Centralização de logs entre contas e regiões - CloudWatch Registros da Amazon
Conceitos da centralização de dadosConfigurando a centralização de logsMonitorando a centralização

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Centralização de logs entre contas e regiões

A centralização de dados do Amazon CloudWatch Logs funciona com o AWS Organizations para coletar dados de logs de várias contas de membros em um repositório de dados usando regras de centralização entre contas e regiões. Você define as regras que replicam automaticamente os dados de logs de várias contas e Regiões da AWS em uma conta centralizada em sua organização. Esse recurso simplifica a consolidação de logs para oferecer um monitoramento centralizado, análises e a conformidade melhorados em toda a sua infraestrutura da AWS.

A centralização de dados do CloudWatch Logs oferece flexibilidade de configuração para atender aos requisitos operacionais e de segurança, como a capacidade de configurar uma região de backup durante a configuração de regras na conta de destino para garantir maior resiliência. Além disso, você tem controle total sobre o comportamento de criptografia de grupos de logs copiados das contas de origem para lidar com dados originalmente criptografados com chaves KMS gerenciadas pelo cliente.

nota

O recurso de centralização do CloudWatch Logs processa somente novos dados de log que chegam às contas de origem depois da criação da regra de centralização. Os dados históricos de log (logs que existiam antes da criação da regra) não são centralizados.

Conceitos da centralização de dados

Antes de começar a usar a centralização de dados do CloudWatch Logs, familiarize-se com os seguintes conceitos:

Regra de centralização

Uma configuração que define como os dados de log das contas e regiões de origem são replicados em uma conta e região de destino. As regras especificam os critérios de origem e as configurações de destino.

Conta de origem

A conta AWS da qual os dados de registro são originados. Os eventos de logs das contas de origem são replicados para a conta de destino com base nas regras de centralização que você define.

Conta de destino

A conta AWS de destino na qual os dados de log replicados são armazenados. Essa conta serve como local centralizado para análise e monitoramento de logs.

Região de backup

Uma região secundária opcional na conta de destino na qual os dados de log podem ser replicados para obter maior resiliência e no caso de recuperação de desastres.

Criptografia no CloudWatch Logs

Os dados do grupo de logs são sempre criptografados no CloudWatch Logs. Por padrão, o CloudWatch Logs gerencia criptografia no servidor com o Advanced Encryption Standard Galois/Counter Mode (AES-GCM) de 256 bits para criptografar os dados de log em repouso. Como alternativa, você pode usar o Serviço de Gerenciamento de Chaves AWS para essa criptografia. Se você fizer isso, a criptografia será feita usando uma chave KMS de propriedade do AWS ou uma chave KMS gerenciada pelo cliente. A criptografia de chave KMS com o AWS KMS é habilitada no nível do grupo de logs associando-se uma chave do KMS a um grupo de logs quando você cria o grupo de logs ou depois que ele já existe. Depois que você associar uma chave do KMS a um grupo de logs, todos os novos dados ingeridos para o grupo de logs serão criptografados usando essa chave. Esses dados são armazenados em formato criptografado durante todo o período de retenção. O CloudWatch Logs descriptografa esses dados sempre que eles são solicitados. O CloudWatch Logs deve ter permissões para a chave do KMS sempre que dados criptografados são solicitados, como quando uma regra de centralização de log é executada em uma conta de origem. Se você estiver usando chaves KMS gerenciadas pelo cliente, atualize as chaves KMS associadas aos grupos de logs de origem e destino com a tag LogsManaged = true. Para obter mais informações, consulte Chaves KMS do AWS no Guia do desenvolvedor do serviço de gerenciamento de chaves AWS.

Configurando a centralização de logs

Para configurar a centralização do CloudWatch Logs, é necessário definir regras de centralização que definam como os dados de log fluem dos grupos de logs nas contas de origem para os grupos de logs na sua conta de destino.

Depois que a regra de centralização estiver ativada e os eventos de log estiverem sendo replicados na conta de destino, você poderá criar filtros de métrica, de assinatura e de conta em grupos de logs centralizados com recursos aprimorados de filtragem. Esses filtros podem direcionar eventos de logs de contas e regiões de origem específicas e podem emitir informações da conta de origem e da região como dimensões métricas. Para obter mais informações, consulte Criar métricas de eventos de log usando filtros.

Pré-requisitos

  • O AWS Organizations deve ser configurado e as contas de origem e destino devem pertencer à organização.

  • O acesso confiável deve ser habilitado para o CloudWatch, para a conta de gerenciamento e para a conta de destino, a fim de fornecer acesso aos dados de log.

Criação de uma regra de centralização

Use o procedimento a seguir para criar uma regra de centralização que replica os dados de log das contas de origem para sua conta de destino.

Para criar uma regra de centralização

  1. Navegue até o console do CloudWatch na conta de gerenciamento ou administrador delegado da organização.

  2. Escolha Configurações.

  3. Acesse a guia Organização.

  4. Escolha Configurar regra.

  5. Especifique os detalhes da fonte definindo os seguintes campos e, em seguida, escolha Avançar:

    1. Nome da regra de centralização: insira um nome exclusivo para a regra de centralização.

    2. Contas de origem: defina os critérios de seleção da origem para escolher contas a partir das quais os dados de telemetria serão centralizados. Os critérios de seleção podem incluir:

      • Uma ista das contas de membros da organização

      • Uma lista de unidades organizacionais na organização

      • Toda a organização

      Você pode fornecer os critérios de seleção de dois modos:

      • Builder: uma experiência baseada em cliques para gerar os critérios de seleção da origem

      • Editor: uma caixa de texto de formato livre para fornecer os critérios de seleção da origem

      Sintaxe suportada para critérios de seleção de origem:

      • Chaves compatíveis: OrganizationID | OrganizationUnitID | AccountId | *

      • Operadores compatíveis: = | IN | OR

    3. Regiões de origem: selecione uma lista de regiões onde procurar os dados de telemetria a serem centralizados.

  6. Especifique os detalhes do destino definindo os seguintes campos e, em seguida, escolha Avançar:

    1. Conta de destino: selecione uma conta na organização que atue como destino central para os dados de telemetria.

    2. Região de destino: selecione uma região primária que armazene uma cópia dos dados de telemetria centralizada.

    3. Região de backup: opcionalmente, selecione uma região que armazenará uma segunda cópia dos dados de telemetria centralizados.

  7. Especifique os dados de telemetria definindo os seguintes campos e, em seguida, escolha Avançar:

    1. Grupos de logs: escolha uma das seguintes opções:

      • Todos os grupos de logs: centralize os logs de todos os grupos de logs nas contas de origem.

      • Filtrar grupo de logs: centralize os logs de um subconjunto de grupos de logs nas contas de origem, de acordo com os critérios de seleção de um grupo de logs. Você pode fornecer os critérios de seleção de dois modos:

        • Builder: uma experiência baseada em cliques para gerar os critérios de seleção do grupo de logs

        • Editor: uma caixa de texto de formato livre para fornecer os critérios de seleção do grupo de logs

        Sintaxe suportada para critérios de seleção de grupos de logs:

        • Chaves compatíveis: LogGroupName | *

        • Operadores compatíveis: = | != | IN | NOT IN | AND | OR | LIKE | NOT LIKE

    2. Grupo de logs criptografados do KMS

      Importante

      As regras de centralização do CloudWatch falharão em entregar logs da conta de origem para os grupos de logs de destino se a chave KMS fornecida na regra de centralização não permitir que o CloudWatch Logs a use. Para obter mais informações, consulte Etapa 2: definir permissões na chave do KMS.

      Escolha uma das seguintes opções:

      • Não centralize grupos de logs criptografados com chaves KMS gerenciadas pelo cliente: ignore a centralização de eventos de logs de grupos de logs de origem criptografados com chaves KMS gerenciadas pelo cliente.

      • Centralize grupos de logs criptografados com chaves KMS gerenciadas pelo cliente na conta de destino com uma chave KMS gerenciada por AWS: centralize eventos de logs de grupos de logs de origem criptografados com chaves KMS gerenciadas pelo cliente em grupos de logs de destino que não estão associados às chaves KMS gerenciadas pelo cliente, mas usam uma chave KMS gerenciada por AWS

        Quando esta configuração é selecionada, você também deve definir o seguinte:

        • ARN da chave de criptografia de destino: o ARN da chave KMS pertencente à conta de destino e à região de destino principal, a ser associado aos grupos de logs de destino recém-criados.

        • ARN da chave de criptografia de destino de backup: o ARN da chave KMS pertencente à conta de destino e à região de destino de backup, a ser associado aos grupos de logs de destino recém-criados.

        nota

        Observe que essa configuração só se aplica quando o grupo de logs de origem é criptografado usando chaves KMS gerenciadas pelo cliente e só se aplica a grupos de logs recém-criados na conta de destino.

  8. Revise a regra de centralização, opcionalmente, faça edições de última hora e escolha Criar política de centralização.

Modificando uma regra de centralização

Use o procedimento a seguir para modificar uma regra de centralização existente.

Para modificar uma regra de centralização

  1. Navegue até o console do CloudWatch na conta de gerenciamento ou administrador delegado da organização.

  2. Escolha Configurações.

  3. Acesse a guia Organização.

  4. Escolha Gerenciar regras.

  5. Selecione a regra a ser atualizada e escolha Editar.

  6. Atualize a configuração da regra conforme necessário, escolhendo Avançar para prosseguir com cada etapa.

  7. Na Etapa 4, Revisar e configurar, escolha Atualizar política de centralização.

Visualizar uma regra de centralização

Use o procedimento a seguir para exibir detalhes de uma regra de centralização existente.

Para visualizar uma regra de centralização

  1. Navegue até o console do CloudWatch na conta de gerenciamento ou administrador delegado da organização.

  2. Escolha Configurações.

  3. Acesse a guia Organização.

  4. Escolha Gerenciar regras.

  5. Veja uma lista de todas as regras de centralização existentes e escolha um nome de regra específico para ver seus detalhes.

Excluindo uma regra de centralização

Use o procedimento a seguir para excluir uma regra de centralização existente.

Para excluir uma regra de centralização

  1. Navegue até o console do CloudWatch na conta de gerenciamento ou administrador delegado da organização.

  2. Escolha Configurações.

  3. Acesse a guia Organização.

  4. Escolha Gerenciar regras.

  5. Selecione a regra para excluir e escolha Excluir.

  6. Confirme a exclusão e escolha Excluir.

Monitorando a centralização

Você pode monitorar o status e o desempenho de suas regras de centralização usando as métricas do CloudWatch, o console do CloudWatch Logs e logs AWS CloudTrail. Isso ajuda você a garantir que os dados de log sejam replicados com sucesso e a identificar quaisquer problemas com sua configuração de centralização.

Como monitorar a centralização no console

Use o console do CloudWatch Logs para visualizar o status e a atividade de suas regras de centralização.

Para monitorar as regras de centralização no console

  1. Navegue até o console do CloudWatch na conta de gerenciamento ou administrador delegado da organização.

  2. Escolha Configurações.

  3. Acesse a guia Organização.

  4. Escolha Gerenciar regras.

  5. Examine a lista de regras de centralização, que exibe:

    • Nome da regra: o nome de cada regra de centralização

    • Status da regra: status operacional atual (ativo, inativo, erro)

    • Data de criação: quando a regra foi criada

    • ID da conta de destino: o ID da conta de destino

    • Região de destino: a Região da conta de destino

  6. Escolha um nome de regra específico para ver os detalhes da configuração da regra

Monitoramento da centralização

Você pode monitorar as regras de centralização usando a interface do console e as operações da API.

Os recursos de monitoramento atuais incluem:

  • Status de integridade da regra: monitore a integridade geral das regras de centralização por meio do console ou da API GetCentralizationRuleForOrganization

  • Configuração da regra: revise as configurações da regra e os carimbos de data/hora da última atualização

  • Motivos da falha: visualize informações detalhadas da falha quando as regras são marcadas como NÃO ÍNTEGRAS

  • Atividade da API: acompanhe as chamadas de API de centralização por meio dos logs do CloudTrail

Monitorando a integridade da regra

Cada regra de centralização tem um status de integridade que indica se ela está operando corretamente. Você pode verificar a integridade das regras por meio do console ou programaticamente com a API.

Os status de integridade das regras incluem:

  • HEALTHY: a regra está operando normalmente e replicando os dados de log conforme configurado

  • UNHEALTHY: a regra encontrou problemas e pode não estar replicando os dados corretamente

  • PROVISIONING: a centralização da organização está em processo de configuração.

Quando uma regra é marcada como NÃO ÍNTEGRA, o campo FailureReason fornece detalhes sobre o problema específico que precisa ser resolvido.

Monitorando chamadas de API de centralização com AWS CloudTrail

O AWS CloudTrail registra em log as chamadas de API feitas no serviço de centralização, permitindo que você acompanhe as alterações na configuração e solucione problemas nas contas que são membros do seu AWS Organizations.

Os principais eventos do CloudTrail para centralização incluem:

  • CreateCentralizationRuleForOrganization: quando uma nova regra de centralização é criada

  • UpdateCentralizationRuleForOrganization: quando uma regra existente é modificada

  • DeleteCentralizationRuleForOrganization: quando uma regra é excluída

  • GetCentralizationRuleForOrganization: quando os detalhes da regra são recuperados

  • ListCentralizationRulesForOrganization: quando as regras são listadas

Você pode usar os logs do CloudTrail para auditar as alterações na configuração da centralização e correlacioná-las com problemas de desempenho ou falhas de replicação.