使用遥测启用规则
您可以创建遥测启用规则,来自动为所用的 AWS 资源配置遥测数据收集功能。这样的规则有助于实现整个组织或跨账户的遥测数据收集标准化,确保一致的监控覆盖范围。
启用规则与 AWS Config 集成
CloudWatch 遥测审计与配置功能与 AWS Config 服务集成,可自动发现符合启用规则的资源,并将启用规则应用于遥测数据收集。创建启用规则时,遥测配置功能会创建对应的 AWS Config 记录器。该记录器包含启用规则中定义的特定资源类型的配置项。
无需支付额外费用即可启用遥测配置功能。使用启用规则自动管理遥测时,AWS Config 会根据启用规则中指定的资源类型所记录的配置项目数量收取费用。有关更多信息,请参阅AWS Config定价
注意
若已为特定资源类型启用 AWS Config 的配置项记录功能,则不会产生重复计费。
遥测配置功能通过 AWS Config 实现以下目的:
-
跨组织或账户发现资源
-
追踪遥测配置变更
了解启用规则行为
遥测配置在评估和应用规则时遵循特定模式:
启用规根据分层模式进行评估。首先评估组织级别规则,其次是组织单元(OU)规则,最后是单个账户规则。组织级别的规则为组织提供必需的基准遥测配置。OU 和账户级别的规则可以扩大遥测数据的收集范围,但不能缩小遥测数据的收集范围。若创建了违反此要求的规则,将引发规则冲突。
在每个范围(组织、OU 或账户)内,规则必须在资源类型、遥测类型和目标配置方面保持唯一性。重复规则会引发冲突异常。如果不同范围内存在相同规则(例如:组织级别存在 VPC 流日志发送到 CloudWatch 的规则,且 OU 级别也存在 VPC 流日志规则),则优先应用层级更高的规则。不过,若是存在相互冲突的多条规则,则这些规则都不会应用。
对于 VPC 流日志,遥测配置功能仅会为符合规则范围的资源创建新的流日志,不会删除或影响先前建立的 VPC 流日志,即使这些日志与当前规则参数不符。对于 CloudWatch Logs,只要现有日志组符合资源模式,就会保留这些日志组。
如果更新启用规则,则只有符合该规则的新资源才会采用更新后的配置,现有资源的现有遥测设置将保持不变。如果因手动删除遥测数据导致某资源不符合现有规则,只要该资源恢复合规状态,就会采用新的启用规则。
创建遥测启用规则
在创建遥测启用规则时,需要指定以下参数:
-
规则的适用范围(组织、OU 或账户)
-
规则适用的资源类型
-
需启用的遥测类型(指标、日志或追踪)
-
用于筛选规则所影响资源范围的可选标签
创建遥测启用规则
通过 https://console.aws.amazon.com/cloudwatch/
打开 CloudWatch 控制台。 -
在导航窗格中,选择遥测配置。
-
选择启用规则选项卡。
-
选择添加规则。
-
对于规则名称,输入规则的名称。
-
对于规则范围,请选择以下选项之一:
-
组织:规则适用于整个 AWS Organizations
-
组织单元:规则适用于特定 OU
-
账户:规则适用于单个账户
-
-
对于数据来源,选择要配置的 AWS 服务。
-
对于遥测类型,选择要启用的遥测类型。
-
可选:添加用于筛选规则所影响资源范围的标签。
-
选择创建规则。
管理遥测规则
创建规则后即可编辑或删除规则。支持查看每条规则所影响的具体资源,也支持监控规则合规状态。
管理现有规则
通过 https://console.aws.amazon.com/cloudwatch/
打开 CloudWatch 控制台。 -
在导航窗格中,选择遥测配置。
-
选择启用规则选项卡。
-
选择规则可查看其详细信息,也可选择执行以下操作:
-
编辑:修改规则设置
-
删除:移除规则
-
遥测配置问题排查
本节介绍使用遥测配置功能时可能遇到的常见问题以及解决方案。
规则冲突与解决方案
当多条规则同时适用于同一资源时,遥测配置功能会按以下优先级解决冲突:
-
组织级别规则优先于账户级别规则
-
特定标签匹配的规则优先于通用规则
-
若存在多条冲突规则,则这些规则均不会生效,须先解决冲突。
常见问题
- 资源未出现在发现结果中
-
验证:
-
资源类型受支持
-
AWS Config 记录器已启用
-
具备适当的 IAM 权限
-
- 规则未自动应用
-
请检查:
-
规则范围配置
-
标签筛选条件
-
服务特定注意事项
- Amazon VPC 流日志
-
创建流日志时:
-
若未指定模式,默认使用 /aws/vpc/
vpc-id -
保留现有客户创建的流日志
-
规则更新仅影响新的流日志
-
