本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 可观测性
Amazon Bedrock 中的可观察性可帮助您跟踪性能、管理资源和自动部署。
**Topics**
+ [监控 Amazon Bedrock 的性能](monitoring.md)
+ [标记 Amazon Bedrock 资源](tagging.md)
# 监控 Amazon Bedrock 的性能
您可以使用 Amazon 监控您的 Amazon Bedrock 应用程序的所有部分 CloudWatch,亚马逊会收集原始数据并将其处理为可读的近乎实时的指标。您可以使用 CloudWatch控制台绘制指标的图表。此外,您还可以设置警报来监视特定阈值,并在值超出这些阈值时发送通知或采取措施。
有关更多信息,请参阅《[亚马逊 CloudWatch 用户指南》 CloudWatch中的 “什么是](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html)*亚马逊*”。
Amazon Bedrock 为您的应用程序的不同组件提供全面的监控功能:
+ [使用 CloudWatch 日志和 Amazon S3 监控模型调用](model-invocation-logging.md)-使用 CloudWatch 日志和 Amazon S3 跟踪和分析模型调用。
+ [使用 CloudWatch 日志监控知识库](knowledge-bases-logging.md)-监控知识库的操作和性能。
+ [使用指标监控 Amazon Bedrock Guardrails CloudWatch](monitoring-guardrails-cw-metrics.md)-跟踪护栏评估和政策执行。
+ [使用 CloudWatch 指标监控 Amazon 基岩代理](monitoring-agents-cw-metrics.md)-监控代理调用和性能指标。
+ [Amazon Bedrock 运行时指标](#runtime-cloudwatch-metrics)-查看关键运行时指标,包括调用、延迟、错误和令牌计数。
+ [使用亚马逊监控 Amazon Bedrock 作业状态的变化 EventBridge监控事件变化](monitoring-eventbridge.md)-跟踪作业状态变化并自动响应事件。
+ [使用监控 Amazon Bedrock API 调用 CloudTrail](logging-using-cloudtrail.md)-审计 API 调用并跟踪用户活动。
**Topics**
+ [使用 CloudWatch 日志和 Amazon S3 监控模型调用](model-invocation-logging.md)
+ [使用 CloudWatch 日志监控知识库](knowledge-bases-logging.md)
+ [使用指标监控 Amazon Bedrock Guardrails CloudWatch](monitoring-guardrails-cw-metrics.md)
+ [使用 CloudWatch 指标监控 Amazon 基岩代理](monitoring-agents-cw-metrics.md)
+ [Amazon Bedrock 运行时指标](#runtime-cloudwatch-metrics)
+ [CloudWatch Amazon Bedrock 的指标](#br-cloudwatch-metrics)
+ [使用亚马逊监控 Amazon Bedrock 作业状态的变化 EventBridge](monitoring-eventbridge.md)
+ [使用监控 Amazon Bedrock API 调用 CloudTrail](logging-using-cloudtrail.md)
# 使用 CloudWatch 日志和 Amazon S3 监控模型调用
您可以使用模型调用日志来收集您在某个地区的 Amazon Bedrock 中使用的所有调用的调用 AWS 账户 日志、模型输入数据和模型输出数据。
通过调用日志记录,您可以收集与在某个区域通过您的账户执行的所有调用相关的完整请求数据、响应数据和元数据。可以配置日志记录以提供日志数据发布到的目标资源。支持的目标包括亚马逊 CloudWatch 日志和亚马逊简单存储服务 (Amazon S3) Service。仅支持来自相同账户和区域的目标。
默认情况下,模型调用日志记录处于禁用状态。启用模型调用日志记录后,将存储日志,直到删除日志记录配置为止。
以下操作可以记录模型调用。
+ [Converse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)
+ [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)
+ [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html)
+ [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)
[使用 Converse API](conversation-inference-call.md) 时,您传递的任何图像或文档数据都将记录在 Amazon S3 中(前提是您已在 Amazon S3 中[启用](#model-invocation-logging-console)传送和图像日志记录功能)。
在启用调用日志之前,您需要设置 Amazon S3 或 CloudWatch 日志目标。您可以通过控制台或 API 启用调用日志记录。
**Topics**
+ [设置 Amazon S3 目标](#setup-s3-destination)
+ [设置 CloudWatch 日志目标](#setup-cloudwatch-logs-destination)
+ [使用控制台启用模型调用日志记录](#model-invocation-logging-console)
+ [使用 API 启用模型调用日志记录](#using-apis-logging)
## 设置 Amazon S3 目标
**注意**
使用 Amazon S3 作为日志记录目标时,需要使用与创建模型调用日志配置相同的 AWS 区域 存储桶来创建存储桶。
您可以按照以下步骤在 Amazon Bedrock 中设置 S3 日志记录目标:
1. 创建要将日志传输到 S3 存储桶。
1. 向其添加如下所示的存储桶策略(替换*accountId*、*region**bucketName*、和的值(可选*prefix*):
**注意**
当您使用权限 `S3:GetBucketPolicy` 和 `S3:PutBucketPolicy` 配置日志记录时,系统会代表您自动将存储桶策略附加到存储桶。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonBedrockLogsWrite",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucketName/prefix/AWSLogs/123456789012/BedrockModelInvocationLogs/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:*"
}
}
}
]
}
```
------
1. (可选)如果在存储桶上配置 SSE-KMS,请在 KMS 密钥上添加以下策略:
```
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "accountId"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
}
}
}
```
有关 S3 SSE-KMS 配置的更多信息,请参阅[指定 KMS 加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html)。
**注意**
必须禁用存储桶 ACL 才能使存储桶策略生效。有关更多信息,请参阅[禁 ACLs 用所有新存储桶和强制执行对象所有权](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ensure-object-ownership.html)。
## 设置 CloudWatch 日志目标
您可以按照以下步骤设置用于登录 Amazon Bedrock 的 Amazon Log CloudWatch s 目标:
1. 创建一个 CloudWatch 将在其中发布日志的日志组。
1. 创建具有以下 CloudWatch 日志权限的 IAM 角色。
**可信实体**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:*"
}
}
}
]
}
```
------
**角色策略**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations"
}
]
}
```
------
有关为 CloudWatch 日志设置 SSE 的更多信息,请参阅[使用加密日志中的 CloudWatch 日志数据 AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)。
## 使用控制台启用模型调用日志记录
**启用模型调用日志**
使用有权使用 Amazon Bedrock 控制台的 IAM 身份登录。 AWS 管理控制台 然后,在 [https://console.aws.amazon.com/](https://console.aws.amazon.com/bedrock)bedrock 上打开 Amazon Bedrock 控制台。
1. 在左侧导航窗格中,选择 “**设置”**。
1. 在**模型调用日志**页面中,选择**模型调用**日志。将出现用于记录的其他配置设置。
1. 选择要发布到日志的数据请求和响应的模式。您可以选择以下输出选项的任意组合:
+ 文本
+ Image
+ 嵌入
+ 视频
**注意**
将记录支持您选择的模态(无论是输入还是输出)*的所有*模型的数据。例如,如果您选择 “**图像**”,则将记录所有支持图像输入、图像输出或两者兼而有之的模型调用。
1. 选择发布日志的位置:
+ 仅限 Amazon S3
+ CloudWatch 仅限日志
+ Amazon S3 和 CloudWatch 日志
**日志记录目标**
调用 CloudWatch 日志以及小型输入和输出数据支持 Amazon S3 和日志目标。对于大型输入和输出数据或二进制图像输出,仅支持 Amazon S3。以下详细信息总结了目标位置的数据表示形式。
+ **S3 目标** — Gzip 类型的 JSON 文件(每个文件都包含一批调用日志记录)被传输到指定的 S3 存储桶。与 CloudWatch 日志事件类似,每条记录都将包含调用元数据以及大小不超过 100 KB 的输入和输出 JSON 正文。大于 100 KB 的二进制数据或 JSON 正文将作为单个对象上传到相应数据前缀下的指定 Amazon S3 存储桶中。可以使用 Amazon S3 Select 和 Amazon Athena 对数据进行查询,也可以使用 AWS Glue对 ETL 进行编目。数据可以加载到 OpenSearch 服务中,也可以由任何 Amazon EventBridge 目标进行处理。
+ **CloudWatch 日志目标**-JSON 调用日志事件被传送到日志中的 CloudWatch 指定日志组。日志事件包含调用元数据以及大小不超过 100 KB 的输入和输出 JSON 正文。如果提供了用于传输大量数据的 Amazon S3 位置,则大于 100 KB 的二进制数据或 JSON 正文将改为上传到数据前缀下的 Amazon S3 存储桶。可以使用 Logs Insights 查询数据,也可以使用 CloudWatch 日志进一步实时流式传输到各种服务。 CloudWatch
## 使用 API 启用模型调用日志记录
可以使用以下 APIs方法配置模型调用日志:
+ [PutModelInvocationLoggingConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_PutModelInvocationLoggingConfiguration.html)
+ [GetModelInvocationLoggingConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelInvocationLoggingConfiguration.html)
+ [DeleteModelInvocationLoggingConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_DeleteModelInvocationLoggingConfiguration.html)
# 使用 CloudWatch 日志监控知识库
Amazon Bedrock 支持使用监控系统来帮助您了解知识库中任意数据摄取作业的执行情况。以下各节介绍如何使用和 CloudWatch API 为 Amazon Bedrock 知识库启用 AWS 管理控制台 和配置日志系统。您可以利用此日志记录系统了解知识库资源的数据摄取情况。
## 使用控制台进行知识库日志记录
使用 AWS 管理控制台为 Amazon Bedrock 知识库启用日志记录:
1. **创建知识库**:使用 For Amazon Bedrock [创建新的知识库](https://docs.aws.amazon.com/bedrock/latest/userguide/knowledge-base-create.html)。 AWS 管理控制台
1. **添加日志传输选项**:创建知识库后,编辑或更新您的知识库以添加日志传输选项。
**注意**
创建带结构化数据存储的知识库或为 Kendra GenAI 索引创建知识库时,不支持日志传输。
**配置日志传输详细信息**:输入日志传输的详细信息,包括:
+ 日志目的地( CloudWatch 日志、亚马逊 S3、亚马逊 Data Firehose)
+ (如果使用 CloudWatch Logs 作为记录目标)日志组名称
+ (如果使用 Amazon S3 作为日志记录目标)存储桶名称
+ (如果使用 Amazon Data Firehose 作为日志记录目标)Firehose 流
1. **包含访问权限**:登录控制台的用户必须具有将收集的日志写入所选目标的必要权限。
以下示例 IAM 策略可以附加到登录控制台的用户,以便在使用 CloudWatch 日志时授予必要的权限
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:CreateDelivery",
"Resource": [
"arn:aws:logs:us-east-1:123456789012:delivery-source:*",
"arn:aws:logs:us-east-1:123456789012:delivery:*",
"arn:aws:logs:us-east-1:123456789012:delivery-destination:*"
]
}
]
}
```
------
1. **确认传输状态**:在控制台中验证日志传输状态是否为“正在传输中”。
## 知识库使用 CloudWatch API 进行日志记录
要使用 CloudWatch API 启用 Amazon Bedrock 知识库的日志记录,请执行以下操作:
1. **获取知识库的 ARN**:使用 Amazon Bedrock API 或 Amazon Bedrock 控制台[创建知识库](https://docs.aws.amazon.com/bedrock/latest/userguide/knowledge-base-create.html)后,获取知识库的 Amazon 资源名称。您可以通过调用 [GetKnowledgeBase](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetKnowledgeBase.html)API 获取 Amazon 资源名称。知识库 Amazon 资源名称采用以下格式:*arn:aws:bedrock:your-region:your-account-id:knowledge-base/knowledge-base-id*
1. **致电 `PutDeliverySource`**:使用 Amazon CloudWatch 提供的 [PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html)API 为知识库创建交付来源。将知识库 Amazon 资源名称作为 `resourceArn` 进行传递。`logType` 将指定 `APPLICATION_LOGS` 作为所收集日志的类型。`APPLICATION_LOGS` 将在执行摄取作业期间跟踪文件的当前状态。
```
{
"logType": "APPLICATION_LOGS",
"name": "my-knowledge-base-delivery-source",
"resourceArn": "arn:aws:bedrock:your-region:your-account-id:knowledge-base/knowledge_base_id"
}
```
1. **调**用`PutDeliveryDestination`:使用 Amazon CloudWatch 提供的 [PutDeliveryDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html)API 配置日志的存储位置。您可以选择 CloudWatch 日志、Amazon S3 或 Amazon Data Firehose 作为存储日志的目标。您必须为用来存储日志的其中一个目标选项指定 Amazon 资源名称。您可以将日志的 `outputFormat` 选为以下项之一:`json`、`plain`、`w3c`、`raw`、`parquet`。下面举例说明了如何将日志配置为以 JSON 格式存储在 Amazon S3 存储桶中。
```
{
"deliveryDestinationConfiguration": {
"destinationResourceArn": "arn:aws:s3:::bucket-name"
},
"name": "string",
"outputFormat": "json",
"tags": {
"key" : "value"
}
}
```
请注意,如果您要跨账户传送日志,则必须使用 `PutDeliveryDestinationPolicy` API 为目标账户分配 AWS Identity and Access Management (IAM) 策略。IAM 策略支持将日志从一个账户传输到另一个账户。
1. **调**用`CreateDelivery`:使用 [CreateDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html)API 调用将交付源链接到您在之前的步骤中创建的目的地。此 API 操作会将传输源与最终目标关联起来。
```
{
"deliveryDestinationArn": "string",
"deliverySourceName": "string",
"tags": {
"string" : "string"
}
}
```
**注意**
如果你想使用 CloudFormation,你可以使用以下内容:
[Delivery](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-logs-delivery.html)
[DeliveryDestination](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-logs-deliverydestination.html)
[DeliverySource](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-logs-deliverysource.html)
`ResourceArn` 是 `KnowledgeBaseARN`,`LogType` 必须是作为支持的日志类型的 `APPLICATION_LOGS`。
## 支持的日志类型
Amazon Bedrock 知识库支持以下日志类型:
+ `APPLICATION_LOGS`:用于在执行数据摄取作业期间跟踪特定文件当前状态的日志。
## 用户权限和限制
要为 Amazon Bedrock 知识库启用日志记录,登录控制台的用户账户需要具有以下权限:
1. `bedrock:AllowVendedLogDeliveryForResource` – 允许为知识库资源传输日志需要此权限。
您可以查看包含特定日志记录目标所需的所有权限的 IAM role/permissions 策略示例。请参阅[不同传送目的地的销售日志权限](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-vended-logs-permissions-V2),并按照您的日志目标的 IAM role/permission 策略示例进行操作,包括允许更新您的特定日志目标资源(无论是 CloudWatch 日志、Amazon S3 还是 Amazon Data Firehose)。
您还可以在日志[服务配额文档中查看进行与 CloudWatch 日志传送相关的 API 调用是否有任何配额](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html)限制。CloudWatch 配额限制设置了您可以调用 API 或创建资源的最大次数。如果超出限制,则会导致 `ServiceQuotaExceededException` 错误。
## 知识库日志示例
Amazon Bedrock 知识库有数据摄取级别日志和资源级别日志。
下面是数据摄取作业日志的一个示例。
```
{
"event_timestamp": 1718683433639,
"event": {
"ingestion_job_id": "",
"data_source_id": "",
"ingestion_job_status": "INGESTION_JOB_STARTED" | "STOPPED" | "COMPLETE" | "FAILED" | "CRAWLING_COMPLETED"
"knowledge_base_arn": "arn:aws:bedrock:::knowledge-base/",
"resource_statistics": {
"number_of_resources_updated": int,
"number_of_resources_ingested": int,
"number_of_resources_scheduled_for_update": int,
"number_of_resources_scheduled_for_ingestion": int,
"number_of_resources_scheduled_for_metadata_update": int,
"number_of_resources_deleted": int,
"number_of_resources_with_metadata_updated": int,
"number_of_resources_failed": int,
"number_of_resources_scheduled_for_deletion": int
}
},
"event_version": "1.0",
"event_type": "StartIngestionJob.StatusChanged",
"level": "INFO"
}
```
下面是资源级别日志的一个示例。
```
{
"event_timestamp": 1718677342332,
"event": {
"ingestion_job_id": "",
"data_source_id": "",
"knowledge_base_arn": "arn:aws:bedrock:::knowledge-base/",
"document_location": {
"type": "S3",
"s3_location": {
"uri": "s3://"
}
},
"status": ""
"status_reasons": String[],
"chunk_statistics": {
"ignored": int,
"created": int,
"deleted": int,
"metadata_updated": int,
"failed_to_create": int,
"failed_to_delete": int,
"failed_to_update_metadata": int
},
},
"event_version": "1.0",
"event_type": "StartIngestionJob.ResourceStatusChanged",
"level": "INFO" | "WARN" | "ERROR"
}
```
资源的 `status` 可以是以下项之一:
+ `SCHEDULED_FOR_INGESTION`、`SCHEDULED_FOR_DELETION`、`SCHEDULED_FOR_UPDATE`、`SCHEDULED_FOR_METADATA_UPDATE`:这些状态值表示,在计算知识库的当前状态与数据来源中所做的更改的差异之后,会安排处理该资源。
+ `RESOURCE_IGNORED`:此状态值表示在处理过程中忽略了该资源,原因在 `status_reasons` 属性内有详细说明。
+ `EMBEDDING_STARTED` 和 `EMBEDDING_COMPLETED`:这些状态值表示资源的向量嵌入何时开始和完成。
+ `INDEXING_STARTED` 和 `INDEXING_COMPLETED`:这些状态值表示资源的索引何时开始和完成。
+ `DELETION_STARTED` 和 `DELETION_COMPLETED`:这些状态值表示资源的删除何时开始和完成。
+ `METADATA_UPDATE_STARTED` 和 `METADATA_UPDATE_COMPLETED`:这些状态值表示资源的元数据更新何时开始和完成。
+ `EMBEDDING_FAILED`、`INDEXING_FAILED`、`DELETION_FAILED` 和 `METADATA_UPDATE_FAILED`:这些状态值表示资源处理失败,原因在 `status_reasons` 属性内有详细说明。
+ `INDEXED`、`DELETED`、`PARTIALLY_INDEXED`、`METADATA_PARTIALLY_INDEXED`、`FAILED`:文档处理完后,系统会发布一个日志,其中包含文件的最终状态以及 `chunk_statistics` 属性内的处理情况的摘要。
## 用于调试知识库日志的常见查询示例
您可以使用查询与日志进行交互。例如,您可以在摄取文档或数据时查询事件状态为 `RESOURCE_IGNORED` 的所有文档。
以下是一些可用于调试使用 Logs Insights 生成的 CloudWatch 日志的常见查询:
+ 查询为特定 S3 文档生成的所有日志。
`filter event.document_location.s3_location.uri = "s3:///"`
+ 查询在数据摄取作业期间忽略的所有文档。
`filter event.status = "RESOURCE_IGNORED"`
+ 查询向量嵌入文档时出现的所有异常。
`filter event.status = "EMBEDDING_FAILED"`
+ 查询将文档索引到向量数据库时出现的所有异常。
`filter event.status = "INDEXING_FAILED"`
+ 查询从向量数据库中删除文档索引时出现的所有异常。
`filter event.status = "DELETION_FAILED"`
+ 查询在向量数据库中更新文档元数据时出现的所有异常。
`filter event.status = "DELETION_FAILED"`
+ 查询在执行数据摄取作业期间出现的所有异常。
`filter level = "ERROR" or level = "WARN"`
# 使用指标监控 Amazon Bedrock Guardrails CloudWatch
下表描述了 Amazon Bedrock Guardrails 提供的运行时指标,您可以使用亚马逊指标对其进行监控。 CloudWatch
**运行时指标**
| 指标名称 | 单位 | 说明 |
| --- | --- | --- |
| Invocations | SampleCount | 请求执行 ApplyGuardrail API 操作的次数 |
| InvocationLatency | MilliSeconds | 调用的延迟时间 |
| InvocationClientErrors | SampleCount | 导致发生客户端错误的调用次数 |
| InvocationServerErrors | SampleCount | 导致服务器端错误的调用次数 AWS |
| InvocationThrottles | SampleCount | 系统节流的调用次数。受限请求不会计入调用次数或错误数 |
| TextUnitCount | SampleCount | 防护机制策略消耗的文本单元数量 |
| InvocationsIntervened | SampleCount | 防护机制干预的调用次数 |
| FindingCounts | SampleCount | 每种类型的发现都计数 InvokeAutomatedReasoningCheck |
| TotalFindings | SampleCount | 计算为每个 InvokeAutomatedReasoningCheck 请求生成的调查结果数量 |
| Invocations | SampleCount | 向发出的请求数 InvokeAutomatedReasoningCheck |
| 延迟 | MilliSeconds | 使用自动推理策略进行的验证的延迟 |
您可以根据下表在 CloudWatch 控制台中查看护栏尺寸:
**维度**
| 维度名称 | 维度值 | 适用于以下指标 |
| --- | --- | --- |
| 操作 | ApplyGuardrail | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| GuardrailContentSource | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| GuardrailPolicyType | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| GuardrailArn, GuardrailVersion | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| FindingType \$1 PolicyArn \$1 PolicyVersion | FindingType \$1 PolicyArn \$1 PolicyVersion | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| FindingType \$1 GuardrailArn \$1 GuardrailVersion | FindingType \$1 GuardrailArn \$1 GuardrailVersion | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| PolicyArn \$1 PolicyVersion | PolicyArn \$1 PolicyVersion | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| GuardrailArn \$1 GuardrailVersion | GuardrailArn \$1 GuardrailVersion | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
**获取护栏 CloudWatch 指标**
您可以使用 AWS 管理控制台、CLI 或 AP AWS I 获取护栏指标。 CloudWatch 您可以通过其中一个 AWS 软件开发套件 (SDKs) 或 CloudWatch API 工具来使用 API。 CloudWatch
中护栏指标的命名空间是。 CloudWatch `AWS/Bedrock/Guardrails`
**注意**
您必须拥有相应的 CloudWatch 权限才能监控护栏。 CloudWatch有关更多信息,请参阅《 CloudWatch 用户指南》 CloudWatch中的[身份验证和访问控制](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)。
**在控制台中查看护栏指标 CloudWatch **
1. 登录 AWS 管理控制台并打开控制 CloudWatch 台,网址为 https://console.aws.amazon.com/cloudwatch/。
1. 选择 `AWS/Bedrock/Guardrails` 命名空间。
# 使用 CloudWatch 指标监控 Amazon 基岩代理
下表描述了 Amazon Bedrock Agents 提供的运行时指标,您可以使用亚马逊 CloudWatch 指标对其进行监控。
**运行时指标**
****
| 指标名称 | 单位 | 说明 |
| --- | --- | --- |
| InvocationCount | SampleCount | 请求执行 API 操作的次数 |
| TotalTime | 毫秒 | 服务器处理请求所花费的时间 |
| TTFT | 毫秒 | Time-to-first-token 公制。为 invokeAgent 或 invokeInlineAgent 请求启用流式处理配置时发出 |
| InvocationThrottles | SampleCount | 系统节流的调用次数。受限请求和其他调用错误不会计入调用次数或错误次数。 |
| InvocationServerErrors | SampleCount | 导致服务器端错误的调用次数 AWS |
| InvocationClientErrors | SampleCount | 导致发生客户端错误的调用次数 |
| ModelLatency | 毫秒 | 模型的延迟 |
| ModelInvocationCount | SampleCount | 代理向模型发出的请求数 |
| ModelInvocationThrottles | SampleCount | Amazon Bedrock 核心限制的模型调用次数。受限请求和其他调用错误不会计入调用次数或错误次数。 |
| ModelInvocationClientErrors | SampleCount | 导致发生客户端错误的模型调用次数 |
| ModelInvocationServerErrors | SampleCount | 导致服务器端错误的模型调用次数 AWS |
| InputTokenCount | SampleCount | 输入到模型的词元数。 |
| outputTokenCount | SampleCount | 从模型输出的词元数。 |
您可以根据下表在 CloudWatch 控制台中查看代理维度:
**维度**
****
| 维度名称 | 维度值 | 适用于以下指标 |
| --- | --- | --- |
| 操作 | [InvokeAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html), [InvokeInlineAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeInlineAgent.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-agents-cw-metrics.html) |
| 操作, ModelId | Operation 维度中列出的任意 Amazon Bedrock 代理操作以及任意 Amazon Bedrock 核心模型的 modelId | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-agents-cw-metrics.html) |
| 操作, AgentAliasArn, ModelId | Operation 维度中列出的任意 Amazon Bedrock 代理操作以及 Amazon Bedrock 模型的任意 modelId(按代理别名的 agentAliasArn 分组) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/monitoring-agents-cw-metrics.html) |
**为代理使用 CloudWatch 指标**
您可以使用 AWS 管理控制台、CLI 或 CloudWatch AP AWS I 获取代理的指标。您可以通过其中一个 AWS 软件开发套件 (SDKs) 或 CloudWatch API 工具来使用 API。 CloudWatch
中代理指标的命名空间 CloudWatch 为`AWS/Bedrock/Agents`。
您必须具有相应的 CloudWatch 权限才能使用监控代理 CloudWatch。有关更多信息,请参阅《 CloudWatch 用户指南》 CloudWatch中的[身份验证和访问控制](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)。
**重要**
如果您不 CloudWatch 想将收集的数据用于 CloudWatch 服务改进,则可以创建选择退出政策。有关更多信息,请参阅[人工智能服务退出政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)。
如果您没有看到 CloudWatch 控制面板中发布的指标,请确保用于[创建](agents-create.md)代理的 IAM 服务角色具有以下策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Bedrock/Agents"
}
}
}
}
```
------
## Amazon Bedrock 运行时指标
下表描述了 Amazon Bedrock 提供的运行时指标。
| 指标名称 | 单位 | 说明 |
| --- | --- | --- |
| Invocations | SampleCount | 成功请求[匡威](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)、[ConverseStream[InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html)](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)、和 [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)API 操作的次数。 |
| InvocationLatency | MilliSeconds | 从发送请求到收到最后一个令牌的时间。 |
| InvocationClientErrors | SampleCount | 导致发生客户端错误的调用次数。 |
| InvocationServerErrors | SampleCount | 导致 AWS 服务器端错误的调用次数。 |
| InvocationThrottles | SampleCount | 系统节流的调用次数。受限请求和其他调用错误不会计入调用次数或错误次数。实际显示的节流次数取决于 SDK 中的重试设置。有关更多信息,请参阅《工具参考指南》 AWS SDKs 和《工具参考指南》中的[重试行为](https://docs.aws.amazon.com/sdkref/latest/guide/feature-retry-behavior.html)。 |
| InputTokenCount | SampleCount | 输入中的令牌数。 |
| LegacyModelInvocations | SampleCount | 使用[旧版](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_FoundationModelLifecycle.html)模型的调用次数 |
| OutputTokenCount | SampleCount | 输出中的令牌数。 |
| OutputImageCount | SampleCount | 输出中的图像数(仅适用于图像生成模型)。 |
| TimeToFirstToken | MilliSeconds | 从发送请求到收到第一个令牌的时间,用于[ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)和[InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)流式传输 API 操作。 |
| 预计TPMQuota使用量 | SampleCount | C [onverse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)、、[ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)和 [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)API 操作的每分钟代币 (TPM) 配额消耗量估计。[InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html) |
还提供了针对 [Amazon Bedrock 护栏](monitoring-guardrails-cw-metrics.md)和 [Amazon Bedrock 代理](monitoring-agents-cw-metrics.md)的指标。
## CloudWatch Amazon Bedrock 的指标
对于每次成功或失败的配送尝试,都会在命名空间`AWS/Bedrock`和`Across all model IDs`维度下发出以下 Amazon CloudWatch 指标:
+ `ModelInvocationLogsCloudWatchDeliverySuccess`
+ `ModelInvocationLogsCloudWatchDeliveryFailure`
+ `ModelInvocationLogsS3DeliverySuccess`
+ `ModelInvocationLogsS3DeliveryFailure`
+ `ModelInvocationLargeDataS3DeliverySuccess`
+ `ModelInvocationLargeDataS3DeliveryFailure`
要检索 Amazon Bedrock 操作的指标,请指定以下信息:
+ 指标维度。*维度*是用于标识指标的一组名称-值对。Amazon Bedrock 支持以下维度:
+ `ModelId` – 所有指标
+ `ModelId + ImageSize + BucketedStepSize` – OutputImageCount
+ 指标名称,如 `InvocationClientErrors`。
您可以通过 AWS 管理控制台、或 CloudWatch API 获取 Amazon Bedrock 的指标。 AWS CLI您可以通过其中一个 AWS 软件开发套件 (SDKs) 或 CloudWatch API 工具来使用 API。 CloudWatch
要在 CloudWatch 控制台中查看 Amazon Bedrock 指标,请前往导航窗格的指标部分并选择所有指标选项,然后搜索型号 ID。
您必须拥有相应的 CloudWatch 权限才能监控 Amazon Bedrock。 CloudWatch 有关更多信息,请参阅亚马逊* CloudWatch 用户指南 CloudWatch*中的[亚马逊身份验证和访问控制](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)。
# 使用亚马逊监控 Amazon Bedrock 作业状态的变化 EventBridge
Amazon EventBridge 是一项 AWS 近乎实时地监控来自其他 AWS 服务的事件的服务。您可以使用 Amazon EventBridge 监控 Amazon Bedrock 中的事件,并在事件与您定义的规则相匹配时发送事件信息。然后,您可以配置应用程序以自动响应这些事件。亚马逊 EventBridge 支持在 Amazon Bedrock 中监控以下事件:
+ [模型自定义作业](custom-models.md)-可以在 AWS 管理控制台 或[GetModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelCustomizationJob.html)响应中的任务详细信息中看到作业的状态。有关更多信息,请参阅 [监控模型作业](model-customization-monitor.md)。
+ [Batch 推理作业](batch-inference.md) — 可以在 AWS 管理控制台 或[GetModelInvocationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelInvocationJob.html)响应中的任务详细信息中看到作业的状态。有关更多信息,请参阅 [监控批量推理作业](batch-inference-monitor.md)。
Amazon Bedrock 会尽最大努力发出事件。来自 Amazon Bedrock 的活动几乎实时地传送到亚马逊 EventBridge 。您可以创建触发编程操作以响应事件的规则。借助 Amazon EventBridge,您可以执行以下操作:
+ 在您提交的作业发生状态更改事件时发布通知,而无论将来是否添加新的异步工作流。通知应为您提供足够的信息,以便您对下游工作流中的事件做出反应。
+ 在不调用 Get API 的情况下提供作业状态更新,这有助于处理 API 速率限制问题、进行 API 更新并减少额外的计算资源。
从 Amazon 接收 AWS 活动不收取任何费用 EventBridge。有关亚马逊的更多信息 EventBridge,请参阅 Ama [z](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) on EventBridge
**Topics**
+ [Amazon Bedrock 是如何 EventBridge 运作的](monitoring-eventbridge-how-it-works.md)
+ [[示例] 创建规则以处理 Amazon Bedrock 状态更改事件](monitoring-eventbridge-create-rule-ex.md)
# Amazon Bedrock 是如何 EventBridge 运作的
Amazon EventBridge 是一个无服务器事件总线,用于接收来自 AWS 服务、SaaS 合作伙伴和客户应用程序的状态变更事件。它根据您创建的规则或模式处理事件,并将这些事件路由到您选择的一个或多个*目标*,例如 Amazon Simple Queue Service 和 Amazon 简单通知服务。 AWS Lambda您可以根据事件的内容配置下游工作流。
在学习如何使用 Amazon f EventBridge or Amazon Bedrock 之前,请查看亚马逊 EventBridge 用户指南中的以下页面。
+ [Amazon 中的事件总线](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is-how-it-works-concepts.html)概念 EventBridge — 查看*事件*、*规则*和*目标*的概念。
+ [创建可响应 Amazon 事件的规则 EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)-了解如何创建规则。
+ [Amazon EventBridge 事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) — 学习如何定义事件模式。
+ [Amazon EventBridge 目标](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) — 了解您可以向哪些目标发送事件。
每当你提交的工作状态发生变化 EventBridge 时,Amazon Bedrock 都会通过亚马逊发布你的活动。在每种情况下,都会创建一个新事件并将其发送到 Amazon EventBridge,然后亚马逊会将该事件发送到您的默认事件总线。该事件显示哪个作业的状态发生了更改,以及该作业的当前状态。
在事件中,Amazon Bedrock 事件通过作为 `aws.bedrock` 的 `source` 的值来识别。Amazon Bedrock 中事件的 `detail-type` 包含以下内容:
+ `Model Customization Job State Change`
+ `Batch Inference Job State Change`
选择一个选项卡,查看在 Amazon Bedrock 中提交的作业的示例事件。
------
#### [ Model Customization Job State Change ]
以下 JSON 对象显示了模型自定义作业状态发生更改时的示例事件:
```
{
"version": "0",
"id": "UUID",
"detail-type": "Model Customization Job State Change",
"source": "aws.bedrock",
"account": "123456789012",
"time": "2023-08-11T12:34:56Z",
"region": "us-east-1",
"resources": ["arn:aws:bedrock:us-east-1:123456789012:model-customization-job/abcdefghwxyz"],
"detail": {
"version": "0.0",
"jobName": "abcd-wxyz",
"jobArn": "arn:aws:bedrock:us-east-1:123456789012:model-customization-job/abcdefghwxyz",
"outputModelName": "dummy-output-model-name",
"outputModelArn": "arn:aws:bedrock:us-east-1:123456789012:dummy-output-model-name",
"roleArn": "arn:aws:iam::123456789012:role/JobExecutionRole",
"jobStatus": "Failed",
"failureMessage": "Failure Message here.",
"creationTime": "2023-08-11T10:11:12Z",
"lastModifiedTime": "2023-08-11T12:34:56Z",
"endTime": "2023-08-11T12:34:56Z",
"baseModelArn": "arn:aws:bedrock:us-east-1:123456789012:base-model-name",
"hyperParameters": {
"batchSize": "1",
"epochCount": "5",
"learningRate": "0.05",
"learningRateWarmupSteps": "10"
},
"trainingDataConfig": {
"s3Uri": "s3://bucket/key"
},
"validationDataConfig": {
"s3Uri": "s3://bucket/key"
},
"outputDataConfig": {
"s3Uri": "s3://bucket/key"
}
}
}
```
要了解**细节**对象中特定于模型自定义的字段,请参阅[GetModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelCustomizationJob.html)。
------
#### [ Batch Inference Job State Change ]
以下 JSON 对象显示了模型自定义作业状态发生更改时的示例事件:
```
{
"version": "0",
"id": "a1b2c3d4",
"detail-type": "Batch Inference Job State Change",
"source": "aws.bedrock",
"account": "123456789012",
"time": "Wed Aug 28 22:58:30 UTC 2024",
"region": "us-east-1",
"resources": ["arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/abcdefghwxyz"],
"detail": {
"version": "0.0",
"accountId": "123456789012",
"batchJobName": "dummy-batch-job-name",
"batchJobArn": "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/abcdefghwxyz",
"batchModelId": "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-sonnet-20240229-v1:0",
"status": "Completed",
"failureMessage": "",
"creationTime": "Aug 28, 2024, 10:47:53 PM"
}
}
```
要了解**详细信息**对象中特定于批量推理的字段,请参阅[GetModelInvocationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelInvocationJob.html)。
------
#### [ Bedrock Data Automation sample event ]
以下 JSON 对象显示了 BDA 处理作业状态发生更改时的示例事件。
```
{
"version": "0",
"id": "0cc3eaf7-dff6-6f67-0ee0-ae572fccfe84",
"detail-type": "Bedrock Data Automation Job Succeeded",
"source": "aws.bedrock",
"account": "123456789012",
"time": "2025-05-27T22:48:36Z",
"region": "us-west-2",
"resources": [],
"detail": {
"job_id": "25010344-03f7-4167-803a-837afdc7ce98",
"job_status": "SUCCESS",
"semantic_modality": "Document",
"input_s3_object": {
"s3_bucket": "input-s3-bucket-name",
"name": "key/name"
},
"output_s3_location": {
"s3_bucket": "output-s3-bucket-name",
"name": "key"
},
"error_message": ""
}
}
```
------
# [示例] 创建规则以处理 Amazon Bedrock 状态更改事件
本主题中的示例演示了如何设置 Amazon Bedrock 状态变更事件的通知,具体方法是指导您配置亚马逊简单通知服务主题、订阅该主题以及在亚马逊 EventBridge 中创建规则以通过该主题通知您 Amazon Bedrock 状态变更事件。执行以下流程:
1. 要创建主题,请按照《Amazon Simple Notification Service 开发人员指南》中的 [Creating an Amazon SNS topic](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) 中的步骤进行操作。
1. 要订阅您创建的主题,请按照《Amazon Simple Notification Service 开发人员指南》中的 [Creating a subscription to an Amazon SNS topic](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) 中的步骤进行操作,或者使用 [Amazon SNS 端点](https://docs.aws.amazon.com/general/latest/gr/sns.html)发送[订阅](https://docs.aws.amazon.com/sns/latest/api/API_Subscribe.html)请求并指定您创建的主题的 Amazon 资源名称(ARN)。
1. 要创建规则以在 Amazon Bedrock 中的任务状态发生变化时通知您,请按照[创建对亚马逊事件做出反应的规则中的](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)步骤进行操作 EventBridge,同时考虑本示例的以下具体操作:
+ 选择使用事件模式定义规则详细信息。
+ 构建事件模式时,您可以执行以下操作:
+ 在**示例事件**部分中,通过选择任意 Amazon Bedrock **示例事件**来查看示例事件,以了解定义模式时可以使用的 Amazon Bedrock 事件中的字段。您还可以查看 [Amazon Bedrock 是如何 EventBridge 运作的](monitoring-eventbridge-how-it-works.md) 中的示例事件。
+ 首先,在**创建方法**部分中选择**使用以下服务中的模式**,然后选择 Amazon Bedrock 作为 **AWS 服务**和要捕获的**事件类型**。要了解如何定义事件模式,请参阅 [Amazon EventBridge 事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)。
+ 例如,您可以使用以下事件模式来捕获批量推理作业完成的时间:
```
{
"source": ["aws.bedrock"],
"detail-type": ["Batch Inference Job State Change"],
"detail": {
"status": ["Completed"]
}
}
```
+ 选择 **SNS 主题**作为目标,然后选择您创建的主题。
1. 创建规则后,当批量推理作业完成时,您将通过 Amazon SNS 收到通知。
# 使用监控 Amazon Bedrock API 调用 CloudTrail
Amazon Bedrock 与 AWS CloudTrail一项服务集成,该服务提供用户、角色或 AWS 服务在 Amazon Bedrock 中采取的操作的记录。 CloudTrail 将 Amazon Bedrock 的所有 API 调用捕获为事件。捕获的调用中包括从 Amazon Bedrock 控制台进行的调用和通过代码对 Amazon Bedrock API 操作进行的调用。如果您创建了跟踪,则可以允许将 CloudTrail 事件持续传输到 Amazon S3 存储桶,包括针对 Amazon Bedrock 的事件。
如果您未配置跟踪,您仍然可以在 CloudTrail 控制台的 “事件**历史记录” 中查看最新的事件**。
通过收集的信息 CloudTrail,您可以确定向 Amazon Bedrock 发出的请求、发出请求的 IP 地址、谁提出了请求、何时提出请求以及其他详细信息。
要了解更多信息 CloudTrail,请参阅《[AWS CloudTrail 用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
## Amazon Bedrock 信息位于 CloudTrail
CloudTrail 在您创建账户 AWS 账户 时已在您的账户上启用。当 Amazon Bedrock 中发生活动时,该活动会与其他 AWS 服务 CloudTrail 事件一起记录在**事件历史**记录中。您可以在中查看、搜索和下载最近发生的事件 AWS 账户。有关更多信息,请参阅[使用事件历史记录查看 CloudTrail 事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
要持续记录您的事件 AWS 账户,包括 Amazon Bedrock 的事件,请创建跟踪。*跟踪*允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。默认情况下,在控制台中创建跟踪记录时,此跟踪记录应用于所有 AWS 区域。跟踪记录 AWS 分区中所有区域的事件,并将日志文件传送到您指定的 Amazon S3 存储桶。此外,您可以配置其他 AWS 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅下列内容:
+ [创建跟踪记录概述](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支持的服务和集成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [配置 Amazon SNS 通知 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [接收来自多个区域的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收来自多个账户的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
每个事件或日志条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:
+ 请求是使用根证书还是 AWS Identity and Access Management (IAM) 用户凭证发出。
+ 请求是使用角色还是联合用户的临时安全凭证发出的。
+ 请求是否由其他 AWS 服务发出。
有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## Amazon Bedrock 中的数据事件 CloudTrail
[数据事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)可提供对资源或在资源中所执行资源操作(例如,读取或写入 Amazon S3 对象)的相关信息。这些也称为数据面板操作。数据事件通常是大容量活动,默认情况下 CloudTrail 不记录。
Amazon Bedrock 将部分 [Amazon Bedrock 运行时 API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html)(例如,`InvokeModel`、`InvokeModelWithResponseStream`、`Converse`、`ConverseStream` 和 `ListAsyncInvokes`)记录为[管理事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)。
Amazon Bedrock 将其他 [Amazon Bedrock 运行时 API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html)(例如,`InvokeModelWithBidirectionalStream`、`GetAsyncInvoke` 和 `StartAsyncInvokes`)记录为数据事件。
Amazon Bedrock 将 [Amazon Bedrock 运行时 API 操作的所有代理](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html)(例如`InvokeAgent`和`InvokeInlineAgent`)操作记录 CloudTrail 为数据事件。
+ 要记录 [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html) 调用,请配置高级事件选择器以记录 `AWS::Bedrock::AgentAlias` 资源类型的数据事件。
+ 要记录 [https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent-runtime_InvokeInlineAgent.html](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent-runtime_InvokeInlineAgent.html) 调用,请配置高级事件选择器以记录 `AWS::Bedrock::InlineAgent` 资源类型的数据事件。
+ 要记录[InvokeModelWithBidirectionalStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithBidirectionalStream.html)呼叫,请配置高级事件选择器以记录`AWS::Bedrock::Model`资源类型和`AWS:Bedrock::AsyncInvoke`的数据事件。
+ 要记录[GetAsyncInvoke](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_GetAsyncInvoke.html)和[StartAsyncInvoke](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_StartAsyncInvoke.html)调用,请配置高级事件选择器以记录`AWS::Bedrock::Model`资源类型和`AWS:Bedrock::AsyncInvoke`的数据事件。
+ 要记录 [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html) 和 [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) 调用,请配置高级事件选择器以记录 `AWS::Bedrock::KnowledgeBase` 资源类型的数据事件。
+ 要记录 [InvokeFlow](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeFlow.html) 调用,请配置高级事件选择器以记录 `AWS::Bedrock::FlowAlias` 资源类型的数据事件。
+ 要记录 `RenderPrompt` 调用,请配置高级事件选择器以记录 `AWS::Bedrock::Prompt` 资源类型的数据事件。`RenderPrompt` 是一个仅限权限的[操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions),用于呈现使用[提示管理](prompt-management.md)为模型调用创建的提示(`InvokeModel(WithResponseStream)` 和 `Converse(Stream)`)。
在 CloudTrail 控制台中,为**数据事件****类型选择 Bedrock 代理别名****或 Bedrock 知识库**。此外,您还可以通过选择自定义日志选择器模板,按 `eventName` 和 `resources.ARN` 字段进行筛选。有关更多信息,请参阅[使用 AWS 管理控制台记录数据事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)。
从中 AWS CLI,将`resource.type`值设置为`AWS::Bedrock::AgentAlias`、或`AWS::Bedrock::KnowledgeBase`,`AWS::Bedrock::FlowAlias`然后将`eventCategory`等于设置为`Data`。有关更多信息,请参阅[使用 AWS CLI记录数据事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI)。
以下示例展示了如何在 AWS CLI中配置跟踪来记录所有 Amazon Bedrock 资源类型的所有 Amazon Bedrock 数据事件。
```
aws cloudtrail put-event-selectors --trail-name trailName \
--advanced-event-selectors \
'[
{
"Name": "Log all data events on an alias of an agent in Amazon Bedrock.",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Bedrock::AgentAlias"] }
]
},
{
"Name": "Log all data events on a knowledge base in Amazon Bedrock.",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Bedrock::KnowledgeBase"] }
]
},
{
"Name": "Log all data events on a flow in Amazon Bedrock.",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Bedrock::FlowAlias"] }
]
}
{
"Name": "Log all data events on a guardrail in Amazon Bedrock.",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Bedrock::Guardrail"] }
]
}
]'
```
此外,您还可以按 `eventName` 和 `resources.ARN` 字段进行筛选。有关这些字段的更多信息,请参阅 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)。
记录数据事件将收取额外费用。有关 CloudTrail 定价的更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
## 中的 Amazon Bedrock 管理活动 CloudTrail
[管理事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)提供有关对您 AWS 账户中的资源执行的管理操作的信息。这些也称为控制平面操作。 CloudTrail 默认情况下会记录管理事件 API 操作。
Amazon Bedrock 将 [Amazon Bedrock 运行时 API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html)(`InvokeModel`、`InvokeModelWithResponseStream`、`Converse` 和 `ConverseStream`)记录为[管理事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)。
Amazon Bedrock 将剩余的 Amazon Bedrock API 操作记录为管理事件。有关亚马逊 Bedrock 登录的亚马逊 Bedrock API 操作的列表 CloudTrail,请参阅亚马逊 Bedrock API 参考中的以下页面。
+ [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html)。
+ [Amazon Bedrock 代理](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html)。
+ [Amazon Bedrock 代理运行时](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html)。
+ [Amazon Bedrock 运行时系统](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html)。
所有[亚马逊 Bedrock API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html)和[亚马逊 Bedrock API 操作的代理](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html)均由《亚马逊 Bed [rock](https://docs.aws.amazon.com/bedrock/latest/APIReference/) API 参考》记录 CloudTrail 并记录在案。例如,对`InvokeModel``StopModelCustomizationJob`、和`CreateAgent`操作的调用会在 CloudTrail 日志文件中生成条目。
[Amazon](https://aws.amazon.com/guardduty/) 会 GuardDuty持续监控和分析您的 CloudTrail 管理和事件日志,以检测潜在的安全问题。当你 GuardDuty 为 AWS 账户启用 Amazon 时,它会自动开始分析 CloudTrail 日志以检测 Amazon Bedrock 中的可疑活动 APIs,例如用户从新位置登录并使用 Amazon Bedrock 移除 Amazon Bedrock APIs Guardrails,或者更改为模型训练数据设置的 Amazon S3 存储桶。
## 了解 Amazon Bedrock 日志文件条目
跟踪是一种配置,允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。事件代表来自任何来源的单个请求,包括有关请求的操作、操作的日期和时间、请求参数等的信息。 CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此它们不会按任何特定的顺序出现。
以下示例显示了演示该`InvokeModel`操作的 CloudTrail 日志条目。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AROAICFHPEXAMPLE",
"arn": "arn:aws:iam::111122223333:user/userxyz",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "userxyz"
},
"eventTime": "2023-10-11T21:58:59Z",
"eventSource": "bedrock.amazonaws.com",
"eventName": "InvokeModel",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Boto3/1.28.62 md/Botocore#1.31.62 ua/2.0 os/macos#22.6.0 md/arch#arm64 lang/python#3.9.6 md/pyimpl#CPython cfg/retry-mode#legacy Botocore/1.31.62",
"requestParameters": {
"modelId": "stability.stable-diffusion-xl-v0"
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "cipher suite",
"clientProvidedHostHeader": "bedrock-runtime.us-west-2.amazonaws.com"
}
}
```
# 标记 Amazon Bedrock 资源
为了帮助您管理 Amazon Bedrock 资源,您可以将元数据以标签形式分配给每个资源。标签是您分配给 AWS 资源的标签。每个标签均包含一个键和一个值。
标签使您能够以不同的方式对 AWS 资源进行分类,例如按用途、所有者或应用程序。有关标记的最佳做法和限制,请参阅为资源[添加 AWS 标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。
标签可帮助您执行以下操作:
+ 识别和整理您的 AWS 资源。许多 AWS 资源都支持标记,因此您可以为不同服务中的资源分配相同的标签,以表明资源相同。
+ 分配成本。您可以在 AWS 账单与成本管理 控制面板上激活标签。 AWS 使用标签对您的成本进行分类,并向您提供每月成本分配报告。有关更多信息,请参阅*AWS 账单与成本管理 用户指南*中的[使用成本分配标签](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。
+ 控制对 资源的访问。您可以在 Amazon Bedrock 中使用标签来创建策略以控制对 Amazon Bedrock 资源的访问。这些策略可以附加到 IAM 角色或用户,以启用基于标签的访问控制。
**Topics**
+ [使用控制台](#tagging-console)
+ [使用 API](#tagging-api)
## 使用控制台
在创建或编辑支持的资源时,您可以随时添加、修改和删除标签。
## 使用 API
要执行标记操作,您需要想对其执行标记操作的资源的 Amazon 资源名称 (ARN)。有两组标记操作,具体取决于您要为其添加或管理标签的资源。
下表汇总了不同的使用案例以及为这些案例使用的标记操作:
****
| 使用案例 | 使用 [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html) API 操作创建的资源 | 使用 [Amazon Bedrock 代理](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html) API 操作创建的资源 | 使用 Amazon Bedrock 数据自动化功能 API 创建的资源 |
| --- | --- | --- | --- |
| 标记资源 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/tagging.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/tagging.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/tagging.html) |
| 取消标记资源 | 使用 [Amazon Bedrock 控制平面终端节点[UntagResource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_UntagResource.html)](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#br-cp)发出请求。 | 使用 [Amazon Bedrock 构建时终端节点的代理[UntagResource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UntagResource.html)](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#bra-bt)提出请求。 | 使用 Amazon Bedrock 数据自动化构建时间端点 UntagResource 提出请求。 |
| 列出资源的标签 | 使用 [Amazon Bedrock 控制平面终端节点[ListTagsForResource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_ListTagsForResource.html)](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#br-cp)发出请求。 | 使用 [Amazon Bedrock 构建时终端节点的代理[ListTagsForResource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ListTagsForResource.html)](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#bra-bt)提出请求。 | 使用 Amazon Bedrock 数据自动化构建时间端点 ListTagsForResource 提出请求。 |
**注意**
在中查看这些操作时 CloudTrail,您可以通过查看事件详细信息中的请求参数来识别被标记的特定资源。
选择一个选项卡,查看界面或语言中的代码示例。
------
#### [ AWS CLI ]
为代理添加两个标签。用空格分隔 key/value 成对子。
```
aws bedrock-agent tag-resource \
--resource-arn "arn:aws:bedrock:us-east-1:123456789012:agent/AGENT12345" \
--tags key=department,value=billing key=facing,value=internal
```
从代理中删除标签。用空格分隔键。
```
aws bedrock-agent untag-resource \
--resource-arn "arn:aws:bedrock:us-east-1:123456789012:agent/AGENT12345" \
--tag-keys key=department facing
```
列出代理的标签。
```
aws bedrock-agent list-tags-for-resource \
--resource-arn "arn:aws:bedrock:us-east-1:123456789012:agent/AGENT12345"
```
------
#### [ Python (Boto) ]
为代理添加两个标签。
```
import boto3
bedrock = boto3.client(service_name='bedrock-agent')
tags = [
{
'key': 'department',
'value': 'billing'
},
{
'key': 'facing',
'value': 'internal'
}
]
bedrock.tag_resource(resourceArn='arn:aws:bedrock:us-east-1:123456789012:agent/AGENT12345', tags=tags)
```
从代理中删除标签。
```
bedrock.untag_resource(
resourceArn='arn:aws:bedrock:us-east-1:123456789012:agent/AGENT12345',
tagKeys=['department', 'facing']
)
```
列出代理的标签。
```
bedrock.list_tags_for_resource(resourceArn='arn:aws:bedrock:us-east-1:123456789012:agent/AGENT12345')
```
------