使用遙測啟用規則 - Amazon CloudWatch
啟用規則與 整合 AWS Config了解啟用規則行為建立遙測啟用規則管理遙測規則對遙測組態進行疑難排解

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用遙測啟用規則

您可以建立遙測啟用規則,以自動設定 AWS 資源的遙測收集。規則可協助推動整個組織或帳戶的遙測收集標準化,並確保一致的監控涵蓋範圍。

啟用規則與 整合 AWS Config

CloudWatch 遙測稽核和組態會與 整合 AWS Config ,以自動探索符合您啟用規則的資源,並將其套用至遙測資料收集。當您建立啟用規則時,遙測組態會建立對應的 AWS Config 記錄器。此記錄器中包括您在啟用規則中定義之特定資源類型的組態項目。

Amazon CloudWatch 使用 AWS Config 內部服務連結記錄器。您不需要為 CloudWatch 做為內部服務連結記錄器一部分使用的 CIs 付費。

注意

當您建立啟用規則時,我們會先透過 AWS Config Configuration Items (CIs) 探索不合規的資源 (未啟用遙測的資源),然後再根據您的啟用規則範圍將其開啟。在某些情況下, 資源的初始探索可能需要長達 24 小時才能完成。

遙測組態使用 AWS Config 來:

  • 探索整個組織或帳戶的資源

  • 追蹤遙測組態變更

了解啟用規則行為

評估和套用規則時,遙測組態會遵循特定模式:

系統會根據分層模式評估啟用規則。先評估組織規則,然後評估適用於組織單位 (OU) 的規則,最後評估適用於個別帳戶的規則。組織層級的規則可提供您的組織所需的遙測,用於確立基準。組織單位和帳戶層級的規則可收集更多遙測資料,但無法減少收集的遙測資料量。如果建立此類規則,則會導致規則衝突。

在每個範圍內 (組織、組織單位或帳戶),規則必須依據資源類型、遙測類型和目的地組態來維持唯一性。重複規則會觸發衝突例外。如果不同範圍內存在相同的規則,例如將 VPC 流程日誌傳送至 CloudWatch 的組織層級規則、適用於 VPC 流程日誌的組織單位層級規則,系統將優先套用層級較高的規則。不過,如果有多個規則存在衝突,則不會套用任何規則。

對於 VPC 流程日誌,遙測組態僅為符合規則範圍的資源建立新的流程日誌。不會刪除或影響先前建立的 VPC 流程日誌,即使它們不同於目前的規則參數。對於 CloudWatch 日誌,只要符合資源模式,現有的日誌群組將予以保留。

如果更新啟用規則,僅符合規則的新資源會採用更新的組態,現有資源的遙測設定保持不變。如果因為手動刪除遙測資料,資源變得不符合現有規則,則一旦資源恢復合規,就會即刻採用新的啟用規則。

建立遙測啟用規則

當您建立遙測啟用規則時,可以指定:

  • 規則的範圍 (組織、組織單位或帳戶)

  • 規則套用到的資源類型

  • 要啟用的遙測類型 (指標、日誌或追蹤)

  • 篩選規則影響哪些資源的選用標籤

建立遙測啟用規則

  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在導覽窗格中,選擇遙測組態

  3. 選擇啟用規則索引標籤。

  4. 選擇新增規則

  5. 針對 規則名稱,輸入您的規則名稱。

  6. 對於規則範圍,請選擇下列其中一個選項:

    • Organization - 規則適用於您的整個 AWS Organizations

    • 組織單位:規則適用於特定組織單位

    • 帳戶:規則適用於單一帳戶

  7. 針對資料來源,選取要設定的 AWS 服務。

  8. 對於遙測類型,選取要啟用的遙測類型。

  9. 選用:新增標籤以篩選規則影響到的資源。

  10. 選擇建立規則

管理遙測規則

規則建立之後,可以編輯或刪除規則。也可以檢視每項規則所影響的資源,並監控規則遵循狀況。

管理現有規則

  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在導覽窗格中,選擇遙測組態

  3. 選擇啟用規則索引標籤。

  4. 選取規則檢視其詳細資訊,或選擇下列其中一個動作:

    • 編輯:修改規則設定

    • 刪除:移除規則

對遙測組態進行疑難排解

本節說明使用遙測組態時可能遇到的常見問題,以及如何解決這些問題。

規則衝突與解決方案

當多個規則套用到同一資源時,遙測組態將依下列原則解決衝突:

  1. 組織層級規則優先於帳戶層級規則

  2. 更具體的標籤比對優先於一般規則

  3. 如果有多個規則出現衝突,則不會套用任何規則,您必須先解決衝突。

常見問題

探索中未出現的資源

請驗證:

  • 資源類型受支援

  • AWS 組態記錄器已啟用

  • 還必須擁有適當的 IAM 許可

規則未自動套用

檢查:

  • 規則範圍組態

  • 標籤篩選條件

注意

當您建立啟用規則時,我們會先透過 AWS Config Configuration Items (CIs) 探索不合規的資源 (未啟用遙測的資源),然後再根據您的啟用規則範圍將其開啟。在某些情況下, 資源的初始探索可能需要長達 24 小時才能完成。

服務的特定考量事項

Amazon VPC 流程日誌

建立流程日誌時:

  • 如果不指定,則使用預設模式 /aws/vpc/vpc-id

  • 保留現有客戶建立的流程日誌

  • 規則更新僅影響新的流程日誌

  • 您可以使用 <vpc-id>、<account-id> 巨集來分割日誌群組。

  • CloudWatch 不會為已將日誌擷取至 CloudWatch Logs VPCs 建立流程日誌

Amazon EKS 控制平面記錄

啟用控制平面記錄時:

  • 使用預設 CloudWatch 日誌群組模式 /aws/eks/<cluster-name>/cluster。Amazon EKS 會自動為每個叢集建立日誌群組。

  • 規則更新只會影響新的叢集,或僅影響未啟用範圍日誌類型的叢集

  • 可以啟用特定日誌類型:api、 稽核、驗證器、controllerManager、排程器

AWS WAF Web ACL 日誌

建立 WAF 日誌時:

  • 使用預設 CloudWatch 日誌群組模式,並一律使用字首搭配 aws-waf-logs-

  • 規則更新只會影響新的 Web ACLs 或尚未啟用 CloudWatch Logs 記錄的現有 Web ACLs

  • CloudWatch 不會為已將日誌擷取至 CloudWatch Logs ACLs 啟用日誌

Amazon Route 53 解析程式日誌

啟用解析程式查詢記錄時:

  • 如果未指定,則使用預設 CloudWatch 日誌群組模式 /aws/route53resolver

  • CloudWatch 不會為已將日誌擷取至 CloudWatch Logs VPCs 建立解析程式查詢日誌

  • 啟用規則會根據規則範圍設定 VPCs Route 53 查詢記錄。CloudWatch 不會探索 Route 53 設定檔和相關組態。

NLB 存取日誌

啟用存取日誌時:

  • 若未指定,請使用字首為 /aws/nlb/access-logs 的預設 CloudWatch 日誌群組模式

  • CloudWatch 不會為已將日誌擷取至 CloudWatch Logs NLBs 啟用日誌交付

Amazon Bedrock AgentCore 遙測

  • 啟用從所有可用 Bedrock AgentCore 基本概念發出的日誌和追蹤,例如執行期、瀏覽器工具、程式碼解譯器工具等。遵循遙測設定主控台經驗來建立日誌交付規則,然後建立追蹤交付規則。

  • 建立追蹤交付規則時,將啟用交易搜尋,並建立其他許可政策,以允許 CloudWatch X-Ray 將相互關聯的追蹤傳送至您帳戶中的受管日誌群組。此外,將建立 X-Ray 資源政策,以允許目前和新的 Bedrock AgentCore 基本概念將追蹤交付至您的帳戶。

使用服務連結頻道的 CloudTrail Logs

使用 SLC 路徑啟用 CloudTrail 日誌時:

  • 使用受管 CloudWatch 日誌群組 aws/cloudtrail/<event-types>

  • 保留現有客戶建立的 CloudTrail Trail 轉送組態

  • CloudWatch Enablement Rules 僅使用服務連結頻道來擷取日誌

  • 事件使用為日誌群組設定的保留期間

  • 對於 CloudTrail 事件,作為啟用精靈的一部分,您可以選擇至少一個事件類型來擷取到 CloudWatch。

  • 如果事件交付時有延遲 (以附錄原因 DELIVERY_DELAY 表示),且您先前已設定較短的保留期,則延遲事件可能只能在較短的保留期間使用。

  • 重要:對於多區域部署:CloudWatch Enablement 規則需要每個 AWS 區域中的個別組態,且尚未在所有區域中提供。如需全方位的多區域涵蓋範圍,請考慮繼續使用 CloudTrail 追蹤將事件傳送至 CloudWatch,直到區域可用性擴展為止。