使用遥测启用规则
您可以创建遥测启用规则,来自动为所用的 AWS 资源配置遥测数据收集功能。这样的规则有助于实现整个组织或跨账户的遥测数据收集标准化,确保一致的监控覆盖范围。
启用规则与 AWS Config 集成
CloudWatch 遥测审计与配置功能与 AWS Config 服务集成,可自动发现符合启用规则的资源,并将启用规则应用于遥测数据收集。创建启用规则时,遥测配置功能会创建对应的 AWS Config 记录器。该记录器包含启用规则中定义的特定资源类型的配置项。
Amazon CloudWatch 使用 AWS Config 内部服务关联记录器。针对 CloudWatch 借助内部服务关联记录器产生的配置项,不会向您收取相关费用。
注意
创建启用规则后,系统会先通过 AWS Config 配置项(CI)识别出不合规资源(即未启用遥测功能的资源),再根据您设定的启用规则作用域为这类资源开启遥测功能。在某些情况下,资源的首次识别流程可能需要最长 24 小时才能完成。
遥测配置功能通过 AWS Config 实现以下目的:
-
跨组织或账户发现资源
-
追踪遥测配置变更
了解启用规则行为
遥测配置在评估和应用规则时遵循特定模式:
启用规则根据分层模式进行评估。首先评估组织级别规则,其次是组织单元(OU)规则,最后是单个账户规则。组织级别的规则为组织提供必需的基准遥测配置。OU 和账户级别的规则可以扩大遥测数据的收集范围,但不能缩小遥测数据的收集范围。若创建了违反此要求的规则,将引发规则冲突。
在每个范围(组织、OU 或账户)内,规则必须在资源类型、遥测类型和目标配置方面保持唯一性。重复规则会引发冲突异常。如果不同范围内存在相同规则(例如:组织级别存在 VPC 流日志发送到 CloudWatch 的规则,且 OU 级别也存在 VPC 流日志规则),则优先应用层级更高的规则。不过,若是存在相互冲突的多条规则,则这些规则都不会应用。
对于 VPC 流日志,遥测配置功能仅会为符合规则范围的资源创建新的流日志,不会删除或影响先前建立的 VPC 流日志,即使这些日志与当前规则参数不符。对于 CloudWatch Logs,只要现有日志组符合资源模式,就会保留这些日志组。
如果更新启用规则,则只有符合该规则的新资源才会采用更新后的配置,现有资源的现有遥测设置将保持不变。如果因手动删除遥测数据导致某资源不符合现有规则,只要该资源恢复合规状态,就会采用新的启用规则。
创建遥测启用规则
在创建遥测启用规则时,需要指定以下参数:
-
规则的适用范围(组织、OU 或账户)
-
规则适用的资源类型
-
需启用的遥测类型(指标、日志或追踪)
-
用于筛选规则所影响资源范围的可选标签
创建遥测启用规则
通过 https://console.aws.amazon.com/cloudwatch/
打开 CloudWatch 控制台。 -
在导航窗格中,选择遥测配置。
-
选择启用规则选项卡。
-
选择添加规则。
-
对于规则名称,输入规则的名称。
-
对于规则范围,请选择以下选项之一:
-
组织:规则适用于整个 AWS Organizations
-
组织单元:规则适用于特定 OU
-
账户:规则适用于单个账户
-
-
对于数据来源,选择要配置的 AWS 服务。
-
对于遥测类型,选择要启用的遥测类型。
-
可选:添加用于筛选规则所影响资源范围的标签。
-
选择 Create rule(创建规则)。
管理遥测规则
创建规则后即可编辑或删除规则。支持查看每条规则所影响的具体资源,也支持监控规则合规状态。
管理现有规则
通过 https://console.aws.amazon.com/cloudwatch/
打开 CloudWatch 控制台。 -
在导航窗格中,选择遥测配置。
-
选择启用规则选项卡。
-
选择规则可查看其详细信息,也可选择执行以下操作:
-
编辑:修改规则设置
-
删除:移除规则
-
遥测配置问题排查
本节介绍使用遥测配置功能时可能遇到的常见问题以及解决方案。
规则冲突与解决方案
当多条规则同时适用于同一资源时,遥测配置功能会按以下优先级解决冲突:
-
组织级别规则优先于账户级别规则
-
特定标签匹配的规则优先于通用规则
-
若存在多条冲突规则,则这些规则均不会生效,须先解决冲突。
常见问题
- 资源未出现在发现结果中
-
验证:
-
资源类型受支持
-
AWS Config 记录器已启用
-
具备适当的 IAM 权限
-
- 规则未自动应用
-
请检查:
-
规则范围配置
-
标签筛选条件
-
注意
创建启用规则后,系统会先通过 AWS Config 配置项(CI)识别出不合规资源(即未启用遥测功能的资源),再根据您设定的启用规则作用域为这类资源开启遥测功能。在某些情况下,资源的首次识别流程可能需要最长 24 小时才能完成。
服务特定注意事项
- Amazon VPC 流日志
-
创建流日志时:
-
若未指定模式,默认使用 /aws/vpc/vpc-id
-
保留现有客户创建的流日志
-
规则更新仅影响新的流日志
-
您可以使用 <vpc-id>、<account-id> 宏对日志组进行拆分。
-
对于已向 CloudWatch Logs 上报日志的 VPC,CloudWatch 不会为其重新创建流量日志
-
- Amazon EKS 控制面板日志记录
-
启用控制面板日志记录功能时:
-
采用默认 CloudWatch 日志组命名规则 /aws/eks/<cluster-name>/cluster。Amazon EKS 会为每个集群自动创建日志组。
-
规则更新仅对新建集群,或尚未启用指定日志类型的集群生效
-
可启用指定日志类型:api、audit、authenticator、controllerManager、scheduler
-
- AWS WAF Web ACL 日志
-
创建 WAF 日志时:
-
采用默认 CloudWatch 日志组命名规则,且日志组名称始终以 aws-waf-logs- 为前缀
-
规则更新仅对新建 Web ACL,或尚未向 CloudWatch Logs 启用日志记录功能的现有 Web ACL 生效
-
对于已向 CloudWatch Logs 上报日志的 Web ACL,CloudWatch 不会为其重复启用日志功能
-
- Amazon Route 53 Resolver 日志
-
启用解析器查询日志记录功能时:
-
若未指定日志组,将采用默认 CloudWatch 日志组命名规则 /aws/route53resolver
-
对于已向 CloudWatch Logs 上报日志的 VPC,CloudWatch 不会为其重新创建解析器查询日志
-
启用规则会根据规则作用域,为您的 VPC 配置 Route 53 查询日志记录功能。CloudWatch 不会发现 Route 53 配置文件及相关配置项。
-
- NLB 访问日志
-
启用访问日志功能时:
-
若未指定日志组,将采用默认 CloudWatch 日志组命名规则,且日志组名称以 /aws/nlb/access-logs 为前缀
-
对于已向 CloudWatch Logs 上报日志的 NLB,CloudWatch 不会为其重复启用日志投递功能
-
- Amazon Bedrock AgentCore 遥测
-
-
启用所有可用 Bedrock AgentCore 基础组件产生的日志和跟踪数据,包括运行时、浏览器工具、代码解释器工具。需按照控制台的“遥测配置”操作流程,先创建日志投递规则,再创建跟踪数据投递规则。
-
创建跟踪数据投递规则时,系统会自动启用 Transaction Search 功能,并生成额外的权限策略,允许 CloudWatch X-Ray 将关联跟踪数据发送到您账户中的托管日志组。此外,系统会创建 X-Ray 资源策略,允许当前及新建的 Bedrock AgentCore 基础组件,向您的账户投递跟踪数据。
-
- 通过服务相关通道摄取 CloudTrail 日志
-
通过服务相关通道(SLC)启用 CloudTrail 日志时:
-
采用托管式 CloudWatch 日志组,命名格式为 aws/cloudtrail/<event-types>
-
客户创建的现有 CloudTrail 跟踪记录转发配置将保持不变
-
CloudWatch 启用规则仅通过服务相关通道摄取日志数据
-
事件的保留期限遵循其所写入日志组的配置
-
配置 CloudTrail 事件时,在启用向导环节,您至少需选择一种事件类型,将其摄取到 CloudWatch。
-
若事件出现投递延迟(由附加原因 DELIVERY_DELAY 标识),且您先前为此日志组配置了较短的保留期限,则延迟的事件可能仅在较短的保留期限内可用。
-
重要提示:对于多区域部署,CloudWatch 启用规则需在每个 AWS 区域单独配置,且该功能尚未在所有区域推出。如需实现全面的多区域覆盖,建议在该功能区域范围扩展之前,继续使用将事件发送到 CloudWatch 的 CloudTrail 跟踪记录。
-
