# 遥测启用规则
<a name="telemetry-config-rules"></a>

您可以创建遥测启用规则，来自动为所用的 AWS 资源配置遥测数据收集功能。这样的规则有助于实现整个组织或跨账户的遥测数据收集标准化，确保一致的监控覆盖范围。

**Topics**
+ [规则如何运作](#telemetry-config-rules-behavior)
+ [创建遥测启用规则](#telemetry-config-rules-create)
+ [管理遥测规则](#telemetry-config-rules-manage)
+ [支持的数据来源](#telemetry-config-troubleshoot-service)

## 规则如何运作
<a name="telemetry-config-rules-behavior"></a>

遥测配置在评估和应用规则时遵循特定模式。

### 规则评估层次结构
<a name="telemetry-config-rules-hierarchy"></a>

启用规则根据分层模式进行评估。首先评估组织级别规则，其次是组织单元（OU）规则，最后是单个账户规则。组织级别的规则为组织提供必需的基准遥测配置。OU 和账户级别的规则可以扩大遥测数据的收集范围，但不能缩小遥测数据的收集范围。若创建了违反此要求的规则，将引发规则冲突。

在每个范围（组织、OU 或账户）内，规则必须在资源类型、遥测类型和目标配置方面保持唯一性。重复规则会引发冲突异常。如果不同范围内存在相同规则（例如：组织级别存在 Amazon VPC 流日志发送到 CloudWatch 的规则，且 OU 级别也存在 Amazon VPC 流日志规则），则优先应用层级更高的规则。不过，若是存在相互冲突的多条规则，则这些规则都不会应用。

当多条规则同时适用于同一资源时，遥测配置功能会按以下优先级解决冲突：

1. 组织级别规则优先于账户级别规则

1. 特定标签匹配的规则优先于通用规则

1. 若是存在相互冲突的多条规则，这些规则都不会应用。您必须先解决冲突。

### 更新时的规则行为
<a name="telemetry-config-rules-updates"></a>

如果更新启用规则，则只有符合该规则的新资源才会采用更新后的配置。现有资源的现有遥测设置保持不变。如果因手动删除遥测数据导致某资源不符合现有规则，只要该资源恢复合规状态，就会采用新的启用规则。

对于 Amazon VPC 流日志，遥测配置功能仅会为符合规则范围的资源创建新的流日志，不会删除或影响先前建立的 Amazon VPC 流日志，即使这些日志与当前规则参数不符。对于 CloudWatch Logs，只要现有日志组符合资源模式，就会保留这些日志组。

### 与 AWS Config 集成
<a name="telemetry-config-automated"></a>

CloudWatch 遥测审计与配置功能与 AWS Config 服务集成，可自动发现符合启用规则的资源，并将启用规则应用于遥测数据收集。创建启用规则时，遥测配置功能会创建对应的 AWS Config 记录器。该记录器包含启用规则中定义的特定资源类型的配置项。

Amazon CloudWatch 使用 AWS Config 内部服务关联记录器。针对 CloudWatch 借助内部服务关联记录器产生的配置项，不会向您收取相关费用。

**注意**  
创建启用规则后，系统会先通过 AWS Config 配置项（CI）识别出不合规资源（即未启用遥测功能的资源），再根据您设定的启用规则作用域为这类资源开启遥测功能。在某些情况下，资源的首次识别流程可能需要最长 24 小时才能完成。

遥测配置功能通过 AWS Config 实现以下目的：
+ 跨组织或账户发现资源
+ 追踪遥测配置变更

### 跨区域规则
<a name="telemetry-config-rules-multi-region"></a>

使用目标区域创建规则时，当前区域将成为该规则的*主区域*。该规则会自动复制到您选择的分支区域。

多区域规则的重要概念：
+ 无法在分支区域中编辑或删除复制的规则。必须导航到主区域才能对其进行修改或删除。
+ 如果您选择**所有区域**，则在您选择加入新区域时会自动包含这些区域。
+ 系统会定期协调各区域的规则，以纠正主区域和分支区域之间的任何偏差。
+ 应用于主区域中规则的标签会复制到分支区域。

在分支区域中创建、更新或删除复制的规则时，AWS CloudTrail 会在分支区域中记录 `AwsServiceEvent`。这些事件通过 `observabilityadmin.amazonaws.com` 作为调用服务进行记录，并在分支区域中包含规则 ARN。您可以使用这些事件来审计多区域规则复制活动。

以下是在分支区域中创建复制的规则时记录的示例 AWS CloudTrail 事件：

```
{
    "eventVersion": "1.11",
    "userIdentity": {
        "accountId": "{{123456789012}}",
        "invokedBy": "observabilityadmin.amazonaws.com"
    },
    "eventTime": "2026-04-06T19:50:37Z",
    "eventSource": "observabilityadmin.amazonaws.com",
    "eventName": "CreateTelemetryRule",
    "awsRegion": "{{us-east-1}}",
    "sourceIPAddress": "observabilityadmin.amazonaws.com",
    "userAgent": "observabilityadmin.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "eventID": "{{435d6da2-d099-4775-8944-1e039418de6f}}",
    "readOnly": false,
    "resources": [
        {
            "accountId": "{{123456789012}}",
            "type": "AWS::ObservabilityAdmin::TelemetryRule",
            "ARN": "arn:aws:observabilityadmin:{{us-east-1}}:{{123456789012}}:telemetry-rule/{{my-multi-region-rule}}"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "{{123456789012}}",
    "eventCategory": "Management"
}
```

`eventName` 字段反映了对复制的规则执行的操作：`CreateTelemetryRule`、`UpdateTelemetryRule` 或 `DeleteTelemetryRule`。`eventType` 始终为 `AwsServiceEvent`，因为操作是由 ObservabilityAdmin 服务代表客户执行，而不是通过直接的客户 API 调用来执行。

## 创建遥测启用规则
<a name="telemetry-config-rules-create"></a>

在创建遥测启用规则时，需要指定以下参数：
+ 规则的适用范围（组织、OU 或账户）
+ 规则适用的资源类型
+ 需启用的遥测类型（指标、日志或追踪）
+ 用于筛选规则所影响资源范围的可选标签
+ 可选目标区域，用于在多个区域中复制规则

**创建遥测启用规则**

1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台。

1. 在导航窗格中，选择**摄取**。

1. 选择**启用规则**选项卡。

1. 选择**添加规则**。

1. 对于**规则名称**，输入规则的名称。

1. 对于**规则范围**，请选择以下选项之一：
   + **组织**：规则适用于整个 AWS Organizations
   + **组织单元**：规则适用于特定 OU
   + **账户**：规则适用于单个账户

1. 对于**数据来源**，选择要配置的 AWS 服务。

1. 对于**遥测类型**，选择要启用的遥测类型。

1. （可选）添加用于筛选规则所影响资源范围的标签。

1. （可选）对于**目标区域**，选择要应用此规则的区域。当前区域会自动指定为规则的主区域。如果您选择**所有区域**，则在您选择加入新区域时会自动包含这些区域。

1. 选择 **Create rule**（创建规则）。

## 管理遥测规则
<a name="telemetry-config-rules-manage"></a>

创建规则后即可编辑或删除规则。支持查看每条规则所影响的具体资源，也支持监控规则合规状态。

**管理现有规则**

1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台。

1. 在导航窗格中，选择**摄取**。

1. 选择**启用规则**选项卡。

1. 选择规则可查看其详细信息，也可选择执行以下操作：
   + **编辑规则**：修改规则设置
   + **删除**：移除规则

### 管理复制的规则
<a name="telemetry-config-rules-manage-replicated"></a>

在分支区域中查看复制的规则时，控制台会显示信息警报，表明该规则已从另一个区域复制。对于分支区域中复制的规则，**编辑**规则和**删除**操作将禁用。

要编辑或删除复制的规则，请导航到最初创建该规则的主区域。主区域显示在信息警报中。

可以在分支区域的已复制规则上添加或修改标签。在分支区域中所做的标签更改仅适用于规则的本地副本，不会复制回主区域。

## 支持的数据来源
<a name="telemetry-config-troubleshoot-service"></a>

遥测启用规则支持以下数据来源。每个数据来源都有特定的行为和配置注意事项。

**Amazon VPC 流日志**  
创建流日志时：  
+ 若未指定模式，默认使用 /aws/vpc/vpc-id
+ 保留现有客户创建的流日志
+ 规则更新仅影响新的流日志
+ 您可以使用 <vpc-id>、<account-id> 宏对日志组进行拆分。
+ 对于已向 CloudWatch Logs 上报日志的 VPC，CloudWatch 不会为其重新创建流量日志

**Amazon EKS 控制面板日志**  
启用控制面板日志记录功能时：  
+ 采用默认 CloudWatch 日志组命名规则 /aws/eks/<cluster-name>/cluster。Amazon EKS 会为每个集群自动创建日志组。
+ 规则更新仅对新建集群，或尚未启用指定日志类型的集群生效
+ 可启用指定日志类型：api、audit、authenticator、controllerManager、scheduler

**AWS WAF Web ACL 日志**  
创建 WAF 日志时：  
+ 采用默认 CloudWatch 日志组命名规则，且日志组名称始终以 aws-waf-logs- 为前缀
+ 规则更新仅对新建 Web ACL，或尚未向 CloudWatch Logs 启用日志记录功能的现有 Web ACL 生效
+ 对于已向 CloudWatch Logs 上报日志的 Web ACL，CloudWatch 不会为其重复启用日志功能

**Amazon Route 53 Resolver 日志**  
启用解析器查询日志记录功能时：  
+ 若未指定日志组，将采用默认 CloudWatch 日志组命名规则 /aws/route53resolver
+ 您可以使用 <account-id> 宏对日志组进行拆分。
+ 对于已向 CloudWatch Logs 上报日志的 VPC，CloudWatch 不会为其重新创建解析器查询日志
+ 启用规则会根据规则作用域，为您的 VPC 配置 Route 53 查询日志记录功能。CloudWatch 不会发现 Route 53 配置文件及相关配置项。

**NLB 访问日志**  
启用访问日志功能时：  
+ 若未指定日志组模式，将采用默认 CloudWatch 日志组模式，且以 /aws/nlb/access-logs 为前缀
+ 对于已向 CloudWatch Logs 上报日志的 NLB，CloudWatch 不会为其重复启用日志投递功能

**通过服务相关通道摄取 CloudTrail 日志**  
通过服务相关通道（SLC）启用 CloudTrail 日志时：  
+ 采用托管式 CloudWatch 日志组，命名格式为 aws/cloudtrail/<event-types>
+ 客户创建的现有 CloudTrail 跟踪记录转发配置将保持不变
+ CloudWatch 启用规则仅通过服务相关通道摄取日志数据
+ 事件的保留期限遵循其所写入日志组的配置
+ 配置 CloudTrail 事件时，在启用向导环节，您至少需选择一种事件类型，将其摄取到 CloudWatch。
+ 若事件出现投递延迟（由附加原因 DELIVERY\_DELAY 标识），且您先前为此日志组配置了较短的保留期限，则延迟的事件可能仅在较短的保留期限内可用。
要跨多个区域配置 CloudTrail 日志，请在创建启用规则时使用**目标区域**选择器。这会自动将规则从主区域复制到您选择的区域。

**Amazon EC2 详细指标**  
启用详细监控时：  
+ 实例状态更改可能会影响指标收集

**AWS Security Hub**  
启用 Security Hub 日志记录时：  
+ 使用 CloudWatch 托管日志组模式 aws/securityhub\_cspm/findings
+ 对于已经在将日志摄取到托管式 CloudWatch Logs 的 Security Hub，CloudWatch 不会为其启用日志投递功能

**Amazon Bedrock AgentCore**  
+ 启用所有可用 Bedrock AgentCore 基础组件产生的日志和跟踪数据，包括运行时、浏览器工具、代码解释器工具。需按照控制台的“遥测配置”操作流程，先创建日志投递规则，再创建跟踪数据投递规则。
+ 创建跟踪数据投递规则时，系统会自动启用 Transaction Search 功能，并生成额外的权限策略，允许 CloudWatch X-Ray 将关联跟踪数据发送到您账户中的托管日志组。此外，系统会创建 X-Ray 资源策略，允许当前及新建的 Bedrock AgentCore 基础组件，向您的账户投递跟踪数据。

**Amazon Bedrock AgentCore 网关**  
启用 Bedrock AgentCore 网关 日志记录时：  
+ 若未指，将采用默认 CloudWatch 日志组模式 /aws/bedrock/agentcore
+ 对于已经在将日志摄取到 CloudWatch Logs 的 Bedrock Agentcore 网关，CloudWatch 不会为其启用日志投递功能

**Amazon Bedrock AgentCore 内存**  
启用 Bedrock Agentcore 内存日志记录时：  
+ 若未指，将采用默认 CloudWatch 日志组模式 /aws/bedrock/agentcore
+ 对于已经在将日志摄取到 CloudWatch Logs 的 Bedrock Agentcore 内存，CloudWatch 不会为其启用日志投递功能

**Amazon CloudFront 分配**  
启用 CloudFront 分配日志记录时：  
+ 对于已经在将日志摄取到 CloudWatch Logs 的 CloudFront 分配，CloudWatch 不会为其启用日志投递功能

**Amazon MSK 集群指标**  
启用 MSK 集群指标时：  
+ 仅支持 METRICS 遥测类型
+ 可以配置增强型监控级别（PER\_BROKER、PER\_TOPIC\_PER\_BROKER 等）来控制所收集指标的粒度
+ 同一 MSK 集群可存在具有不同增强型监控级别的规则

**OpenTelemetry 扩充指标**  
启用 OpenTelemetry 扩充指标时：  
+ 仅支持 METRICS 遥测类型
+ 这是账户级别的启用，没有用户可配置的目的地
+ 不支持资源级选择标准

**Amazon Bedrock Agentcore 工作负载身份**  
启用 Bedrock AgentCore 工作负载身份日志记录时：  
+ 若未指，将采用默认 CloudWatch 日志组模式 /aws/bedrock/agentcore
+ 对于已经在将日志摄取到 CloudWatch Logs 的 Bedrock Agentcore 工作负载，CloudWatch 不会为其启用日志投递功能