审计并开启 AWS 遥测相关配置
您可通过 Amazon CloudWatch 发现并审计遥测配置的状态,还能在 CloudWatch 控制台的统一视图中创建规则,为常用 AWS 资源类型启用遥测功能。该功能支持通过 AWS Organizations 管理账户或 CloudWatch 委托管理账户,审计单个账户内或 AWS Organizations 中多账户的遥测配置,助力您确保 AWS 环境内的监控与数据收集工作规范开展。
CloudWatch 数据摄取功能可用于审计并配置各类常用 AWS 日志源的遥测项,包括: Amazon VPC 流日志(已支持审计与配置)、AWS WAF 日志(已支持审计与配置)、Amazon Route 53 Resolver 查询日志(已支持审计与配置)、Amazon NLB(仅支持配置)、Amazon EKS 控制面板日志(已支持审计与配置)、AWS CloudTrail 数据事件与管理事件(仅支持配置)、Amazon Bedrock AgentCore 日志(仅支持配置)。
开始审计和配置遥测功能前,您需为所属 AWS 组织启用 CloudWatch 的可信访问,再为目标 AWS 账户或组织启用遥测配置功能。启用此功能后,您可创建与 AWS Config 服务相关的配置记录器,用于发现资源及其相关的遥测配置元数据。有关更多信息,请参阅《AWS Config 开发人员指南中的配置记录器。
注意
无论您的配置记录器范围内的资源类型如何,AWS Config 都会定期清点或发现您账户中的所有资源,这是一种反熵行为。清点包括已删除的资源和 AWS Config 当前未记录的资源。此行为有助于保持数据一致性。
在此前提下,即便 CloudWatch 遥测配置功能的服务相关配置记录器已配置为仅记录特定资源类型,您仍可能在 AWS CloudTrail 中看到来自 ConfigResourceCompositionSession 和 AWSConfig-Describe 的查询调用。有关更多信息,请参阅《AWS Config Developer Guide》中的 Non-recorded Resources。
遥测配置功能会使用这些信息,让您从资源类型级别和更精细的遥测详细信息级别,掌握配置状态信息。您可以使用筛选条件自定义资源视图或遥测详细信息,也可以直接从资源的控制台页面修改遥测配置。
Amazon CloudWatch 使用 AWS Config 内部服务关联记录器。针对 CloudWatch 借助内部服务关联记录器产生的配置项,不会向您收取相关费用。
