View a markdown version of this page

遙測啟用規則 - Amazon CloudWatch
規則的運作方式建立遙測啟用規則管理遙測規則支援的資料來源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

遙測啟用規則

您可以建立遙測啟用規則,以自動設定 AWS 資源的遙測收集。規則可協助推動整個組織或帳戶的遙測收集標準化,並確保一致的監控涵蓋範圍。

規則的運作方式

遙測組態在評估和套用規則時遵循特定模式。

規則評估階層

系統會根據分層模式評估啟用規則。先評估組織規則,然後評估適用於組織單位 (OU) 的規則,最後評估適用於個別帳戶的規則。組織層級的規則可提供您的組織所需的遙測,用於確立基準。組織單位和帳戶層級的規則可收集更多遙測資料,但無法減少收集的遙測資料量。如果建立此類規則,則會導致規則衝突。

在每個範圍內 (組織、組織單位或帳戶),規則必須依據資源類型、遙測類型和目的地組態來維持唯一性。重複規則會觸發衝突例外。如果相同的規則存在於不同的範圍內,例如 Amazon VPC Flow 日誌至 CloudWatch 的組織層級規則,以及 Amazon VPC Flow 日誌的 OU 層級規則,則會套用階層中較高的規則。不過,如果有多個衝突規則,則不會套用任何規則。

當多個規則套用到同一資源時,遙測組態將依下列原則解決衝突:

  1. 組織層級規則優先於帳戶層級規則

  2. 更具體的標籤比對優先於一般規則

  3. 如果有多個衝突規則,則不會套用任何規則。您必須先解決衝突。

更新時的規則行為

如果您更新啟用規則,則只有符合規則的新資源才會採用更新的組態。現有資源的現有遙測設定保持不變。如果因為手動刪除遙測資料,資源變得不符合現有規則,則一旦資源恢復合規,就會即刻採用新的啟用規則。

對於 Amazon VPC 流程日誌,遙測組態只會為符合規則範圍的資源建立新的流程日誌。它不會刪除或影響先前建立的 Amazon VPC 流程日誌,即使它們與目前的規則參數不同。對於 CloudWatch 日誌,只要符合資源模式,現有的日誌群組將予以保留。

與 整合 AWS Config

CloudWatch 遙測稽核和組態會與 整合 AWS Config ,以自動探索符合您啟用規則的資源,並將其套用至遙測資料收集。當您建立啟用規則時,遙測組態會建立對應的 AWS Config 記錄器。此記錄器中包括您在啟用規則中定義之特定資源類型的組態項目。

Amazon CloudWatch 使用 AWS Config 內部服務連結記錄器。對於 CloudWatch 做為內部服務連結記錄器一部分使用的 CIs,您不需要付費。

注意

當您建立啟用規則時,我們會先透過 AWS Config Configuration Items (CIs) 探索不合規的資源 (未啟用遙測的資源),然後再根據您的啟用規則範圍將其開啟。在某些情況下, 資源的初始探索最多可能需要 24 小時才能完成。

遙測組態使用 AWS Config 來:

  • 探索整個組織或帳戶的資源

  • 追蹤遙測組態變更

跨區域的規則

當您使用目標區域建立規則時,目前區域會成為該規則的主區域。規則會自動複寫到您選擇的輻條區域。

多區域規則的重要概念:

  • 複寫的規則無法在語音區域中編輯或刪除。您必須導覽至主要區域才能修改或移除它們。

  • 如果您選取所有區域,當您選擇加入新區域時,系統會自動包含新區域。

  • 系統會定期協調跨區域的規則,以修正主要區域與輻區之間的任何偏離。

  • 套用至主區域中規則的標籤會複寫至語音區域。

在語音區域中建立、更新或刪除複寫規則時, AWS CloudTrail 會在語音AwsServiceEvent區域中記錄 。這些事件會以 記錄observabilityadmin.amazonaws.com為叫用服務,並在語音區域中包含規則 ARN。您可以使用這些事件來稽核多區域規則複寫活動。

以下是在語音區域中建立複寫規則時記錄的範例 AWS CloudTrail 事件:

{
    "eventVersion": "1.11",
    "userIdentity": {
        "accountId": "123456789012",
        "invokedBy": "observabilityadmin.amazonaws.com"
    },
    "eventTime": "2026-04-06T19:50:37Z",
    "eventSource": "observabilityadmin.amazonaws.com",
    "eventName": "CreateTelemetryRule",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "observabilityadmin.amazonaws.com",
    "userAgent": "observabilityadmin.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "eventID": "435d6da2-d099-4775-8944-1e039418de6f",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::ObservabilityAdmin::TelemetryRule",
            "ARN": "arn:aws:observabilityadmin:us-east-1:123456789012:telemetry-rule/my-multi-region-rule"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

eventName 欄位反映對複寫規則執行的操作:UpdateTelemetryRuleCreateTelemetryRuleDeleteTelemetryRule。始終eventTypeAwsServiceEvent由於 ObservabilityAdmin 服務代表客戶執行操作,而不是直接客戶 API 呼叫。

建立遙測啟用規則

當您建立遙測啟用規則時,可以指定:

  • 規則的範圍 (組織、組織單位或帳戶)

  • 規則套用到的資源類型

  • 要啟用的遙測類型 (指標、日誌或追蹤)

  • 篩選規則影響哪些資源的選用標籤

  • 跨多個區域複寫規則的選用目標區域

建立遙測啟用規則

  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在導覽窗格中,選擇擷取

  3. 選擇啟用規則索引標籤。

  4. 選擇新增規則

  5. 針對 規則名稱,輸入您的規則名稱。

  6. 對於規則範圍,請選擇下列其中一個選項:

    • 組織 – 規則適用於整個 AWS Organizations

    • 組織單位 – 規則適用於特定 OU

    • 帳戶 – 規則適用於單一帳戶

  7. 針對資料來源,選取要設定的 AWS 服務。

  8. 對於遙測類型,選取要啟用的遙測類型。

  9. (選用) 新增標籤以篩選規則影響的資源。

  10. (選用) 針對目標區域,選取您要套用此規則的區域。目前區域會自動指定為規則的主區域。如果您選取所有區域,當您選擇加入新區域時,系統會自動包含新區域。

  11. 選擇建立規則

管理遙測規則

規則建立之後,可以編輯或刪除規則。也可以檢視每項規則所影響的資源,並監控規則遵循狀況。

管理現有規則

  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在導覽窗格中,選擇擷取

  3. 選擇啟用規則索引標籤。

  4. 選取規則檢視其詳細資訊,或選擇下列其中一個動作:

    • 編輯規則 – 修改規則設定

    • 刪除 – 移除規則

管理複寫規則

當您在語音區域中檢視複寫的規則時,主控台會顯示資訊提醒,指出規則已從另一個區域複寫。編輯規則刪除動作會針對語音區域中的複寫規則停用。

若要編輯或刪除複寫的規則,請導覽至最初建立規則的主區域。主要區域會顯示在資訊提醒中。

您可以在語音區域中的複寫規則上新增或修改標籤。在語音區域中所做的標籤變更僅適用於規則的本機複本,不會複寫回主要區域。

支援的資料來源

遙測啟用規則支援下列資料來源。每個資料來源都有特定的行為和組態考量。

Amazon VPC 流程日誌

建立流程日誌時:

  • 如果不指定,則使用預設模式 /aws/vpc/vpc-id

  • 保留現有客戶建立的流程日誌

  • 規則更新僅影響新的流程日誌

  • 您可以使用 <vpc-id>、<account-id> 巨集來分割日誌群組。

  • CloudWatch 不會為已將日誌擷取至 CloudWatch Logs VPCs 建立流程日誌

Amazon EKS 控制平面日誌

啟用控制平面記錄時:

  • 使用預設 CloudWatch 日誌群組模式 /aws/eks/<cluster-name>/cluster。Amazon EKS 會自動為每個叢集建立日誌群組。

  • 規則更新只會影響新的叢集,或僅影響未啟用範圍日誌類型的叢集

  • 可以啟用特定日誌類型:api、 稽核、驗證器、controllerManager、排程器

AWS WAF Web ACL 日誌

建立 WAF 日誌時:

  • 使用預設 CloudWatch 日誌群組模式,並一律使用字首搭配 aws-waf-logs-

  • 規則更新只會影響新的 Web ACLs 或尚未啟用 CloudWatch Logs 記錄的現有 Web ACLs

  • CloudWatch 不會為已將日誌擷取至 CloudWatch Logs ACLs 啟用日誌

Amazon Route 53 解析程式日誌

啟用解析程式查詢記錄時:

  • 如果未指定,則使用預設 CloudWatch 日誌群組模式 /aws/route53resolver

  • 您可以使用 <account-id> 巨集來分割日誌群組。

  • CloudWatch 不會為已將日誌擷取至 CloudWatch Logs VPCs 建立解析程式查詢日誌

  • 啟用規則會根據規則範圍設定 VPCs Route 53 查詢記錄。CloudWatch 不會探索 Route 53 設定檔和相關組態。

NLB 存取日誌

啟用存取日誌時:

  • 如果未指定字首 /aws/nlb/access-logs,請使用預設 CloudWatch 日誌群組模式

  • CloudWatch 不會為已將日誌擷取至 CloudWatch Logs NLBs 啟用日誌交付

使用服務連結頻道的 CloudTrail Logs

使用 SLC 路徑啟用 CloudTrail 日誌時:

  • 使用受管 CloudWatch 日誌群組 aws/cloudtrail/<event-types>

  • 保留現有客戶建立的 CloudTrail Trail 轉送組態

  • CloudWatch Enablement Rules 僅使用服務連結頻道來擷取日誌

  • 事件使用為日誌群組設定的保留期間

  • 對於 CloudTrail 事件,作為啟用精靈的一部分,您可以選擇至少一個事件類型來擷取到 CloudWatch。

  • 如果事件交付時有延遲 (以附錄原因 DELIVERY_DELAY 表示),而且您先前已設定較短的保留期,則延遲的事件可能只能在較短的保留期間使用。

提示

若要跨多個區域設定 CloudTrail 日誌,請在建立啟用規則時使用目標區域選擇器。這會自動將規則從主要區域複寫到您選取的區域。

Amazon Amazon EC2 詳細指標

啟用詳細監控時:

  • 執行個體狀態變更可能會影響指標集合

AWS Security Hub

啟用 Security Hub 記錄時:

  • 使用受管 CloudWatch 日誌群組模式 aws/securityhub_cspm/findings

  • CloudWatch 不會為已將日誌擷取至受管 CloudWatch Logs 的 Security Hub 啟用日誌交付

Amazon Bedrock AgentCore

  • 啟用從所有可用 Bedrock AgentCore 基本概念發出的日誌和追蹤,例如執行期、瀏覽器工具、程式碼解譯器工具等。遵循遙測設定主控台經驗來建立日誌交付規則,然後建立追蹤交付規則。

  • 建立追蹤交付規則時,將啟用交易搜尋,並建立其他許可政策,以允許 CloudWatch X-Ray 將相互關聯的追蹤傳送至您帳戶中的受管日誌群組。此外,將建立 X-Ray 資源政策,以允許目前和新的 Bedrock AgentCore 基本概念將追蹤交付至您的帳戶。

Amazon Bedrock Agentcore 閘道

啟用 Bedrock Agentcore Gateway 記錄時:

  • 如果未指定,則使用預設 CloudWatch 日誌群組模式 /aws/bedrock/agentcore

  • CloudWatch 不會為已經將日誌擷取到 CloudWatch Logs 的 Bedrock Agentcore Gateway 啟用日誌交付

Amazon Bedrock Agentcore 記憶體

啟用 Bedrock Agentcore 記憶體記錄時:

  • 如果未指定,則使用預設 CloudWatch 日誌群組模式 /aws/bedrock/agentcore

  • CloudWatch 不會為已經將日誌擷取到 CloudWatch Logs 的 Bedrock Agentcore 記憶體啟用日誌交付

Amazon CloudFront 分佈

啟用 CloudFront 分佈記錄時:

  • CloudWatch 不會為已將日誌擷取至 CloudWatch Logs 的 CloudFront 分發啟用日誌交付

Amazon MSK 叢集指標

啟用 MSK 叢集指標時:

  • 僅支援 METRICS 遙測類型

  • 您可以設定增強型監控層級 (PER_BROKER、PER_TOPIC_PER_BROKER 等),以控制收集的指標精細程度

  • 具有不同增強型監控層級的規則可以共存於相同的 MSK 叢集

OpenTelemetry 擴充指標

啟用 OpenTelemetry Enrichment 指標時:

  • 僅支援 METRICS 遙測類型

  • 這是帳戶層級啟用,沒有使用者可設定的目的地

  • 不支援資源層級選擇條件

Amazon Bedrock Agentcore 工作負載身分

啟用 Bedrock Agentcore 工作負載身分記錄時:

  • 如果未指定,則使用預設 CloudWatch 日誌群組模式 /aws/bedrock/agentcore

  • CloudWatch 不會為已經將日誌擷取到 CloudWatch Logs 的 Bedrock Agentcore 工作負載身分啟用日誌交付