跨帳戶跨區域日誌集中化 - Amazon CloudWatch Logs
資料集中化概念設定日誌集中監控集中化

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨帳戶跨區域日誌集中化

Amazon CloudWatch Logs 資料集中使用 AWS Organizations ,使用跨帳戶和跨區域集中化規則,將多個成員帳戶的日誌資料收集到一個資料儲存庫。您可以定義規則,將日誌資料從多個帳戶自動複寫 AWS 區域 到組織內的集中式帳戶。此功能可簡化日誌整合,以改善整個 AWS 基礎設施的集中式監控、分析和合規。

CloudWatch Logs 資料集中化提供組態彈性,以滿足操作和安全性需求,例如在目的地帳戶內的規則設定期間設定備份區域的能力,以確保更高的彈性。此外,您可以完全控制從來源帳戶複製的日誌群組的加密行為,以處理最初使用客戶受管 KMS 金鑰加密的資料。

注意

CloudWatch Logs 集中化功能只會在您建立集中化規則後,處理抵達來源帳戶的新日誌資料。歷史日誌資料 (規則建立之前已存在的日誌) 不會集中。

資料集中化概念

開始使用 CloudWatch Logs 資料集中化之前,請先熟悉下列概念:

集中化規則

定義如何將來源帳戶和區域的日誌資料複寫至目的地帳戶和區域的組態。規則指定來源條件和目的地設定。

來源帳戶

日誌資料產生的 AWS 帳戶。來源帳戶的日誌事件會根據您定義的集中化規則複寫到目的地帳戶。

目的地帳戶

儲存複寫日誌資料的目的地 AWS 帳戶。此帳戶可做為日誌分析和監控的集中位置。

備份區域

目的地帳戶中的選用次要區域,可複寫日誌資料,以提高彈性和災難復原目的。

CloudWatch Logs 中的加密

在 CloudWatch Logs 中,日誌群組資料一律會加密。根據預設,CloudWatch Logs 會使用伺服器端加密搭配 256 位元進階加密標準 Galois/計數器模式 (AES-GCM) 來加密靜態日誌資料。或者,您可以使用 AWS Key Management Service 進行此加密。如果您這麼做,則會使用 AWS 擁有的 KMS 金鑰或客戶管理的 KMS 金鑰來完成加密。使用 AWS KMS 的 KMS 金鑰加密會在日誌群組層級啟用,方法是在您建立日誌群組時或在日誌群組存在之後建立 KMS 金鑰與日誌群組的關聯。建立 KMS 金鑰與日誌群組的關聯後,針對該日誌群組新擷取的所有資料,就會使用此金鑰加密。此資料在整個保留期間都以加密的格式儲存。每當請求此資料時,CloudWatch Logs 會解密此資料。每當請求加密資料時,CloudWatch Logs 必須具有 KMS 金鑰的許可,例如當對來源帳戶執行日誌集中化規則時。如果您使用的是客戶受管 KMS 金鑰,請使用標籤 更新與來源和目的地日誌群組相關聯的 KMS 金鑰LogsManaged = true。如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的 KMS AWS 金鑰

設定日誌集中

若要設定 CloudWatch Logs Centralization,您需要設定集中化規則,以定義日誌資料如何從來源帳戶中的日誌群組流向目的地帳戶中的日誌群組。

啟用集中化規則並將日誌事件複寫到目的地帳戶後,您可以在具有增強篩選功能的集中式日誌群組上建立指標、訂閱和帳戶篩選條件。這些篩選條件可鎖定來自特定來源帳戶和區域的日誌事件,並可發出來源帳戶和區域資訊做為指標維度。如需詳細資訊,請參閱使用篩選條件從日誌事件建立指標

先決條件

  • AWS Organizations 必須設定 ,且來源和目的地帳戶必須都屬於組織。

  • 必須為 CloudWatch、管理帳戶和目的地帳戶啟用信任存取,以便提供對日誌資料的存取。

建立集中化規則

使用下列程序建立集中化規則,將日誌資料從來源帳戶複寫至目的地帳戶。

建立集中化規則

  1. 導覽至組織管理或委派管理員帳戶中的 CloudWatch 主控台。

  2. 選擇設定

  3. 導覽至組織索引標籤。

  4. 選擇設定規則

  5. 設定下列欄位來指定來源詳細資訊,然後選擇下一步

    1. 集中化規則名稱:輸入集中化規則的唯一名稱。

    2. 來源帳戶:定義來源選取條件,以挑選將集中遙測資料的帳戶。選擇條件可能包括:

      • 組織中的成員帳戶清單

      • 組織中組織單位的清單

      • 整個組織

      您可以透過兩種模式提供選擇條件:

      • 建置器:產生來源選取條件的按一下式體驗

      • 編輯器:自由格式文字方塊,提供來源選取條件

      來源選取條件支援的語法:

      • 支援的金鑰:OrganizationId | OrganizationUnitId | AccountId | *

      • 支援的運算子: = | IN | OR

    3. 來源區域:選取要尋找要集中的遙測資料的區域清單。

  6. 透過設定下列欄位來指定目的地詳細資訊,然後選擇下一步

    1. 目的地帳戶:選取組織中做為遙測資料中央目的地的帳戶。

    2. 目的地區域:選取存放集中式遙測資料副本的主要區域。

    3. 備份區域:選擇性地選取存放集中式遙測資料的第二個副本的區域。

  7. 透過設定下列欄位來指定遙測資料,然後選擇下一步

    1. 日誌群組:選擇下列其中一個選項:

      • 所有日誌群組:集中來源帳戶中所有日誌群組的日誌。

      • 篩選日誌群組:將來源帳戶中日誌群組子集的日誌集中,符合日誌群組選擇條件。您可以透過兩種模式提供選擇條件:

        • 建置器:以點選為基礎的體驗,以產生日誌群組選擇條件

        • 編輯器:自由格式文字方塊,提供日誌群組選擇條件

        日誌群組選取條件支援的語法:

        • 支援的金鑰:LogGroupName | *

        • 支援的運算子: = | != | IN | NOT IN | AND | OR | LIKE | NOT LIKE

    2. KMS 加密日誌群組

      重要

      如果集中化規則中提供的 KMS 金鑰不允許 CloudWatch Logs 使用日誌,CloudWatch 集中化規則將無法將日誌從來源帳戶交付到目的地日誌群組。 CloudWatch 如需詳細資訊,請參閱步驟 2:設定 KMS 金鑰許可

      請選擇下列其中一個選項:

      • 請勿集中使用客戶受管 KMS 金鑰加密的日誌群組:從使用客戶受管 KMS 金鑰加密的來源日誌群組略過日誌事件的集中化。

      • 使用受管 KMS 金鑰將目的地帳戶中使用客戶受管 KMS 金鑰加密的 AWS 日誌群組集中:將使用客戶受管 KMS 金鑰加密的來源日誌群組中的日誌事件集中到與客戶受管 KMS 金鑰沒有關聯的目的地日誌群組,而是使用 AWS 受管 KMS 金鑰。

        選取此設定時,您還必須設定下列項目:

        • 目的地加密金鑰 ARN:屬於目的地帳戶和主要目的地區域的 KMS 金鑰 ARN,要與新建立的目的地日誌群組建立關聯。

        • 備份目的地加密金鑰 ARN (選用):屬於目的地帳戶和備份目的地區域的 KMS 金鑰 ARN,要與新建立的目的地日誌群組建立關聯。

        注意

        請注意,此設定僅適用於使用客戶受管 KMS 金鑰加密來源日誌群組時,且僅適用於目的地帳戶中新建立的日誌群組。

  8. 檢閱集中化規則,選擇性地進行任何最後一分鐘編輯,然後選擇建立集中化政策

修改集中化規則

使用下列程序來修改現有的集中化規則。

修改集中化規則

  1. 導覽至組織管理或委派管理員帳戶中的 CloudWatch 主控台。

  2. 選擇設定

  3. 導覽至組織索引標籤。

  4. 選擇管理規則

  5. 選取要更新的規則,然後選擇編輯

  6. 視需要更新規則組態,選擇下一步以繼續每個步驟。

  7. 在步驟 4 檢閱和設定中,選擇更新集中政策

檢視集中化規則

使用下列程序來檢視現有集中化規則的詳細資訊。

檢視集中化規則

  1. 導覽至組織管理或委派管理員帳戶中的 CloudWatch 主控台。

  2. 選擇設定

  3. 導覽至組織索引標籤。

  4. 選擇管理規則

  5. 檢視所有現有集中化規則的清單,然後選擇特定規則名稱以檢視其詳細資訊。

刪除集中化規則

使用下列程序刪除現有的集中化規則。

刪除集中化規則

  1. 導覽至組織管理或委派管理員帳戶中的 CloudWatch 主控台。

  2. 選擇設定

  3. 導覽至組織索引標籤。

  4. 選擇管理規則

  5. 選取要刪除的規則,然後選擇刪除

  6. 確認刪除,然後選擇 Delete (刪除)。

監控集中化

您可以使用 CloudWatch 指標、CloudWatch Logs 主控台和 AWS CloudTrail 日誌來監控集中化規則的狀態和效能。這可協助您確保日誌資料已成功複寫,並識別集中化組態的任何問題。

在 主控台中監控集中化

使用 CloudWatch Logs 主控台檢視集中化規則的狀態和活動。

在主控台中監控集中化規則

  1. 導覽至組織管理或委派管理員帳戶中的 CloudWatch 主控台。

  2. 選擇設定

  3. 導覽至組織索引標籤。

  4. 選擇管理規則

  5. 檢閱集中化規則清單,其中會顯示:

    • 規則名稱:每個集中化規則的名稱

    • 規則狀態:目前操作狀態 (作用中、非作用中、錯誤)

    • 建立日期:建立規則的時間

    • 目的地帳戶 ID:目的地帳戶的帳戶 ID

    • 目的地區域:目的地帳戶的 區域

  6. 選擇特定規則名稱以檢視規則組態詳細資訊

集中監控

您可以使用主控台界面和 API 操作來監控集中化規則。

目前的監控功能包括:

  • 規則運作狀態:透過主控台或 GetCentralizationRuleForOrganization API 監控集中化規則的整體運作狀態

  • 規則組態:檢閱規則設定和上次更新時間戳記

  • 失敗原因:當規則標示為 UNHEALTHY 時,檢視詳細的失敗資訊

  • API 活動:透過 CloudTrail 日誌追蹤集中化 API 呼叫

監控規則運作狀態

每個集中化規則都有運作狀態,指出其是否正常運作。您可以透過主控台或以程式設計方式使用 API 檢查規則運作狀態。

規則運作狀態包括:

  • HEALTHY:規則正常運作,並依設定複寫日誌資料

  • UNHEALTHY:規則遇到問題,可能無法正確複寫資料

  • PROVISIONING:組織的集中化正在進行設定。

當規則標示為 UNHEALTHY 時, FailureReason 欄位會提供需要解決之特定問題的詳細資訊。

使用 監控集中化 API 呼叫 AWS CloudTrail

AWS CloudTrail 會記錄對集中化服務發出的 API 呼叫,讓您追蹤組態變更,並針對屬於 之帳戶的問題進行疑難排解 AWS Organizations。

集中化的關鍵 CloudTrail 事件包括:

  • CreateCentralizationRuleForOrganization:建立新的集中化規則時

  • UpdateCentralizationRuleForOrganization:修改現有規則時

  • DeleteCentralizationRuleForOrganization:刪除規則時

  • GetCentralizationRuleForOrganization:擷取規則詳細資訊時

  • ListCentralizationRulesForOrganization:列出規則時

您可以使用 CloudTrail 日誌來稽核集中化組態變更,並將其與效能問題或複寫失敗相關聯。