在日誌群組上啟用異常偵測

建立日誌異常偵測器

1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

2. 選擇日誌、日誌異常。

3. 選擇建立異常偵測器。

4. 選取要為其建立此異常偵測器的日誌群組。

5. 在異常偵測器名稱中輸入偵測器的名稱。

6. （選用） 將評估頻率從預設值變更為 5 分鐘。根據日誌群組接收新日誌的頻率來設定此值。例如，如果日誌群組每 10 分鐘批次接收新的日誌事件，則將評估頻率設定為 15 分鐘可能是適當的。

7. （選用） 若要將異常偵測器設定為僅在包含特定單字或字串的日誌事件中尋找異常，請選擇篩選模式。

   然後，以異常偵測篩選條件模式輸入模式。如需模式語法的詳細資訊，請參閱用於指標篩選條件、訂閱篩選條件、篩選條件日誌事件和 Live Tail 的篩選條件模式語法。

   （選用） 若要測試篩選條件模式，請在日誌事件訊息中輸入一些日誌訊息，然後選擇測試模式。

8. （選用） 若要從預設變更異常可見性期間，或將 AWS KMS 金鑰與此異常偵測器建立關聯，請選擇進階組態。

   1. 若要從預設值變更異常可見性期間，請在異常可見性期間上限 （天數） 中輸入新值。

   2. 若要將 AWS KMS 金鑰與此異常偵測器建立關聯，請在 KMS 金鑰 ARN 中輸入 ARN。如果您指派金鑰，此偵測器找到的異常資訊會使用金鑰靜態加密。使用者必須擁有此金鑰和異常偵測器的許可，才能擷取找到的異常相關資訊。

      您還必須確保 CloudWatch Logs 服務主體具有使用金鑰的許可。如需詳細資訊，請參閱使用 加密異常偵測器及其結果 AWS KMS。

9. 選擇啟用異常偵測。

   系統會建立異常偵測器，並根據日誌群組正在擷取的日誌事件開始訓練其模型。大約 15 分鐘後，異常偵測會處於作用中狀態，並開始尋找和顯示異常。