使用遙測啟用規則
可以建立遙測啟用規則,以自動設定 AWS 資源的遙測收集。規則可協助推動整個組織或帳戶的遙測收集標準化,並確保一致的監控涵蓋範圍。
啟用規則與 AWS Config 的整合
CloudWatch 遙測稽核和組態會與 AWS Config 整合,以自動探索符合您的啟用規則的資源,並將其套用至遙測資料收集。當您建立啟用規則時,遙測組態會建立對應的 AWS Config 記錄器。此記錄器中包括您在啟用規則中定義之特定資源類型的組態項目。
可以啟用遙測組態,無需額外付費。當您使用啟用規則自動管理遙測時,系統將針對您在啟用規則中指定的資源類型,依據所記錄的組態項目數量確定 AWS Config 費用。如需詳細資訊,請參閱 AWS Config 定價
注意
若您已針對特定資源類型的組態項目記錄啟用 AWS Config,則無需再次付費。
遙測組態使用 AWS Config 來:
-
探索整個組織或帳戶的資源
-
追蹤遙測組態變更
了解啟用規則行為
評估和套用規則時,遙測組態會遵循特定模式:
系統會根據分層模式評估啟用規則。先評估組織規則,然後評估適用於組織單位 (OU) 的規則,最後評估適用於個別帳戶的規則。組織層級的規則可提供您的組織所需的遙測,用於確立基準。組織單位和帳戶層級的規則可收集更多遙測資料,但無法減少收集的遙測資料量。如果建立此類規則,則會導致規則衝突。
在每個範圍內 (組織、組織單位或帳戶),規則必須依據資源類型、遙測類型和目的地組態來維持唯一性。重複規則會觸發衝突例外。如果不同範圍內存在相同的規則,例如將 VPC 流程日誌傳送至 CloudWatch 的組織層級規則、適用於 VPC 流程日誌的組織單位層級規則,系統將優先套用層級較高的規則。不過,如果有多個規則存在衝突,則不會套用任何規則。
對於 VPC 流程日誌,遙測組態僅為符合規則範圍的資源建立新的流程日誌。不會刪除或影響先前建立的 VPC 流程日誌,即使它們不同於目前的規則參數。對於 CloudWatch 日誌,只要符合資源模式,現有的日誌群組將予以保留。
如果更新啟用規則,僅符合規則的新資源會採用更新的組態,現有資源的遙測設定保持不變。如果因為手動刪除遙測資料,資源變得不符合現有規則,則一旦資源恢復合規,就會即刻採用新的啟用規則。
建立遙測啟用規則
當您建立遙測啟用規則時,可以指定:
-
規則的範圍 (組織、組織單位或帳戶)
-
規則套用到的資源類型
-
要啟用的遙測類型 (指標、日誌或追蹤)
-
篩選規則影響哪些資源的選用標籤
建立遙測啟用規則
透過 https://console.aws.amazon.com/cloudwatch/
開啟 CloudWatch 主控台。 -
在導覽窗格中,選擇遙測組態。
-
選擇啟用規則索引標籤。
-
選擇新增規則。
-
針對 規則名稱,輸入您的規則名稱。
-
對於規則範圍,請選擇下列其中一個選項:
-
組織:規則適用於整個 AWS Organizations
-
組織單位:規則適用於特定組織單位
-
帳戶:規則適用於單一帳戶
-
-
對於資料來源,選取要設定的 AWS 服務。
-
對於遙測類型,選取要啟用的遙測類型。
-
選用:新增標籤以篩選規則影響到的資源。
-
選擇建立規則。
管理遙測規則
規則建立之後,可以編輯或刪除規則。也可以檢視每項規則所影響的資源,並監控規則遵循狀況。
管理現有規則
透過 https://console.aws.amazon.com/cloudwatch/
開啟 CloudWatch 主控台。 -
在導覽窗格中,選擇遙測組態。
-
選擇啟用規則索引標籤。
-
選取規則檢視其詳細資訊,或選擇下列其中一個動作:
-
編輯:修改規則設定
-
刪除:移除規則
-
對遙測組態進行疑難排解
本節說明使用遙測組態時可能遇到的常見問題,以及如何解決這些問題。
規則衝突與解決方案
當多個規則套用到同一資源時,遙測組態將依下列原則解決衝突:
-
組織層級規則優先於帳戶層級規則
-
更具體的標籤比對優先於一般規則
-
如果有多個規則出現衝突,則不會套用任何規則,您必須先解決衝突。
常見問題
- 探索中未出現的資源
-
請驗證:
-
資源類型受支援
-
AWS Config 記錄器已啟用
-
還必須擁有適當的 IAM 許可
-
- 規則未自動套用
-
檢查:
-
規則範圍組態
-
標籤篩選條件
-
服務的特定考量事項
- Amazon VPC 流程日誌
-
建立流程日誌時:
-
如果不指定,則使用預設模式 /aws/vpc/
vpc-id -
保留現有客戶建立的流程日誌
-
規則更新僅影響新的流程日誌
-
