View a markdown version of this page

遥测启用规则 - Amazon CloudWatch
规则如何运作创建遥测启用规则管理遥测规则支持的数据来源

遥测启用规则

您可以创建遥测启用规则,来自动为所用的 AWS 资源配置遥测数据收集功能。这样的规则有助于实现整个组织或跨账户的遥测数据收集标准化,确保一致的监控覆盖范围。

规则如何运作

遥测配置在评估和应用规则时遵循特定模式。

规则评估层次结构

启用规则根据分层模式进行评估。首先评估组织级别规则,其次是组织单元(OU)规则,最后是单个账户规则。组织级别的规则为组织提供必需的基准遥测配置。OU 和账户级别的规则可以扩大遥测数据的收集范围,但不能缩小遥测数据的收集范围。若创建了违反此要求的规则,将引发规则冲突。

在每个范围(组织、OU 或账户)内,规则必须在资源类型、遥测类型和目标配置方面保持唯一性。重复规则会引发冲突异常。如果不同范围内存在相同规则(例如:组织级别存在 Amazon VPC 流日志发送到 CloudWatch 的规则,且 OU 级别也存在 Amazon VPC 流日志规则),则优先应用层级更高的规则。不过,若是存在相互冲突的多条规则,则这些规则都不会应用。

当多条规则同时适用于同一资源时,遥测配置功能会按以下优先级解决冲突:

  1. 组织级别规则优先于账户级别规则

  2. 特定标签匹配的规则优先于通用规则

  3. 若是存在相互冲突的多条规则,这些规则都不会应用。您必须先解决冲突。

更新时的规则行为

如果更新启用规则,则只有符合该规则的新资源才会采用更新后的配置。现有资源的现有遥测设置保持不变。如果因手动删除遥测数据导致某资源不符合现有规则,只要该资源恢复合规状态,就会采用新的启用规则。

对于 Amazon VPC 流日志,遥测配置功能仅会为符合规则范围的资源创建新的流日志,不会删除或影响先前建立的 Amazon VPC 流日志,即使这些日志与当前规则参数不符。对于 CloudWatch Logs,只要现有日志组符合资源模式,就会保留这些日志组。

与 AWS Config 集成

CloudWatch 遥测审计与配置功能与 AWS Config 服务集成,可自动发现符合启用规则的资源,并将启用规则应用于遥测数据收集。创建启用规则时,遥测配置功能会创建对应的 AWS Config 记录器。该记录器包含启用规则中定义的特定资源类型的配置项。

Amazon CloudWatch 使用 AWS Config 内部服务关联记录器。针对 CloudWatch 借助内部服务关联记录器产生的配置项,不会向您收取相关费用。

注意

创建启用规则后,系统会先通过 AWS Config 配置项(CI)识别出不合规资源(即未启用遥测功能的资源),再根据您设定的启用规则作用域为这类资源开启遥测功能。在某些情况下,资源的首次识别流程可能需要最长 24 小时才能完成。

遥测配置功能通过 AWS Config 实现以下目的:

  • 跨组织或账户发现资源

  • 追踪遥测配置变更

跨区域规则

使用目标区域创建规则时,当前区域将成为该规则的主区域。该规则会自动复制到您选择的分支区域。

多区域规则的重要概念:

  • 无法在分支区域中编辑或删除复制的规则。必须导航到主区域才能对其进行修改或删除。

  • 如果您选择所有区域,则在您选择加入新区域时会自动包含这些区域。

  • 系统会定期协调各区域的规则,以纠正主区域和分支区域之间的任何偏差。

  • 应用于主区域中规则的标签会复制到分支区域。

在分支区域中创建、更新或删除复制的规则时,AWS CloudTrail 会在分支区域中记录 AwsServiceEvent。这些事件通过 observabilityadmin.amazonaws.com 作为调用服务进行记录,并在分支区域中包含规则 ARN。您可以使用这些事件来审计多区域规则复制活动。

以下是在分支区域中创建复制的规则时记录的示例 AWS CloudTrail 事件:

{
    "eventVersion": "1.11",
    "userIdentity": {
        "accountId": "123456789012",
        "invokedBy": "observabilityadmin.amazonaws.com"
    },
    "eventTime": "2026-04-06T19:50:37Z",
    "eventSource": "observabilityadmin.amazonaws.com",
    "eventName": "CreateTelemetryRule",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "observabilityadmin.amazonaws.com",
    "userAgent": "observabilityadmin.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "eventID": "435d6da2-d099-4775-8944-1e039418de6f",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::ObservabilityAdmin::TelemetryRule",
            "ARN": "arn:aws:observabilityadmin:us-east-1:123456789012:telemetry-rule/my-multi-region-rule"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

eventName 字段反映了对复制的规则执行的操作:CreateTelemetryRuleUpdateTelemetryRuleDeleteTelemetryRuleeventType 始终为 AwsServiceEvent,因为操作是由 ObservabilityAdmin 服务代表客户执行,而不是通过直接的客户 API 调用来执行。

创建遥测启用规则

在创建遥测启用规则时,需要指定以下参数:

  • 规则的适用范围(组织、OU 或账户)

  • 规则适用的资源类型

  • 需启用的遥测类型(指标、日志或追踪)

  • 用于筛选规则所影响资源范围的可选标签

  • 可选目标区域,用于在多个区域中复制规则

创建遥测启用规则

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择摄取

  3. 选择启用规则选项卡。

  4. 选择添加规则

  5. 对于规则名称,输入规则的名称。

  6. 对于规则范围,请选择以下选项之一:

    • 组织:规则适用于整个 AWS Organizations

    • 组织单元:规则适用于特定 OU

    • 账户:规则适用于单个账户

  7. 对于数据来源,选择要配置的 AWS 服务。

  8. 对于遥测类型,选择要启用的遥测类型。

  9. (可选)添加用于筛选规则所影响资源范围的标签。

  10. (可选)对于目标区域,选择要应用此规则的区域。当前区域会自动指定为规则的主区域。如果您选择所有区域,则在您选择加入新区域时会自动包含这些区域。

  11. 选择 Create rule(创建规则)。

管理遥测规则

创建规则后即可编辑或删除规则。支持查看每条规则所影响的具体资源,也支持监控规则合规状态。

管理现有规则

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择摄取

  3. 选择启用规则选项卡。

  4. 选择规则可查看其详细信息,也可选择执行以下操作:

    • 编辑规则:修改规则设置

    • 删除:移除规则

管理复制的规则

在分支区域中查看复制的规则时,控制台会显示信息警报,表明该规则已从另一个区域复制。对于分支区域中复制的规则,编辑规则和删除操作将禁用。

要编辑或删除复制的规则,请导航到最初创建该规则的主区域。主区域显示在信息警报中。

可以在分支区域的已复制规则上添加或修改标签。在分支区域中所做的标签更改仅适用于规则的本地副本,不会复制回主区域。

支持的数据来源

遥测启用规则支持以下数据来源。每个数据来源都有特定的行为和配置注意事项。

Amazon VPC 流日志

创建流日志时:

  • 若未指定模式,默认使用 /aws/vpc/vpc-id

  • 保留现有客户创建的流日志

  • 规则更新仅影响新的流日志

  • 您可以使用 <vpc-id>、<account-id> 宏对日志组进行拆分。

  • 对于已向 CloudWatch Logs 上报日志的 VPC,CloudWatch 不会为其重新创建流量日志

Amazon EKS 控制面板日志

启用控制面板日志记录功能时:

  • 采用默认 CloudWatch 日志组命名规则 /aws/eks/<cluster-name>/cluster。Amazon EKS 会为每个集群自动创建日志组。

  • 规则更新仅对新建集群,或尚未启用指定日志类型的集群生效

  • 可启用指定日志类型:api、audit、authenticator、controllerManager、scheduler

AWS WAF Web ACL 日志

创建 WAF 日志时:

  • 采用默认 CloudWatch 日志组命名规则,且日志组名称始终以 aws-waf-logs- 为前缀

  • 规则更新仅对新建 Web ACL,或尚未向 CloudWatch Logs 启用日志记录功能的现有 Web ACL 生效

  • 对于已向 CloudWatch Logs 上报日志的 Web ACL,CloudWatch 不会为其重复启用日志功能

Amazon Route 53 Resolver 日志

启用解析器查询日志记录功能时:

  • 若未指定日志组,将采用默认 CloudWatch 日志组命名规则 /aws/route53resolver

  • 您可以使用 <account-id> 宏对日志组进行拆分。

  • 对于已向 CloudWatch Logs 上报日志的 VPC,CloudWatch 不会为其重新创建解析器查询日志

  • 启用规则会根据规则作用域,为您的 VPC 配置 Route 53 查询日志记录功能。CloudWatch 不会发现 Route 53 配置文件及相关配置项。

NLB 访问日志

启用访问日志功能时:

  • 若未指定日志组模式,将采用默认 CloudWatch 日志组模式,且以 /aws/nlb/access-logs 为前缀

  • 对于已向 CloudWatch Logs 上报日志的 NLB,CloudWatch 不会为其重复启用日志投递功能

通过服务相关通道摄取 CloudTrail 日志

通过服务相关通道(SLC)启用 CloudTrail 日志时:

  • 采用托管式 CloudWatch 日志组,命名格式为 aws/cloudtrail/<event-types>

  • 客户创建的现有 CloudTrail 跟踪记录转发配置将保持不变

  • CloudWatch 启用规则仅通过服务相关通道摄取日志数据

  • 事件的保留期限遵循其所写入日志组的配置

  • 配置 CloudTrail 事件时,在启用向导环节,您至少需选择一种事件类型,将其摄取到 CloudWatch。

  • 若事件出现投递延迟(由附加原因 DELIVERY_DELAY 标识),且您先前为此日志组配置了较短的保留期限,则延迟的事件可能仅在较短的保留期限内可用。

提示

要跨多个区域配置 CloudTrail 日志,请在创建启用规则时使用目标区域选择器。这会自动将规则从主区域复制到您选择的区域。

Amazon EC2 详细指标

启用详细监控时:

  • 实例状态更改可能会影响指标收集

AWS Security Hub

启用 Security Hub 日志记录时:

  • 使用 CloudWatch 托管日志组模式 aws/securityhub_cspm/findings

  • 对于已经在将日志摄取到托管式 CloudWatch Logs 的 Security Hub,CloudWatch 不会为其启用日志投递功能

Amazon Bedrock AgentCore

  • 启用所有可用 Bedrock AgentCore 基础组件产生的日志和跟踪数据,包括运行时、浏览器工具、代码解释器工具。需按照控制台的“遥测配置”操作流程,先创建日志投递规则,再创建跟踪数据投递规则。

  • 创建跟踪数据投递规则时,系统会自动启用 Transaction Search 功能,并生成额外的权限策略,允许 CloudWatch X-Ray 将关联跟踪数据发送到您账户中的托管日志组。此外,系统会创建 X-Ray 资源策略,允许当前及新建的 Bedrock AgentCore 基础组件,向您的账户投递跟踪数据。

Amazon Bedrock AgentCore 网关

启用 Bedrock AgentCore 网关 日志记录时:

  • 若未指,将采用默认 CloudWatch 日志组模式 /aws/bedrock/agentcore

  • 对于已经在将日志摄取到 CloudWatch Logs 的 Bedrock Agentcore 网关,CloudWatch 不会为其启用日志投递功能

Amazon Bedrock AgentCore 内存

启用 Bedrock Agentcore 内存日志记录时:

  • 若未指,将采用默认 CloudWatch 日志组模式 /aws/bedrock/agentcore

  • 对于已经在将日志摄取到 CloudWatch Logs 的 Bedrock Agentcore 内存,CloudWatch 不会为其启用日志投递功能

Amazon CloudFront 分配

启用 CloudFront 分配日志记录时:

  • 对于已经在将日志摄取到 CloudWatch Logs 的 CloudFront 分配,CloudWatch 不会为其启用日志投递功能

Amazon MSK 集群指标

启用 MSK 集群指标时:

  • 仅支持 METRICS 遥测类型

  • 可以配置增强型监控级别(PER_BROKER、PER_TOPIC_PER_BROKER 等)来控制所收集指标的粒度

  • 同一 MSK 集群可存在具有不同增强型监控级别的规则

OpenTelemetry 扩充指标

启用 OpenTelemetry 扩充指标时:

  • 仅支持 METRICS 遥测类型

  • 这是账户级别的启用,没有用户可配置的目的地

  • 不支持资源级选择标准

Amazon Bedrock Agentcore 工作负载身份

启用 Bedrock AgentCore 工作负载身份日志记录时:

  • 若未指,将采用默认 CloudWatch 日志组模式 /aws/bedrock/agentcore

  • 对于已经在将日志摄取到 CloudWatch Logs 的 Bedrock Agentcore 工作负载,CloudWatch 不会为其启用日志投递功能