Conceitos de centralização de dados Configurando a centralização de registros Centralização do monitoramento

Centralização de registros entre contas e regiões

A centralização de dados do Amazon CloudWatch Logs trabalha AWS Organizations para coletar dados de log de várias contas membros em um repositório de dados usando regras de centralização entre contas e regiões. Você define as regras que replicam automaticamente os dados de log de várias contas Regiões da AWS em uma conta centralizada em sua organização. Esse recurso simplifica a consolidação de registros para melhorar o monitoramento, a análise e a conformidade centralizados em toda a sua infraestrutura. AWS

CloudWatch A centralização de dados de registros oferece flexibilidade de configuração para atender aos requisitos operacionais e de segurança, como a capacidade de configurar uma região de backup durante a configuração da regra na conta de destino para garantir maior resiliência. Além disso, você tem controle total sobre o comportamento de criptografia de grupos de registros copiados das contas de origem para lidar com dados originalmente criptografados com chaves KMS gerenciadas pelo cliente.

Conceitos de centralização de dados

Antes de começar a usar a centralização de dados do CloudWatch Logs, familiarize-se com os seguintes conceitos:

Regra de centralização: Uma configuração que define como os dados de log das contas e regiões de origem são replicados em uma conta e região de destino. As regras especificam os critérios de origem e as configurações de destino.
Conta de origem: A AWS conta na qual os dados de registro são originados. Os eventos de log das contas de origem são replicados para a conta de destino com base nas regras de centralização que você define.
Conta de destino: A AWS conta de destino na qual os dados de log replicados são armazenados. Essa conta serve como local centralizado para análise e monitoramento de registros.
Região de backup: Uma região secundária opcional na conta de destino na qual os dados de log podem ser replicados para maior resiliência e fins de recuperação de desastres.
Criptografia em CloudWatch registros: Os dados do grupo de registros são sempre criptografados nos CloudWatch registros. Por padrão, o CloudWatch Logs usa criptografia do lado do servidor com o Galois/Counter Modo Padrão de Criptografia Avançada (AES-GCM) de 256 bits para criptografar dados de registro em repouso. Como alternativa, você pode usar o AWS Key Management Service para essa criptografia. Se você fizer isso, a criptografia será feita usando uma chave KMS AWS própria ou uma chave KMS gerenciada pelo cliente. A criptografia de chaves KMS usando o AWS KMS é ativada no nível do grupo de registros, associando uma chave KMS a um grupo de registros, seja quando você cria o grupo de registros ou depois que ele existe. Depois que você associar uma chave do KMS a um grupo de logs, todos os novos dados ingeridos para o grupo de logs serão criptografados usando essa chave. Esses dados são armazenados em formato criptografado durante todo o período de retenção. CloudWatch O Logs descriptografa esses dados sempre que solicitados. CloudWatch Os registros devem ter permissões para a chave KMS sempre que dados criptografados forem solicitados, como quando uma regra de centralização de registros é executada em uma conta de origem. Se você estiver usando chaves KMS gerenciadas pelo cliente, atualize as chaves KMS associadas aos grupos de registros de origem e destino com a tag. LogsManaged = true Para obter mais informações, consulte Chaves AWS KMS no Guia do desenvolvedor do AWS Key Management Service

Configurando a centralização de registros

Para configurar a centralização de CloudWatch registros, você precisa configurar regras de centralização que definam como os dados de log fluem dos grupos de log nas contas de origem para os grupos de log na sua conta de destino.

Depois que a regra de centralização estiver ativada e os eventos de log estiverem sendo replicados na conta de destino, você poderá criar filtros de métrica, de assinatura e de conta em grupos de registros centralizados com recursos aprimorados de filtragem. Esses filtros podem direcionar eventos de log de contas e regiões de origem específicas e podem emitir informações da conta de origem e da região como dimensões métricas. Para obter mais informações, consulte Criar métricas de eventos de log usando filtros.

Pré-requisitos

AWS Organizations devem ser configuradas e as contas de origem e destino devem pertencer à organização.
O acesso confiável deve estar habilitado para CloudWatch a conta de gerenciamento e a conta de destino, portanto, forneça acesso aos dados de registro.

Criando uma regra de centralização

Use o procedimento a seguir para criar uma regra de centralização que replica os dados de log das contas de origem para sua conta de destino.

Para criar uma regra de centralização

Navegue até o CloudWatch console na conta de Gerenciamento ou Administrador Delegado da organização.
Escolha Settings.
Navegue até a guia Organização.
Escolha Configurar regra.
Especifique os detalhes da fonte definindo os seguintes campos e escolha Avançar:
1. Nome da regra de centralização: insira um nome exclusivo para a regra de centralização.
2. Contas de origem: defina os critérios de seleção da fonte para escolher contas a partir das quais os dados de telemetria serão centralizados. Os critérios de seleção podem incluir:
  - Uma lista de contas de membros na organização
  - Uma lista de unidades organizacionais na organização
  - Toda a organização
  Você pode fornecer os critérios de seleção em dois modos:
  - Builder: uma experiência baseada em cliques para gerar os critérios de seleção da fonte
  - Editor: uma caixa de texto de formato livre para fornecer os critérios de seleção da fonte
  Sintaxe suportada para critérios de seleção de fonte:
  - Teclas suportadas: OrganizationId | OrganizationUnitId | AccountId | *
  - Operadores suportados: = | IN | OR
3. Regiões de origem: selecione uma lista de regiões para procurar os dados de telemetria a serem centralizados.
Especifique os detalhes do destino definindo os seguintes campos e escolha Avançar:
1. Conta de destino: selecione uma conta na organização que atue como destino central para dados de telemetria.
2. Região de destino: selecione uma região primária que armazene uma cópia dos dados de telemetria centralizada.
3. Região de Backup: opcionalmente, selecione uma região que armazene uma segunda cópia dos dados de telemetria centralizada.
Especifique os dados de telemetria definindo os seguintes campos e, em seguida, escolha Avançar:
1. Grupos de registros: escolha uma das seguintes opções:
  - Todos os grupos de registros: centralize os registros de todos os grupos de registros nas contas de origem.
  - Filtrar grupo de registros: centralize os registros de um subconjunto de grupos de registros nas contas de origem, de acordo com os critérios de seleção de um grupo de registros. Você pode fornecer os critérios de seleção em dois modos:
    Builder: uma experiência baseada em cliques para gerar os critérios de seleção do grupo de registros
    
    Editor: uma caixa de texto de formato livre para fornecer os critérios de seleção do grupo de registros
    Sintaxe suportada para critérios de seleção de grupos de registros:
    Teclas suportadas: LogGroupName | *
    
    Operadores suportados: = |! = | EM | NÃO EM | E | OU | CURTIR | NÃO GOSTAR
2. Grupo de registros criptografados do KMS
  
  Importante
  CloudWatch as regras de centralização falharão em entregar registros da conta de origem para os grupos de registros de destino se a chave KMS fornecida na regra de centralização não permitir que CloudWatch os registros a usem. Para obter mais informações, consulte Etapa 2: definir permissões na chave do KMS.
  
  Escolha uma das seguintes opções:
  - Não centralize grupos de log criptografados com chaves KMS gerenciadas pelo cliente: ignore a centralização de eventos de log de grupos de log de origem criptografados com chaves KMS gerenciadas pelo cliente.
  - Centralize grupos de log criptografados com chaves KMS gerenciadas pelo cliente na conta de destino com uma chave KMS AWS gerenciada: centralize eventos de log de grupos de log de origem criptografados com chaves KMS gerenciadas pelo cliente em grupos de log de destino que não estão associados às chaves KMS gerenciadas pelo cliente, mas usam uma chave KMS gerenciada. AWS
    
    Quando essa configuração é selecionada, você também deve definir o seguinte:
    ARN da chave de criptografia de destino: ARN da chave KMS pertencente à conta de destino e à região de destino principal, a ser associada aos grupos de log de destino recém-criados.
    
    ARN da chave de criptografia de destino de backup (opcional): ARN da chave KMS pertencente à conta de destino e à região de destino do backup, a ser associada aos grupos de log de destino recém-criados.
    nota
    Observe que essa configuração só se aplica quando o grupo de log de origem é criptografado usando chaves KMS gerenciadas pelo cliente e só se aplica a grupos de log recém-criados na conta de destino.
Revise a regra de centralização, opcionalmente faça edições de última hora e escolha Criar política de centralização.

Modificando uma regra de centralização

Use o procedimento a seguir para modificar uma regra de centralização existente.

Para modificar uma regra de centralização

Navegue até o CloudWatch console na conta de Gerenciamento ou Administrador Delegado da organização.
Escolha Settings.
Navegue até a guia Organização.
Escolha Gerenciar regras.
Selecione a regra a ser atualizada e escolha Editar.
Atualize a configuração da regra conforme necessário, escolhendo Avançar para prosseguir com cada etapa.
Na Etapa 4, Revisar e configurar, escolha Atualizar política de centralização.

Visualizando uma regra de centralização

Use o procedimento a seguir para ver detalhes de uma regra de centralização existente.

Para ver uma regra de centralização

Navegue até o CloudWatch console na conta de Gerenciamento ou Administrador Delegado da organização.
Escolha Settings.
Navegue até a guia Organização.
Escolha Gerenciar regras.
Veja uma lista de todas as regras de centralização existentes e escolha um nome de regra específico para ver seus detalhes.

Excluindo uma regra de centralização

Use o procedimento a seguir para excluir uma regra de centralização existente.

Para excluir uma regra de centralização

Navegue até o CloudWatch console na conta de Gerenciamento ou Administrador Delegado da organização.
Escolha Settings.
Navegue até a guia Organização.
Escolha Gerenciar regras.
Selecione a regra a ser excluída e escolha Excluir.
Confirme a exclusão e escolha Excluir.

Centralização do monitoramento

Você pode monitorar o status e o desempenho de suas regras de centralização usando CloudWatch métricas, o console do CloudWatch Logs e AWS CloudTrail os registros. Isso ajuda você a garantir que os dados de log sejam replicados com sucesso e a identificar quaisquer problemas com sua configuração de centralização.

Monitorando a centralização no console

Use o console de CloudWatch registros para ver o status e a atividade de suas regras de centralização.

Para monitorar as regras de centralização no console

Navegue até o CloudWatch console na conta de Gerenciamento ou Administrador Delegado da organização.
Escolha Settings.
Navegue até a guia Organização.
Escolha Gerenciar regras.
Examine a lista de regras de centralização, que exibe:
- Nome da regra: o nome de cada regra de centralização
- Status da regra: status operacional atual (ativo, inativo, erro)
- Data de criação: quando a regra foi criada
- ID da conta de destino: A ID da conta de destino
- Região de destino: A região da conta de destino
Escolha um nome de regra específico para ver os detalhes da configuração da regra

Monitoramento centralizado

Você pode monitorar as regras de centralização usando a interface do console e as operações da API.

Os recursos atuais de monitoramento incluem:

Status de integridade da regra: monitore a integridade geral das regras de centralização por meio do console ou GetCentralizationRuleForOrganization da API
Configuração da regra: revise as configurações da regra e os carimbos de data/hora da última atualização
Motivos da falha: visualize informações detalhadas da falha quando as regras são marcadas como NÃO SAUDÁVEIS
Atividade da API: acompanhe as chamadas de API de centralização por meio de registros CloudTrail

Monitorando a integridade das regras

Cada regra de centralização tem um status de integridade que indica se ela está funcionando corretamente. Você pode verificar a integridade das regras por meio do console ou programaticamente usando a API.

Os status de saúde das regras incluem:

HEALTHY: a regra está operando normalmente e replicando os dados de registro conforme configurado
UNHEALTHY: a regra encontrou problemas e pode não estar replicando os dados corretamente
PROVISIONING: A centralização da organização está em processo de configuração.

Quando uma regra é marcada como NÃO SAUDÁVEL, o FailureReason campo fornece detalhes sobre o problema específico que precisa ser resolvido.

Monitorando chamadas de API de centralização com AWS CloudTrail

AWS CloudTrail registra as chamadas de API feitas no serviço de centralização, permitindo que você acompanhe as alterações na configuração e solucione problemas nas contas que são membros do seu. AWS Organizations

CloudTrail Os principais eventos da centralização incluem:

CreateCentralizationRuleForOrganization: Quando uma nova regra de centralização é criada
UpdateCentralizationRuleForOrganization: quando uma regra existente é modificada
DeleteCentralizationRuleForOrganization: Quando uma regra é excluída
GetCentralizationRuleForOrganization: Quando os detalhes da regra são recuperados
ListCentralizationRulesForOrganization: Quando as regras são listadas

Você pode usar CloudTrail registros para auditar as alterações na configuração da centralização e correlacioná-las com problemas de desempenho ou falhas de replicação.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Solução de problemas com o CloudWatch Logs Live Tail

Trabalhar com grupos de logs e fluxos de logs