Trabalho com regras de habilitação de telemetria - Amazon CloudWatch
Integração de regras de habilitação com o AWS ConfigCompreensão do comportamento das regras de habilitaçãoCriação de regras de habilitação de telemetriaGerenciamento de regras de telemetriaSolução de problemas de configuração de telemetria

Trabalho com regras de habilitação de telemetria

Você pode criar regras de habilitação de telemetria para configurar automaticamente a coleta de telemetria para seus recursos da AWS. As regras ajudam você a padronizar a coleta de telemetria em sua organização ou contas e a garantir uma cobertura de monitoramento consistente.

Integração de regras de habilitação com o AWS Config

A auditoria e a configuração de telemetria do CloudWatch se integram com o AWS Config para descobrir automaticamente os recursos que correspondem à sua regra de habilitação e aplicá-los à sua coleta de dados de telemetria. Quando você cria uma regra de habilitação, a configuração de telemetria cria um gravador do AWS Config correspondente. Esse gravador inclui itens de configuração para os tipos de recursos específicos que você define na regra de habilitação.

O Amazon CloudWatch usa o gravador vinculado ao serviço AWS Config Internal. Os CIs que o CloudWatch usa como parte dos gravadores vinculados ao serviço Internal não são cobrados.

nota

Quando você cria uma regra de habilitação, descobrimos os recursos não compatíveis (os que não tem telemetria habilitada) por meio dos itens de configuração (CIs) do AWS Config antes de ativá-los com base no escopo da regra de habilitação. A descoberta inicial dos recursos, em alguns casos, pode levar até 24 horas.

A configuração de telemetria usa o AWS Config para:

  • Descobrir recursos em toda a sua organização ou contas

  • Rastrear as alterações de configuração de telemetria

Compreensão do comportamento das regras de habilitação

A configuração da telemetria segue padrões específicos ao avaliar e aplicar regras:

As regras de habilitação são avaliadas de acordo com um padrão hierárquico. As regras organizacionais são avaliadas primeiro, depois as regras que se aplicam às unidades organizacionais (UOs) e, finalmente, as regras que se aplicam às contas individuais. As regras no nível organizacional fornecem a telemetria básica necessária para sua organização. As regras no nível da UO e da conta podem coletar dados adicionais de telemetria, mas não podem coletar menos dados de telemetria. Se essa regra for criada, ela criará um conflito de regras.

Dentro de cada escopo (organização, UO ou conta), as regras devem manter a exclusividade com base em seu tipo de recurso, tipo de telemetria e configuração de destino. Regras duplicadas acionam uma exceção de conflito. Se a mesma regra existir em escopos diferentes, como uma regra de nível organizacional de logs de fluxo da VPC para o CloudWatch, e uma regra de nível de UO para logs de fluxo da VPC, a regra mais alta na hierarquia será aplicada. No entanto, se houver várias regras em conflito, nenhuma delas será aplicada.

Para logs de fluxo da VPC, a configuração de telemetria cria somente novos logs de fluxo para recursos que correspondam ao escopo da regra. Isso não exclui nem afeta os registros de fluxo da VPC previamente estabelecidos, mesmo que sejam diferentes dos parâmetros de regras atuais. Para o CloudWatch Logs, os grupos de logs existentes são mantidos, desde que correspondam ao padrão do recurso.

Se você atualizar uma regra de habilitação, somente novos recursos que correspondam à regra adotarão a configuração atualizada. As configurações de telemetria existentes permanecerão inalteradas para os recursos existentes. Se um recurso não estiver em conformidade com uma regra existente devido à exclusão manual dos dados de telemetria, a nova regra de habilitação será adotada quando o recurso voltar à conformidade.

Criação de regras de habilitação de telemetria

Ao criar uma regra de habilitação de telemetria, especifique:

  • O escopo da regra (organização, unidade organizacional ou conta)

  • Os tipos de recurso aos quais a regra se aplica

  • Os tipos de telemetria a serem habilitados (métricas, logs ou rastreamentos)

  • Tags opcionais para filtrar quais recursos a regra afeta

Para criar uma regra de habilitação de telemetria

  1. Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, escolha Configuração de telemetria.

  3. Escolha a guia Regras de habilitação.

  4. Escolha Adicionar regra.

  5. Em Nome da regra, insira um nome para a regra.

  6. Em Escopo da regra, escolha uma das seguintes opções:

    • Organização: a regra se aplica a todo o AWS Organizations

    • Unidade organizacional: a regra se aplica a uma UO específica

    • Conta: a regra se aplica a uma única conta

  7. Em Fonte de dados, selecione o serviço da AWS a ser configurado.

  8. Em Tipo de telemetria, selecione os tipos de telemetria a serem habilitados.

  9. Opcional: adicione tags para filtrar quais recursos a regra afeta.

  10. Escolha Criar regra.

Gerenciamento de regras de telemetria

Depois de criar regras, você pode editá-las ou excluí-las. Você também pode ver quais recursos cada regra afeta e monitorar a conformidade com as regras.

Para gerenciar uma regra existente

  1. Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, escolha Configuração de telemetria.

  3. Escolha a guia Regras de habilitação.

  4. Selecione uma regra para ver seus detalhes ou escolha uma das seguintes ações:

    • Editar: modificar as configurações da regra

    • Excluir: remover a regra

Solução de problemas de configuração de telemetria

Esta seção descreve problemas comuns que você pode encontrar ao usar a configuração de telemetria e como resolvê-los.

Resolução e conflitos de regras

Quando várias regras se aplicam ao mesmo recurso, a configuração de telemetria resolve os conflitos usando estas prioridades:

  1. As regras em nível organizacional têm precedência sobre as regras em nível de conta

  2. Correspondências de tags mais específicas têm precedência sobre as regras gerais

  3. Se houver várias regras conflitantes, nenhuma delas será aplicada. Primeiro, você deverá resolver os conflitos.

Problemas comuns

Recursos que não aparecem na descoberta

Verificar se:

  • O tipo de recurso é compatível

  • O gravador do AWS Config está habilitado

  • Você tem as permissões apropriadas do IAM

Regras que não se aplicam automaticamente

Verificar:

  • Configuração de escopo de regra

  • Filtros de tag

nota

Quando você cria uma regra de habilitação, descobrimos os recursos não compatíveis (os que não tem telemetria habilitada) por meio dos itens de configuração (CIs) do AWS Config antes de ativá-los com base no escopo da regra de habilitação. A descoberta inicial dos recursos, em alguns casos, pode levar até 24 horas.

Considerações específicas do serviço

Logs do Amazon VPC Flow

Ao criar logs de fluxo:

  • Usa o padrão /aws/vpc/vpc-id se nenhum for especificado

  • Os logs de fluxo existentes criados pelo cliente são preservados

  • As atualizações de regras afetam somente os novos logs de fluxo

  • Você pode usar as macros <vpc-id>, <account-id>macros para dividir grupos de logs.

  • O CloudWatch não cria logs de fluxos para as VPCs que já ingerem logs no CloudWatch Logs

Registro em log do ambiente de gerenciamento do Amazon EKS

Ao habilitar o registro em log do ambiente de gerenciamento:

  • Usa o padrão de grupo de logs padrão do CloudWatch /aws/eks/<cluster-name>/cluster.. O Amazon EKS cria automaticamente um grupo de logs por cluster.

  • Atualizações de regra afetam apenas novos clusters ou os clusters que não têm os tipos de log no escopo habilitados

  • Pode habilitar tipos de log específicos: api, auditoria, autenticador, controllerManager, agendador

Logs de ACL da Web do AWS WAF

Ao criar logs do WAF:

  • Usa o padrão de grupo de logs padrão do CloudWatch e sempre com o prefixo aws-waf-logs-

  • As atualizações de regra afetam apenas novas ACLs da Web ou ACLs da Web existentes que não têm o registro em log no CloudWatch Logs habilitado

  • O CloudWatch não habilita logs para as ACLS da Web que já ingerem logs no CloudWatch Logs

Logs do Amazon Route 53 Resolver

Ao habilitar o registro em log de consultas do resolvedor:

  • Usará o padrão de grupo de log padrão do CloudWatch /aws/route53resolver se nenhum for especificado

  • O CloudWatch não cria logs de consultas do resolvedor para as VPCs que já ingerem logs no CloudWatch Logs

  • As regras de habilitação configuram o registro em log de consultas do Route 53 para as VPCs com base no escopo da regra. O CloudWatch não descobre os perfis e as configurações relacionadas do Route 53.

Logs de acesso do NLB

Ao habilitar logs de acesso:

  • Usará o padrão de grupos de logs padrão do CloudWatch com o prefixo /aws/nlb/access-logs se nenhum estiver especificado

  • O CloudWatch não habilita a entrega de logs para os NLBs que já ingerem logs no CloudWatch Logs

Telemetria do Amazon Bedrock AgentCore

  • Habilite os logs e rastros emitidos por todos os primitivos do Bedrock AgentCore disponíveis, como runtime, ferramentas de navegação, ferramentas de intepretação de código etc. Siga a experiência do console Configurar Telemetria para criar uma regra de entrega de logs e depois crie uma regra de entrega de rastros.

  • Ao criar uma regra de entrega de rastros, o recurso Transaction Search será habilitado e uma política de permissão adicional será criada para permitir que o CloudWatch X-Ray envie rastros correlacionados ao grupo de logs gerenciado em sua conta. Além disso, uma política de recursos do X-Ray será criada para permitir que os novos primitivos e os primitivos já existentes do Bedrock AgentCore entreguem rastros à sua conta.

Logs do CloudTrail usando canal vinculado ao serviço

Ao habilitar logs do CloudTrail usando o caminho do SLC:

  • Usa grupos de log gerenciados do CloudWatch aws/cloudtrail/ <event-types>

  • As configurações existentes de encaminhamento do CloudTrail criadas pelo cliente são preservadas

  • As regras de habilitação do CloudWatch usam apenas canais vinculados ao serviço para ingerir registros

  • Os eventos usam o período de retenção configurado para o grupo de logs

  • Em eventos do CloudTrail, como parte do assistente de habilitação, é possível escolher pelo menos um tipo de evento para ingerir no CloudWatch.

  • Se os eventos forem entregues com atraso (indicado pelo motivo no adendo DELIVERY_DELAY) e você tiver configurado antes um período de retenção mais curto, os eventos atrasados poderão estar disponíveis apenas durante o período de retenção mais curto.

  • Importante: em implantações multirregiões: as regras de habilitação do CloudWatch exigem uma configuração separada em cada região da AWS e ainda não estão disponíveis em todas as regiões. Para garantir cobertura multirregional abrangente, considere continuar usando as trilhas do CloudTrail que enviam eventos para o CloudWatch até a disponibilidade regional ser ampliada.