View a markdown version of this page

Regole di abilitazione della telemetria - Amazon CloudWatch
Come funzionano le regoleCreazione di una regola di abilitazione della telemetriaGestione delle regole di telemetriaOrigini dati supportate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Regole di abilitazione della telemetria

Puoi creare regole di abilitazione della telemetria per configurare automaticamente la raccolta di telemetria per le tue risorse. AWS Le regole permettono di standardizzare la raccolta della telemetria in tutta l'organizzazione o nei singoli account, garantendo una copertura di monitoraggio uniforme.

Come funzionano le regole

La configurazione della telemetria segue schemi specifici durante la valutazione e l'applicazione delle regole.

Gerarchia di valutazione delle regole

Le regole di abilitazione vengono valutate secondo uno schema gerarchico. Vengono valutate prima le regole organizzative, poi le regole che si applicano alle unità organizzative (OUs) e infine le regole che si applicano ai singoli account. Le regole a livello organizzativo forniscono la telemetria di base richiesta per l'organizzazione. Le regole a livello di unità organizzativa e di account possono raccogliere dati di telemetria aggiuntivi, ma non possono raccogliere meno dati di telemetria. Se viene creata una regola di questo tipo, si creerà un conflitto di regole.

All'interno di ogni ambito (organizzazione, unità organizzativa o account), le regole devono mantenere l'unicità in base al tipo di risorsa, al tipo di telemetria e alla configurazione di destinazione. Le regole duplicate attivano un'eccezione di conflitto. Se la stessa regola esiste in ambiti diversi, ad esempio una regola a livello di organizzazione per i log di Amazon VPC Flow e una regola CloudWatch a livello di unità organizzativa per i log di Amazon VPC Flow, viene applicata la regola più in alto nella gerarchia. Tuttavia, se esistono più regole in conflitto, nessuna di esse viene applicata.

Quando più regole si applicano alla stessa risorsa, la configurazione della telemetria risolve i conflitti utilizzando le seguenti priorità:

  1. Le regole a livello di organizzazione hanno la precedenza sulle regole a livello di account

  2. Corrispondenze di tag più specifiche hanno la precedenza sulle regole generali

  3. Se sono presenti più regole in conflitto, nessuna di esse viene applicata. È innanzitutto necessario risolvere i conflitti.

Comportamento delle regole sugli aggiornamenti

Se aggiorni una regola di abilitazione, solo le nuove risorse che corrispondono alla regola adottano la configurazione aggiornata. Le impostazioni di telemetria esistenti rimangono invariate per le risorse esistenti. Se una risorsa non è conforme a una regola esistente a causa dell'eliminazione manuale dei dati di telemetria, la nuova regola di abilitazione viene adottata una volta che per la risorsa viene ripristinata la conformità.

Per i log di flusso di Amazon VPC, la configurazione di telemetria crea solo nuovi log di flusso per le risorse che corrispondono all'ambito della regola. Non elimina né influisce sui log di Amazon VPC Flow stabiliti in precedenza, anche se differiscono dai parametri delle regole correnti. Per CloudWatch i log, i gruppi di log esistenti vengono mantenuti a condizione che corrispondano allo schema di risorse.

Integrazione con AWS Config

CloudWatch Il controllo e la configurazione della telemetria si integrano per scoprire automaticamente le risorse che corrispondono alla regola di abilitazione e applicarle AWS Config alla raccolta dei dati di telemetria. Quando si crea una regola di abilitazione, la configurazione di telemetria crea un registratore corrispondente. AWS Config Questo registratore include elementi di configurazione per i tipi di risorse specifici definiti nella regola di abilitazione.

Amazon CloudWatch utilizza il AWS registratore collegato al servizio Config Internal. Non ti viene addebitato alcun costo per CIs l' CloudWatch utilizzo nell'ambito degli Internal Service Linked Recorders.

Nota

Quando crei una regola di abilitazione, scopriamo le risorse non conformi (quelle senza telemetria abilitata) tramite AWS Config Configuration Items CIs () prima di attivarle in base all'ambito della regola di abilitazione. In alcuni casi, il completamento dell'individuazione iniziale delle risorse può richiedere fino a 24 ore.

La configurazione di telemetria consente di: AWS Config

  • Rilevare le risorse nell'organizzazione o negli account

  • Tracciare le modifiche alla configurazione della telemetria

Regole in tutte le regioni

Quando crei una regola con regioni target, la regione corrente diventa la regione di origine di quella regola. La regola viene replicata automaticamente nelle regioni parlate selezionate.

Concetti chiave per le regole multiregionali:

  • Le regole replicate non possono essere modificate o eliminate nelle regioni parlate. È necessario accedere alla regione di origine per modificarle o rimuoverle.

  • Se selezioni Tutte le regioni, le nuove regioni vengono incluse automaticamente quando le accetti.

  • Il sistema riconcilia periodicamente le regole tra le regioni per correggere eventuali differenze tra la regione di origine e le regioni parlate.

  • I tag applicati alle regole nella regione di origine vengono replicati nelle regioni parlate.

Quando una regola replicata viene creata, aggiornata o eliminata in una regione parlata, AWS CloudTrail registra una regola AwsServiceEvent nella regione parlata. Questi eventi vengono registrati observabilityadmin.amazonaws.com come servizio di richiamo e includono la regola ARN nella regione parlata. È possibile utilizzare questi eventi per controllare l'attività di replica delle regole in più regioni.

Di seguito è riportato un esempio di AWS CloudTrail evento registrato quando una regola replicata viene creata in una regione parlata:

{
    "eventVersion": "1.11",
    "userIdentity": {
        "accountId": "123456789012",
        "invokedBy": "observabilityadmin.amazonaws.com"
    },
    "eventTime": "2026-04-06T19:50:37Z",
    "eventSource": "observabilityadmin.amazonaws.com",
    "eventName": "CreateTelemetryRule",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "observabilityadmin.amazonaws.com",
    "userAgent": "observabilityadmin.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "eventID": "435d6da2-d099-4775-8944-1e039418de6f",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::ObservabilityAdmin::TelemetryRule",
            "ARN": "arn:aws:observabilityadmin:us-east-1:123456789012:telemetry-rule/my-multi-region-rule"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

Il eventName campo riflette l'operazione eseguita sulla regola replicata:CreateTelemetryRule,UpdateTelemetryRule, o. DeleteTelemetryRule Ciò eventType è sempre AwsServiceEvent dovuto al fatto che l'operazione viene eseguita dal ObservabilityAdmin servizio per conto del cliente, non tramite una chiamata API diretta del cliente.

Creazione di una regola di abilitazione della telemetria

Quando crei una regola di abilitazione della telemetria, specifica:

  • L'ambito della regola (organizzazione, unità organizzativa o account)

  • I tipi di risorse a cui viene applicata la regola

  • I tipi di telemetria da abilitare (metriche, log o tracce)

  • Tag opzionali per filtrare le risorse interessate dalla regola

  • Regioni target opzionali per replicare la regola su più regioni

Per creare una regola di abilitazione della telemetria

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel riquadro di navigazione, scegli Ingestion.

  3. Scegli la scheda Regole di abilitazione.

  4. Scegli Aggiungi regola.

  5. In Nome regola, inserisci un nome per la regola.

  6. Per Ambito della regola, scegli una delle seguenti opzioni:

    • Organizzazione: la regola si applica a tutto AWS Organizations

    • Unità organizzativa: la regola si applica a un'unità organizzativa specifica

    • Account: la regola si applica a un singolo account

  7. Per Origine dati, seleziona il AWS servizio da configurare.

  8. Per Tipo di telemetria, seleziona i tipi di telemetria da abilitare.

  9. (Facoltativo) Aggiungi tag per filtrare le risorse interessate dalla regola.

  10. (Facoltativo) Per le regioni target, seleziona le regioni in cui desideri applicare questa regola. La regione corrente viene automaticamente designata come regione di origine della regola. Se selezioni Tutte le regioni, le nuove regioni vengono incluse automaticamente quando le accetti.

  11. Scegli Crea regola.

Gestione delle regole di telemetria

Dopo aver creato le regole, puoi modificarle o eliminarle. Inoltre, puoi visualizzare le risorse interessate da ciascuna regola e monitorare la conformità delle regole.

Per gestire una regola esistente

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel riquadro di navigazione, scegli Ingestion.

  3. Scegli la scheda Regole di abilitazione.

  4. Seleziona una regola per visualizzarne i dettagli o scegli una di queste operazioni:

    • Modifica regola: modifica le impostazioni delle regole

    • Elimina: rimuove la regola

Gestione delle regole replicate

Quando si visualizza una regola replicata in una regione parlata, la console visualizza un avviso informativo che indica che la regola è stata replicata da un'altra regione. Le azioni Modifica regola ed Elimina sono disattivate per le regole replicate nelle regioni di Spoke.

Per modificare o eliminare una regola replicata, accedi alla regione di origine in cui la regola è stata originariamente creata. La regione d'origine viene visualizzata nell'avviso informativo.

È possibile aggiungere o modificare tag su regole replicate in Spoke Regions. Le modifiche ai tag apportate nelle regioni parlate si applicano solo alla copia locale della regola e non vengono replicate nella regione di origine.

Origini dati supportate

Le seguenti fonti di dati sono supportate dalle regole di abilitazione della telemetria. Ogni fonte di dati ha considerazioni specifiche sul comportamento e sulla configurazione.

Registri di flusso di Amazon VPC

Durante la creazione di log di flusso:

  • Utilizza il pattern predefinito/aws/vpc/vpc-id se non è specificato

  • I log di flusso esistenti creati dal cliente vengono conservati

  • Gli aggiornamenti delle regole riguardano solo i nuovi log di flusso

  • È possibile utilizzare le <vpc-id><account-id>macro per dividere i gruppi di log.

  • CloudWatch non crea log di flusso perché sta già VPCs inserendo log in Logs CloudWatch

Registri del piano di controllo di Amazon EKS

Quando si abilita la registrazione del piano di controllo:

  • <cluster-name>Utilizza il modello di gruppo di CloudWatch log predefinito /aws/eks/ /cluster. Amazon EKS crea automaticamente un gruppo di log per cluster.

  • Gli aggiornamenti delle regole riguardano solo i nuovi cluster o solo i cluster che non hanno i tipi di log con ambito abilitati

  • Può abilitare tipi di log specifici: api, audit, authenticator, ControllerManager, scheduler

AWS Registri ACL Web WAF

Durante la creazione di registri WAF:

  • Utilizza lo schema di gruppo di CloudWatch log predefinito e il prefisso è sempre - aws-waf-logs

  • Gli aggiornamenti delle regole riguardano solo il Web nuovo ACLs o il Web esistente per ACLs cui la registrazione non è abilitata nei registri CloudWatch

  • CloudWatch non abilita i log per il Web ACLs che stanno già inserendo log in Logs CloudWatch

Registri di Amazon Route 53 Resolver

Quando si abilita la registrazione delle query con resolver:

  • Utilizza il modello di gruppo di CloudWatch log predefinito /aws/route53resolver se non è specificato

  • <account-id>È possibile utilizzare le macro per dividere i gruppi di log.

  • CloudWatch non crea log di query resolver perché sta già inserendo VPCs i log in Logs CloudWatch

  • Le regole di abilitazione configurano la registrazione delle query della Route 53 in VPCs base all'ambito delle regole. CloudWatch non rileva i profili Route 53 e le relative configurazioni.

Registri di accesso NLB

Quando si abilitano i registri di accesso:

  • Utilizza lo schema di gruppo di CloudWatch log predefinito con prefisso/aws/nlb/access-logs se non è specificato

  • CloudWatch non abilita le consegne di log in quanto sta già NLBs importando log in Logs CloudWatch

CloudTrail Registra utilizzando un canale collegato al servizio

Quando si abilitano CloudTrail i log utilizzando il percorso SLC:

  • Utilizza gruppi di CloudWatch log gestiti aws/cloudtrail/ <event-types>

  • Le configurazioni di Trail forwarding esistenti create dal cliente vengono preservate CloudTrail

  • CloudWatch Enablement Rules utilizza solo il canale collegato al servizio per importare i log

  • Gli eventi utilizzano il periodo di conservazione configurato per il gruppo di log

  • Per quanto riguarda CloudTrail gli eventi, nell'ambito della procedura guidata di abilitazione, è possibile scegliere almeno un tipo di evento da inserire. CloudWatch

  • Se gli eventi vengono consegnati con ritardo (indicato dal motivo addendum DELIVERY_DELAY) e in precedenza hai configurato un periodo di conservazione più breve, gli eventi ritardati potrebbero essere disponibili solo per la durata del periodo di conservazione più breve.

Suggerimento

Per configurare CloudTrail i log in più regioni, utilizza il selettore delle regioni di destinazione durante la creazione della regola di abilitazione. In questo modo la regola viene replicata automaticamente nelle regioni selezionate dalla regione di origine.

Parametri dettagliati di Amazon Amazon EC2

Quando si abilita il monitoraggio dettagliato:

  • Le modifiche allo stato dell'istanza possono influire sulla raccolta delle metriche

AWS Security Hub

Quando si abilita la registrazione del Security Hub:

  • Utilizza un modello di gruppo di CloudWatch log gestito aws/securityhub_cspm/findings

  • CloudWatch non abilita la consegna dei log per Security Hub che stanno già importando i log nei log gestiti CloudWatch

Amazon Bedrock AgentCore

  • Abilita sia i log che le tracce emessi da tutte le AgentCore primitive Bedrock disponibili come Runtime, Browser Tools, Code Interpreter Tools, ecc. Segui l'esperienza della console Telemetry Configure per creare una regola di consegna dei log, seguita dalla creazione di una regola di consegna delle tracce.

  • Quando si crea una regola di consegna della traccia, verrà abilitata Transaction Search e verrà creata una politica di autorizzazione aggiuntiva per consentire a CloudWatch X-Ray di inviare la traccia correlata al gruppo di log gestito dell'account. Inoltre, verrà creata una politica sulle risorse X-Ray per consentire alle AgentCore primitive Bedrock attuali e nuove di fornire tracce al tuo account.

Gateway Amazon Bedrock Agentcore

Quando si abilita la registrazione di Bedrock Agentcore Gateway:

  • Utilizza lo schema di gruppo di CloudWatch log predefinito//se non è specificato aws/bedrock/agentcore

  • CloudWatch non abilita la consegna dei log per Bedrock Agentcore Gateway che sta già importando i log in Logs CloudWatch

Memoria Amazon Bedrock Agentcore

Quando si abilita la registrazione della memoria Bedrock Agentcore:

  • Utilizza lo schema di gruppo di CloudWatch log predefinito//se non è specificato aws/bedrock/agentcore

  • CloudWatch non abilita la consegna dei log per Bedrock Agentcore Memory che sta già importando i log in Logs CloudWatch

CloudFront Distribuzione Amazon

Quando si abilita CloudFront la registrazione della distribuzione:

  • CloudWatch non abilita le consegne di log per le CloudFront distribuzioni che stanno già importando log in Logs CloudWatch

Metriche del cluster Amazon MSK

Quando si abilitano i parametri del cluster MSK:

  • Supporta solo il tipo di telemetria METRICS

  • Puoi configurare livelli di monitoraggio avanzati (PER_BROKER, PER_TOPIC_PER_BROKER, ecc.) per controllare la granularità delle metriche raccolte

  • Le regole con diversi livelli di monitoraggio avanzato possono coesistere per lo stesso cluster MSK

OpenTelemetry Metriche di arricchimento

Quando si abilitano le metriche di OpenTelemetry arricchimento:

  • Supporta solo il tipo di telemetria METRICS

  • Si tratta di un'abilitazione a livello di account senza una destinazione configurabile dall'utente

  • I criteri di selezione a livello di risorsa non sono supportati

Identità del carico di lavoro Amazon Bedrock Agentcore

Quando si abilita la registrazione dell'identità del carico di lavoro di Bedrock Agentcore:

  • Utilizza lo schema di gruppo di CloudWatch log predefinito//se non è specificato aws/bedrock/agentcore

  • CloudWatch non abilita la consegna dei log per Bedrock Agentcore Workload Identity che sta già importando i log in Logs CloudWatch