設定調查群組 - Amazon CloudWatch

設定調查群組

若要在帳戶中設定 CloudWatch 調查以搭配增強型調查使用,可以建立調查群組。建立調查群組屬於一次性設定任務,建立之後可用於執行其他調查。調查群組中的設定可協助您集中管理調查的常見屬性,例如下列項目:

  • 誰可以存取調查

  • 跨帳戶調查支援,以便在調查期間存取其他帳戶中的資源

  • 調查資料是否使用客戶受管 AWS Key Management Service 金鑰加密。

  • 調查及其資料預設保留多久。

每個帳戶可以有一個調查群組。您帳戶中的每個調查都將成為此調查群組的一部分。

若要建立調查群組,必須登入已連結 AIOpsConsoleAdminPolicyAdministratorAccess IAM 政策的 IAM 主體,或具有類似許可的帳戶。

注意

若要選擇建議的選項來針對 CloudWatch 調查建立新的 IAM 角色,必須登入具有 iam:CreateRoleiam:AttachRolePolicyiam:PutRolePolicy 許可的 IAM 主體。

重要

CloudWatch 調查使用跨區域推論將流量分散到不同 AWS 區域。如需更多詳細資訊,請參閱 跨區域推論

在帳戶中建立調查群組

  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在左側導覽窗格中,選擇 AI 操作組態

  3. 選擇針對此帳戶設定

  4. 選擇性地變更調查的保留期間。如需保留期限所規範事項的詳細資訊,請參閱 CloudWatch 調查資料保留

  5. (選用) 若要使用客戶受管 AWS KMS 金鑰對調查資料加密,請選擇自訂加密設定,然後依循相關步驟建立或指定要使用的金鑰。如果您未指定客戶自管金鑰,CloudWatch 調查功能會使用 AWS 擁有的金鑰進行加密。如需更多詳細資訊,請參閱 調查資料加密

  6. 選擇如何授與 CloudWatch 調查存取資源的許可。若要選擇前兩個選項之一,必須登入具有 iam:CreateRoleiam:AttachRolePolicyiam:PutRolePolicy 許可的 IAM 主體。

    1. (建議) 選取自動建立具有預設調查許可的新角色。系統將依照 AI 操作的 AWS 受管政策授與此角色許可。如需詳細資訊,請參閱 CloudWatch 調查群組的使用者許可

    2. 自行建立新角色,然後指派政策範本。

    3. 若您已擁有具備所需許可的角色,選擇指派現有角色

      如果選擇此選項,必須確保角色包含名為 aiops.amazonaws.com 的信任政策作為服務主體。如需有關在信任政策中使用服務主體的詳細資訊,請參閱 AWS 服務主體

      我們同時建議您加入包含帳戶號碼的 Condition 區段,以避免因資料混淆而產生誤判。以下信任政策範例同時說明了服務主體和 Condition 區段。

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  7. 您現在可以選擇建立調查群組,根據警示、指標或日誌洞見建立調查。

也可以設定建議的額外組態來增強體驗。

  1. 在左側導覽窗格中,選擇 AI 操作、組態

  2. 選用組態索引標籤上,選擇要新增至 CloudWatch 調查的增強功能。

  3. 設定跨帳戶存取權中,您可以將此帳戶設定為監控帳戶,以從組織中的其他來源帳戶收集資料。如需更多詳細資訊,請參閱 跨帳戶調查

  4. 對於增強型整合,選擇允許 CloudWatch 調查存取系統中的其他服務,讓其收集更多資料並發揮更大作用。

    1. 應用程式邊界偵測標籤區段中,輸入系統中自訂應用程式的現有自訂標籤索引鍵。資源標籤可協助 CloudWatch 調查在無法探索資源之間的明確關係時,縮小搜尋空間。例如,若要探索 Amazon ECS 服務是否依賴於 Amazon RDS 資料庫,CloudWatch 調查功能可以使用 X-Ray 和 CloudWatch Application Signals 等資料來源偵測這一關係。不過,如果您尚未部署這些功能,CloudWatch 調查功能會嘗試識別可能的關係。標籤邊界可用於在這些情況下縮小 CloudWatch 調查功能將偵測到的資源範圍。

      不需要輸入 myApplications 或 CloudFormation 建立的標籤,因為 CloudWatch 調查功能可以自動偵測這些標籤。

    2. CloudTrail 會記錄系統變更事件,包括部署事件。這些事件通常對 CloudWatch 調查很有用,能協助建立關於系統問題根本原因的假設。在適用於變更事件偵測的 CloudTrail 區段中,您可以透過啟用允許助手透過 CloudTrail 事件歷史記錄存取 CloudTrail 變更事件,授與 CloudWatch 調查功能對 AWS CloudTrail 所記錄事件的某些存取權限。如需詳細資訊,請參閱使用 CloudTrail 事件歷史記錄

    3. 適用於拓撲映射的 X-Ray適用於運作狀態評估的 Application Signals 區段列出可協助 CloudWatch 調查功能尋找資訊的其他 AWS 服務。如果您已完成部署,且已授與 AIOpsAssistantPolicy IAM 政策,CloudWatch 調查功能將能夠存取 X-Ray 和 Application Signals 遙測。

      如需這些服務如何協助 CloudWatch 調查功能的詳細資訊,請參閱 X-RayCloudWatch Application Signals

    4. 若您使用 Amazon EKS,設定存取項目後,您的 CloudWatch 調查功能調查群組即可直接利用來自 Amazon EKS 叢集的資訊。如需更多詳細資訊,請參閱 與 Amazon EKS 整合

    5. 若您使用 Amazon RDS,請在資料庫執行個體上啟用 Database Insights 進階模式。Database Insights 會監控資料庫負載並提供詳細的效能分析,以協助 CloudWatch 調查功能在調查期間識別資料庫相關問題。啟用進階型 Database Insights 後,CloudWatch 調查功能可以自動產生效能分析報告,其中包括詳細的觀測結果、指標異常、根本原因分析,以及特定於資料庫工作負載的建議。如需有關 Database Insights 以及如何啟用進階模式的詳細資訊,請參閱使用 CloudWatch Database Insights 監控 Amazon RDS 資料庫

  5. 您可以將 CloudWatch 調查功能與聊天管道整合。從而透過聊天管道接收有關調查的通知。CloudWatch 調查功能支援下列應用程式中的聊天管道:

    • Slack

    • Microsoft Teams

    如果您想要與聊天管道整合,建議您在調查群組中啟用此增強功能前,先完成下列額外步驟。如需更多詳細資訊,請參閱 與第三方聊天系統的整合

    然後執行下列步驟,以與聊天應用程式中的聊天管道整合:

    • 聊天用戶端整合區段中,選擇選取 SNS 主題

    • 選取要用於傳送調查相關通知的 SNS 主題。