入门 - Amazon CloudWatch
查看示例调查设置操作调查

入门

要设置 CloudWatch 调查,您需要创建一个调查组。您还可以查看示例调查,全面了解其工作原理。

查看示例调查

如果您想在为账户配置 CloudWatch 调查功能之前查看该功能的实际运行情况,可以演练示例调查。示例调查不使用您的数据,也不会在您的账户中进行数据调用或启动 API 操作。

查看示例调查

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在左侧导航窗格中,依次选择 AI 操作概述

  3. 选择尝试示例调查

    控制台显示示例调查,并在右侧窗格中显示建议和调查发现。在每个弹出窗口中,选择下一步进入示例演练的下一部分。

设置操作调查

要在您的账户中设置 CloudWatch 调查,您需要创建一个调查组。创建调查组是一次性设置任务。调查组中的设置可帮助您集中管理调查的常见属性,例如:

  • 谁可以访问调查

  • 调查数据是否使用客户管理型 AWS Key Management Service 密钥加密。

  • 默认情况下,调查及其数据会保留多长时间。

目前,每个账户可以有一个调查组。您账户中的每项调查都将成为该调查组的一部分。

要创建调查组并设置 CloudWatch 调查,您必须登录附加了 AIOpsConsoleAdminPolicyAdministratorAccess IAM 策略的 IAM 主体,或者登录到具有类似权限的账户。

注意

要选择推荐的选项,为 CloudWatch 调查创建新 IAM 角色,您必须登录具有 iam:CreateRoleiam:AttachRolePolicyiam:PutRolePolicy 权限的 IAM 主体。

重要

CloudWatch 调查使用跨区域推理来跨不同 AWS 区域分配流量。有关更多信息,请参阅 跨区域推理

创建调查组并在您的账户中启用 CloudWatch 调查

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在左侧导航窗格中,选择 AI 操作配置

  3. 选择为此账户配置

  4. 可以选择更改调查的保留期。有关保留期治理的更多信息,请参阅 CloudWatch 调查数据留存

  5. (可选)要使用客户管理型 AWS KMS 密钥加密您的调查数据,请选择自定义加密设置,然后按照步骤创建或指定要使用的密钥。如果未指定客户托管密钥,CloudWatch 调查将使用 AWS 拥有的密钥进行加密。有关更多信息,请参阅 调查数据加密

  6. 如果您尚未执行此操作,请使用 IAM 控制台为用户配置访问权限,以便能够查看并管理调查。我们为管理员、操作员和查看者提供 IAM 角色。有关更多信息,请参阅 用户权限

  7. 对于 Amazon AI 操作开发者版权限,请选择下列选项之一。有关这些选项的详细信息,请参阅如何控制 CloudWatch 调查分析在调查过程中可访问的数据范围

    要选择前两个选项之一,您必须登录具有 iam:CreateRoleiam:AttachRolePolicyiam:PutRolePolicy 权限的 IAM 主体。

    • 推荐的选项是选择自动创建具有默认调查权限的新角色。选择此选项将会向助手授予 AIOpsAssistantPolicy IAM 策略。有关该策略内容的更多信息,请参阅 CloudWatch 调查的 IAM 策略 (AIOpsAssistantPolicy)

    • 选择从 AWS 策略模板创建新角色,自定义 CloudWatch 调查在调查期间将拥有的权限。如果您选择此选项,则必须确保将策略范围缩小到您希望 CloudWatch 调查在调查期间拥有的权限。

    • 如果您已经拥有包含要使用的权限的角色,请选择分配现有角色

      如果选择此选项,则必须确保该角色包含将 aiops.amazonaws.com 命名为服务主体的信任策略。有关在信任策略中使用服务主体的更多信息,请参阅 AWS 服务主体

      我们还建议您添加一个带有账号的 Condition 部分,以防止出现混淆代理的情况。以下示例信任策略同时演示了服务主体和 Condition 部分。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  8. 选择创建调查组后,您现在可从警报、指标或日志洞察中新建调查。

  9. 选择完成设置

或者,您可设置其他推荐的配置来优化使用体验。

  1. 在左侧导航窗格中,选择 AI 操作、配置

  2. 对于增强版集成,请选择允许 CloudWatch 调查访问您系统中的其他服务,使其能够收集更多数据并提高其实用性。

    1. 用于应用程序边界检测的标签部分,输入系统中自定义应用程序的现有自定义标签密钥。当 CloudWatch 调查无法发现资源之间的明确关系时,资源标签可以帮助 Amazon Q 开发者版缩小搜索空间。例如,要发现 Amazon ECS 服务依赖于 Amazon RDS 数据库,CloudWatch 调查可以使用 X-Ray 和 CloudWatch Application Signals 等数据来源发现这种关系。但是,如果您尚未部署这些功能,CloudWatch 调查将尝试确定可能的关系。在这些情况下,可以使用标签边界来缩小 CloudWatch 调查将发现的资源。

      您无需输入 myApplications 或 AWS CloudFormation 创建的标签,因为 CloudWatch 调查可以自动检测这些标签。

    2. CloudTrail 会记录有关系统变更的事件,包括部署事件。对于 CloudWatch 调查来说,这些事件通常有助于创建关于系统问题根本原因的假设。在用于更改事件检测的 CloudTrail部分,您可以通过启用允许助手通过 CloudTrail 事件历史记录访问 CloudTrail 更改事件,让 CloudWatch 调查可以访问 AWS CloudTrail 所记录的事件。有关更多信息,请参阅 Working with CloudTrail Event history

    3. 用于拓扑映射的 X-Ray用于运行状况评测的 Application Signals 部分指出了可以帮助 CloudWatch 调查查找信息的其他 AWS 服务。如果您已部署这些服务并且已将 AIOpsAssistantPolicy IAM 策略授予了 CloudWatch 调查,则 CloudWatch 调查将能够访问 X-Ray 和 Application Signals 遥测。

      如需了解这些服务如何支持 CloudWatch 调查,请参阅 X-RayCloudWatch Application Signals

  3. 您可以在聊天应用程序中使用 AWS Chatbot,将 CloudWatch 调查与聊天频道集成。这样就可以通过聊天频道接收有关调查的通知。CloudWatch 调查与 AWS Chatbot 为下列应用程序内的聊天频道提供支持:

    • Slack

    • Microsoft Teams

    若想与聊天频道集成,建议您先完成一些额外步骤,再继续操作。有关更多信息,请参阅 与第三方聊天系统集成

    然后,要执行此处的步骤以与聊天应用程序中 CloudWatch 调查中的聊天频道集成,请执行以下操作:

    • 聊天客户端集成部分,选择选择 SNS 主题

    • 选择用于发送有关您的调查的通知的 SNS 主题。