iniziale delle risorse può richiedere fino a 24 ore.

La configurazione di telemetria consente di: AWS Config

  • Rilevare le risorse nell'organizzazione o negli account

  • Tracciare le modifiche alla configurazione della telemetria

Comprensione del comportamento delle regole di abilitazione

La configurazione della telemetria segue schemi specifici durante la valutazione e l'applicazione delle regole:

Le regole di abilitazione vengono valutate secondo uno schema gerarchico. Vengono valutate prima le regole organizzative, poi le regole che si applicano alle unità organizzative (OUs) e infine le regole che si applicano ai singoli account. Le regole a livello organizzativo forniscono la telemetria di base richiesta per l'organizzazione. Le regole a livello di unità organizzativa e di account possono raccogliere dati di telemetria aggiuntivi, ma non possono raccogliere meno dati di telemetria. Se viene creata una regola di questo tipo, si creerà un conflitto di regole.

All'interno di ogni ambito (organizzazione, unità organizzativa o account), le regole devono mantenere l'unicità in base al tipo di risorsa, al tipo di telemetria e alla configurazione di destinazione. Le regole duplicate attivano un'eccezione di conflitto. Se la stessa regola esiste in ambiti diversi, ad esempio una regola a livello di organizzazione per i log del flusso VPC e una regola CloudWatch a livello di unità organizzativa per i log del flusso VPC, viene applicata la regola più in alto nella gerarchia. Tuttavia, se ci sono più regole in conflitto, nessuna delle regole viene applicata.

Per i log di flusso VPC, la configurazione della telemetria crea solo nuovi log di flusso per le risorse che corrispondono all'ambito della regola. Non elimina né influisce sui log di flusso VPC precedentemente stabiliti, anche se differiscono dai parametri delle regole correnti. Per CloudWatch i log, i gruppi di log esistenti vengono mantenuti a condizione che corrispondano al modello di risorse.

Se si aggiorna una regola di abilitazione, solo le nuove risorse che corrispondono alla regola adottano la configurazione aggiornata, mentre le impostazioni di telemetria esistenti rimangono invariate per le risorse esistenti. Se una risorsa non è conforme a una regola esistente a causa dell'eliminazione manuale dei dati di telemetria, la nuova regola di abilitazione viene adottata una volta che per la risorsa viene ripristinata la conformità.

Creazione di regole di abilitazione della telemetria

Quando crei una regola di abilitazione della telemetria, specifica:

  • L'ambito della regola (organizzazione, unità organizzativa o account)

  • I tipi di risorse a cui viene applicata la regola

  • I tipi di telemetria da abilitare (metriche, log o tracce)

  • Tag opzionali per filtrare le risorse interessate dalla regola

Per creare una regola di abilitazione della telemetria

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione, scegli Configurazione della telemetria.

  3. Scegli la scheda Regole di abilitazione.

  4. Scegli Aggiungi regola.

  5. In Nome regola, inserisci un nome per la regola.

  6. Per Ambito della regola, scegli una delle seguenti opzioni:

    • Organizzazione: la regola si applica a tutta l'organizzazione AWS Organizations

    • Unità organizzativa: la regola si applica a un'unità organizzativa specifica

    • Account: la regola si applica a un singolo account

  7. Per Origine dati, seleziona il AWS servizio da configurare.

  8. Per Tipo di telemetria, seleziona i tipi di telemetria da abilitare.

  9. Facoltativo: aggiungi tag per filtrare le risorse interessate dalla regola.

  10. Scegli Crea regola.

Gestione delle regole di telemetria

Dopo aver creato le regole, puoi modificarle o eliminarle. Inoltre, puoi visualizzare le risorse interessate da ciascuna regola e monitorare la conformità delle regole.

Per gestire una regola esistente

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione, scegli Configurazione della telemetria.

  3. Scegli la scheda Regole di abilitazione.

  4. Seleziona una regola per visualizzarne i dettagli o scegli una di queste operazioni:

    • Modifica: modifica le impostazioni delle regole

    • Elimina: rimuovi la regola

Risoluzione degli errori di configurazione della telemetria

Questa sezione descrive i problemi comuni che possono verificarsi durante l'utilizzo della configurazione della telemetria e come risolverli.

Conflitti tra regole e risoluzione

Quando più regole si applicano alla stessa risorsa, la configurazione della telemetria risolve i conflitti utilizzando le seguenti priorità:

  1. Le regole a livello di organizzazione hanno la precedenza sulle regole a livello di account

  2. Corrispondenze di tag più specifiche hanno la precedenza sulle regole generali

  3. Se esistono più regole in conflitto tra loro, nessuna delle regole viene applicata ed è necessario prima risolvere i conflitti.

Problemi comuni

Risorse non presenti nel rilevamento

Verificare che:

  • Il tipo di risorsa è supportato

  • AWS Il registratore Config è abilitato

  • Disponi delle autorizzazioni IAM appropriate

Le regole non si applicano automaticamente

Verifica:

  • La configurazione dell'ambito della regola

  • Filtri per i tag

Nota

Quando crei una regola di abilitazione, scopriamo le risorse non conformi (quelle senza telemetria abilitata) tramite AWS Config Configuration Items CIs () prima di attivarle in base all'ambito della regola di abilitazione. In alcuni casi, il completamento dell'individuazione iniziale delle risorse può richiedere fino a 24 ore.

Le considerazioni specifiche per il servizio

Registri di flusso di Amazon VPC

Durante la creazione di log di flusso:

  • Utilizza il pattern predefinito/aws/vpc/vpc-id se non è specificato

  • I log di flusso esistenti creati dal cliente vengono conservati

  • Gli aggiornamenti delle regole riguardano solo i nuovi log di flusso

  • È possibile utilizzare le <vpc-id><account-id>macro per dividere i gruppi di log.

  • CloudWatch non crea log di flusso perché sta già VPCs inserendo log in Logs CloudWatch

Registrazione del piano di controllo Amazon EKS

Quando si abilita la registrazione del piano di controllo:

  • <cluster-name>Utilizza il modello di gruppo di CloudWatch log predefinito /aws/eks/ /cluster. Amazon EKS crea automaticamente un gruppo di log per cluster.

  • Gli aggiornamenti delle regole riguardano solo i nuovi cluster o solo i cluster per i quali non sono abilitati i tipi di log con ambito

  • Può abilitare tipi di log specifici: api, audit, authenticator, ControllerManager, scheduler

AWS Registri ACL Web WAF

Durante la creazione di registri WAF:

  • Utilizza lo schema di gruppo di CloudWatch log predefinito e il prefisso è sempre - aws-waf-logs

  • Gli aggiornamenti delle regole riguardano solo il Web nuovo ACLs o il Web esistente per ACLs cui la registrazione non è abilitata nei registri CloudWatch

  • CloudWatch non abilita i log per il Web ACLs che stanno già inserendo i log in Logs CloudWatch

Registri di Amazon Route 53 Resolver

Quando si abilita la registrazione delle query con resolver:

  • Utilizza il modello di gruppo di CloudWatch log predefinito /aws/route53resolver se non è specificato

  • CloudWatch non crea registri di interrogazione del resolver perché sta già importando i log in Logs VPCs CloudWatch

  • Le regole di abilitazione configurano la registrazione delle query della Route 53 per l'ambito delle regole VPCs in base all'utente. CloudWatch non rileva i profili Route 53 e le relative configurazioni.

Registri di accesso NLB

Quando si abilitano i registri di accesso:

  • Utilizza il modello di pattern di gruppo di CloudWatch log predefinito con prefisso/aws/nlb/access-logs se non è specificato

  • CloudWatch non abilita le consegne di log in quanto sta già NLBs importando log in Logs CloudWatch

Telemetria Amazon Bedrock AgentCore

  • Abilita sia i log che le tracce emessi da tutte le AgentCore primitive Bedrock disponibili come Runtime, Browser Tools, Code Interpreter Tools, ecc. Segui l'esperienza della console Telemetry Configure per creare una regola di consegna dei log, seguita dalla creazione di una regola di consegna delle tracce.

  • Quando si crea una regola di consegna della traccia, verrà abilitata Transaction Search e verrà creata una politica di autorizzazione aggiuntiva per consentire a CloudWatch X-Ray di inviare la traccia correlata al gruppo di log gestito dell'account. Inoltre, verrà creata una politica sulle risorse X-Ray per consentire alle AgentCore primitive Bedrock attuali e nuove di fornire tracce al tuo account.

CloudTrail Registri utilizzando un canale collegato al servizio

Quando si abilitano CloudTrail i log utilizzando il percorso SLC:

  • Utilizza gruppi di CloudWatch log gestiti aws/cloudtrail/ <event-types>

  • Le configurazioni di Trail forwarding esistenti create dal cliente vengono preservate CloudTrail

  • CloudWatch Enablement Rules utilizza solo il canale collegato al servizio per importare i log

  • Gli eventi utilizzano il periodo di conservazione configurato per il gruppo di log

  • Per quanto riguarda CloudTrail gli eventi, nell'ambito della procedura guidata di abilitazione, è possibile scegliere almeno un tipo di evento da inserire. CloudWatch

  • Se gli eventi vengono consegnati con ritardo (indicato dal motivo addendum DELIVERY_DELAY) e in precedenza hai configurato un periodo di conservazione più breve, gli eventi ritardati potrebbero essere disponibili solo per la durata del periodo di conservazione più breve.

  • Importante: per le distribuzioni in più regioni: le regole di CloudWatch abilitazione richiedono una configurazione separata in ogni regione e non sono ancora disponibili in tutte le regioni. AWS Per una copertura completa in più regioni, è consigliabile continuare a utilizzare i CloudTrail trail per l'invio di eventi fino all'aumento della disponibilità regionale. CloudWatch