O que são fontes de dados de CloudWatch registros?Como começar Campos do sistema Acessar fontes de dados Relacionamento com grupos de registros

Descoberta e gerenciamento de fontes de dados

CloudWatch O Logs descobre e categoriza automaticamente seus dados de registro por fonte e tipo de dados, facilitando a compreensão e o gerenciamento de seus registros em grande escala. Esse recurso fornece descoberta de esquemas para fontes AWS vendidas, como Amazon VPC Flow Logs e Route 53 CloudTrail, bem como ferramentas de segurança de terceiros.

O console de gerenciamento de registros fornece uma visão de alto nível dos seus registros organizados por fonte e tipo de dados, em vez de apenas grupos de registros. Essa organização ajuda você a:

Visualize registros categorizados por AWS serviços, fontes de terceiros (como Okta ou CrowdStrike) e fontes personalizadas
Entenda automaticamente o esquema e a estrutura dos seus dados de registro
Crie políticas de índice de campo com base nos campos de esquema descobertos
Gerencie registros com mais eficiência em diferentes fontes de dados
Registros de consulta por diferentes fontes de dados

Quando você ativa o registro de CloudWatch registros para AWS serviços compatíveis, o CloudWatch Logs aplica automaticamente o esquema apropriado aos seus registros. Esse aplicativo automático de esquema ajuda a manter a consistência e fornece informações imediatas sobre sua estrutura de registros.

O que são fontes de dados de CloudWatch registros?

CloudWatch Fontes de dados de registros é um recurso que fornece uma nova maneira de organizar e categorizar seus dados de registros com base na fonte que gera os registros. Embora o CloudWatch Logs tradicionalmente use grupos de registros para organizar registros, as fontes de dados oferecem uma camada adicional de organização que agrupa os registros por serviço de origem e tipo de registro.

Como as fontes de dados funcionam

As fontes de dados fornecem organização de registros baseada em serviços e descoberta simplificada em toda a sua AWS infraestrutura. Você pode localizar facilmente registros de serviços específicos e filtrar por tipo de registro sem precisar conhecer nomes ou estruturas de grupos de registros individuais.

Para fontes de terceiros e, opcionalmente, para fontes de registros de aplicativos, as fontes de dados trabalham com CloudWatch pipelines para categorizar seus registros. Ao configurar um pipeline para ingerir e transformar registros, você especifica o nome e o tipo da fonte de dados. CloudWatch Em seguida, os registros categorizam automaticamente todos os registros que o pipeline processa. Para obter mais informações, consulte CloudWatch pipelines no Guia do CloudWatch usuário da Amazon.

As fontes de dados categorizam os registros usando dois identificadores principais:

Nome da fonte de dados: o AWS serviço, a fonte terceirizada ou o aplicativo que gera os registros (por exemplo, Route 53, Amazon VPC CloudTrail, Okta SSO ou Falcon). CrowdStrike
Tipo de fonte de dados: o tipo específico de registro gerado por esse serviço.

Um esquema define a estrutura dos dados de log, incluindo quais campos estão presentes e como as informações são organizadas. Uma única fonte de dados pode produzir vários tipos de registros com diferentes esquemas e propósitos. Por exemplo, a fonte de AWS CloudTrail dados tem dois tipos: eventos de gerenciamento (que rastreiam as operações do plano de controle, como criar ou excluir recursos) e eventos de dados (que rastreiam as operações do plano de dados, como o acesso a objetos do S3). Cada tipo tem um esquema diferente porque eles capturam diferentes tipos de informações.

Como começar

CloudWatch O Logs categoriza seus registros em fontes de dados com base em sua origem. O método depende do tipo de registros com os quais você está trabalhando:

AWS service (Serviço da AWS) troncos

Os registros suportados Serviços da AWS são agrupados automaticamente por fonte de dados sem necessidade de configuração. CloudWatch O Logs reconhece esses registros e aplica o nome e o tipo de fonte de dados apropriados com base no serviço de origem.

Registros de terceiros

Os registros de terceiros exigem pipelines para a categorização da fonte de dados. Ao configurar um pipeline para ingerir registros de fontes de terceiros compatíveis, como Microsoft Office 365, Okta ou Palo Alto Networks CrowdStrike, você especifica o nome e o tipo da fonte de dados na configuração do pipeline. CloudWatch Os registros categorizam automaticamente todos os registros que o pipeline processa usando esses identificadores.

Opcionalmente, os pipelines podem transformar registros de terceiros no formato Open Cybersecurity Schema Framework (OCSF) para análise padronizada de eventos de segurança. Quando a transformação do OCSF está ativada, o nome e o tipo da fonte de dados são determinados automaticamente com base no mapeamento do esquema do OCSF. Sem a transformação do OCSF, você especifica o nome e o tipo da fonte de dados na configuração do pipeline.

Logs de aplicações

Para registros de aplicativos personalizados, você pode categorizá-los por fonte de dados usando um destes métodos:

Tags de grupo de registros - adicione tags aos seus grupos de registros usando as chaves cw:datasource:name e cw:datasource:type especifique o nome e o tipo da fonte de dados, respectivamente, para todos os registros ingeridos no grupo de registros. Os valores das tags podem ter até 64 caracteres e conter somente letras minúsculas, números e sublinhado. Eles devem começar com uma letra ou um número e não podem conter sublinhados duplos (__).
Configuração do pipeline - configure as informações da fonte de dados por meio de pipelines de processamento de registros ao ingerir os registros do seu aplicativo.

nota

Os nomes das fontes de dados não podem começar com “aws” ou “amazon” para evitar conflitos com os registros AWS de serviços.

Campos do sistema

CloudWatch O Logs adiciona automaticamente três campos do sistema aos registros que são categorizados por fonte de dados. Esses campos servem como facetas padrão:

@data_source_name- Contém o nome da fonte de dados ou “Desconhecido” se não for determinado
@data_source_type- Contém o tipo da fonte de dados ou “Desconhecido” se não for determinado
@data_format- Indica o formato dos dados de registro

Quando o nome ou o tipo da fonte de dados não podem ser determinados, esses campos são definidos como “Desconhecido”. As fontes de dados com valores “Desconhecidos” ainda estão visíveis nas facetas e na tabela de fontes de dados em “Gerenciamento de registros” no console, permitindo que você identifique registros não categorizados e de qual grupo de registros eles vêm.

O @data_format campo pode conter um dos seguintes valores:

Default- Registros ingeridos sem modificação.
Custom- Registros processados por meio de processadores de pipeline ou registros ingeridos em um grupo de registros com name/type tags de fonte de dados.
OCSF-<version>- Registros processados com processadores OCSF (Open Cybersecurity Schema Framework) em pipelines.
AWS-OTEL-LOG-V<version>- OpenTelemetry registros ingeridos por meio do endpoint CloudWatch OTLP.
AWS-OTEL-TRACE-V<version>- OpenTelemetry traços ingeridos por meio do endpoint CloudWatch OTLP.

Esses campos do sistema permitem filtrar e consultar seus registros com base na origem e no formato, facilitando o trabalho com registros de diferentes origens e pipelines de processamento.

Acessar fontes de dados

Console

No console de CloudWatch registros, você usa a guia Gerenciamento de registros para acessar suas fontes de dados. CloudWatch O Logs consolida automaticamente seus dados de registro por fontes e tipos de dados, descobrindo continuamente dados recém-ingeridos. Na lista de fontes de dados, você pode criar pipelines, definir índices de campo e facetas.

AWS CLI

Use o comando a seguir para listar fontes de dados e tipos de registros distintos em sua conta:


aws logs list-aggregate-log-group-summaries --group-by DATA_SOURCE_NAME_AND_TYPE

Relacionamento com grupos de registros

As fontes de dados complementam em vez de substituir os grupos de registros. Seus registros continuam sendo armazenados em grupos de registros como antes, mas agora eles também são automaticamente marcados com informações da fonte de dados. Essa organização dupla permite que você:

Use grupos de registros para políticas refinadas de controle de acesso e retenção
Use fontes de dados para descoberta e análise de registros baseadas em serviços
Consulte registros usando qualquer um dos métodos organizacionais, dependendo de suas necessidades

As fontes de dados facilitam o trabalho com registros em grande escala, fornecendo uma visão centrada no serviço de seus dados de registro em toda a sua infraestrutura. AWS

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de logs

Recursos habilitados por fontes de dados