本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 遙測啟用規則
<a name="telemetry-config-rules"></a>

您可以建立遙測啟用規則，以自動設定 AWS 資源的遙測收集。規則可協助推動整個組織或帳戶的遙測收集標準化，並確保一致的監控涵蓋範圍。

**Topics**
+ [規則的運作方式](#telemetry-config-rules-behavior)
+ [建立遙測啟用規則](#telemetry-config-rules-create)
+ [管理遙測規則](#telemetry-config-rules-manage)
+ [支援的資料來源](#telemetry-config-troubleshoot-service)

## 規則的運作方式
<a name="telemetry-config-rules-behavior"></a>

遙測組態在評估和套用規則時遵循特定模式。

### 規則評估階層
<a name="telemetry-config-rules-hierarchy"></a>

系統會根據分層模式評估啟用規則。先評估組織規則，然後評估適用於組織單位 (OU) 的規則，最後評估適用於個別帳戶的規則。組織層級的規則可提供您的組織所需的遙測，用於確立基準。組織單位和帳戶層級的規則可收集更多遙測資料，但無法減少收集的遙測資料量。如果建立此類規則，則會導致規則衝突。

在每個範圍內 (組織、組織單位或帳戶)，規則必須依據資源類型、遙測類型和目的地組態來維持唯一性。重複規則會觸發衝突例外。如果相同的規則存在於不同的範圍內，例如 Amazon VPC Flow 日誌至 CloudWatch 的組織層級規則，以及 Amazon VPC Flow 日誌的 OU 層級規則，則會套用階層中較高的規則。不過，如果有多個衝突規則，則不會套用任何規則。

當多個規則套用到同一資源時，遙測組態將依下列原則解決衝突：

1. 組織層級規則優先於帳戶層級規則

1. 更具體的標籤比對優先於一般規則

1. 如果有多個衝突規則，則不會套用任何規則。您必須先解決衝突。

### 更新時的規則行為
<a name="telemetry-config-rules-updates"></a>

如果您更新啟用規則，則只有符合規則的新資源才會採用更新的組態。現有資源的現有遙測設定保持不變。如果因為手動刪除遙測資料，資源變得不符合現有規則，則一旦資源恢復合規，就會即刻採用新的啟用規則。

對於 Amazon VPC 流程日誌，遙測組態只會為符合規則範圍的資源建立新的流程日誌。它不會刪除或影響先前建立的 Amazon VPC 流程日誌，即使它們與目前的規則參數不同。對於 CloudWatch 日誌，只要符合資源模式，現有的日誌群組將予以保留。

### 與 整合 AWS Config
<a name="telemetry-config-automated"></a>

CloudWatch 遙測稽核和組態會與 整合 AWS Config ，以自動探索符合您啟用規則的資源，並將其套用至遙測資料收集。當您建立啟用規則時，遙測組態會建立對應的 AWS Config 記錄器。此記錄器中包括您在啟用規則中定義之特定資源類型的組態項目。

Amazon CloudWatch 使用 AWS Config 內部服務連結記錄器。對於 CloudWatch 做為內部服務連結記錄器一部分使用的 CIs，您不需要付費。

**注意**  
當您建立啟用規則時，我們會先透過 AWS Config Configuration Items (CIs) 探索不合規的資源 （未啟用遙測的資源），然後再根據您的啟用規則範圍將其開啟。在某些情況下， 資源的初始探索最多可能需要 24 小時才能完成。

遙測組態使用 AWS Config 來：
+ 探索整個組織或帳戶的資源
+ 追蹤遙測組態變更

### 跨區域的規則
<a name="telemetry-config-rules-multi-region"></a>

當您使用目標區域建立規則時，目前區域會成為該規則*的主區域*。規則會自動複寫到您選擇的輻條區域。

多區域規則的重要概念：
+ 複寫的規則無法在語音區域中編輯或刪除。您必須導覽至主要區域才能修改或移除它們。
+ 如果您選取**所有區域**，當您選擇加入新區域時，系統會自動包含新區域。
+ 系統會定期協調跨區域的規則，以修正主要區域與輻區之間的任何偏離。
+ 套用至主區域中規則的標籤會複寫至語音區域。

在語音區域中建立、更新或刪除複寫規則時， AWS CloudTrail 會在語音`AwsServiceEvent`區域中記錄 。這些事件會以 記錄`observabilityadmin.amazonaws.com`為叫用服務，並在語音區域中包含規則 ARN。您可以使用這些事件來稽核多區域規則複寫活動。

以下是在語音區域中建立複寫規則時記錄的範例 AWS CloudTrail 事件：

```
{
    "eventVersion": "1.11",
    "userIdentity": {
        "accountId": "{{123456789012}}",
        "invokedBy": "observabilityadmin.amazonaws.com"
    },
    "eventTime": "2026-04-06T19:50:37Z",
    "eventSource": "observabilityadmin.amazonaws.com",
    "eventName": "CreateTelemetryRule",
    "awsRegion": "{{us-east-1}}",
    "sourceIPAddress": "observabilityadmin.amazonaws.com",
    "userAgent": "observabilityadmin.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "eventID": "{{435d6da2-d099-4775-8944-1e039418de6f}}",
    "readOnly": false,
    "resources": [
        {
            "accountId": "{{123456789012}}",
            "type": "AWS::ObservabilityAdmin::TelemetryRule",
            "ARN": "arn:aws:observabilityadmin:{{us-east-1}}:{{123456789012}}:telemetry-rule/{{my-multi-region-rule}}"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "{{123456789012}}",
    "eventCategory": "Management"
}
```

`eventName` 欄位反映對複寫規則執行的操作：`UpdateTelemetryRule`、 `CreateTelemetryRule`或 `DeleteTelemetryRule`。始終`eventType`是`AwsServiceEvent`由於 ObservabilityAdmin 服務代表客戶執行操作，而不是直接客戶 API 呼叫。

## 建立遙測啟用規則
<a name="telemetry-config-rules-create"></a>

當您建立遙測啟用規則時，可以指定：
+ 規則的範圍 (組織、組織單位或帳戶)
+ 規則套用到的資源類型
+ 要啟用的遙測類型 (指標、日誌或追蹤)
+ 篩選規則影響哪些資源的選用標籤
+ 跨多個區域複寫規則的選用目標區域

**建立遙測啟用規則**

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中，選擇**擷取**。

1. 選擇**啟用規則**索引標籤。

1. 選擇**新增規則**。

1. 針對 **規則名稱**，輸入您的規則名稱。

1. 對於**規則範圍**，請選擇下列其中一個選項：
   + **組織** – 規則適用於整個 AWS Organizations
   + **組織單位** – 規則適用於特定 OU
   + **帳戶** – 規則適用於單一帳戶

1. 針對**資料來源**，選取要設定的 AWS 服務。

1. 對於**遙測類型**，選取要啟用的遙測類型。

1. （選用） 新增標籤以篩選規則影響的資源。

1. （選用） 針對**目標區域**，選取您要套用此規則的區域。目前區域會自動指定為規則的主區域。如果您選取**所有區域**，當您選擇加入新區域時，系統會自動包含新區域。

1. 選擇**建立規則**。

## 管理遙測規則
<a name="telemetry-config-rules-manage"></a>

規則建立之後，可以編輯或刪除規則。也可以檢視每項規則所影響的資源，並監控規則遵循狀況。

**管理現有規則**

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中，選擇**擷取**。

1. 選擇**啟用規則**索引標籤。

1. 選取規則檢視其詳細資訊，或選擇下列其中一個動作：
   + **編輯規則** – 修改規則設定
   + **刪除** – 移除規則

### 管理複寫規則
<a name="telemetry-config-rules-manage-replicated"></a>

當您在語音區域中檢視複寫的規則時，主控台會顯示資訊提醒，指出規則已從另一個區域複寫。編輯**規則**和**刪除**動作會針對語音區域中的複寫規則停用。

若要編輯或刪除複寫的規則，請導覽至最初建立規則的主區域。主要區域會顯示在資訊提醒中。

您可以在語音區域中的複寫規則上新增或修改標籤。在語音區域中所做的標籤變更僅適用於規則的本機複本，不會複寫回主要區域。

## 支援的資料來源
<a name="telemetry-config-troubleshoot-service"></a>

遙測啟用規則支援下列資料來源。每個資料來源都有特定的行為和組態考量。

**Amazon VPC 流程日誌**  
建立流程日誌時：  
+ 如果不指定，則使用預設模式 /aws/vpc/vpc-id
+ 保留現有客戶建立的流程日誌
+ 規則更新僅影響新的流程日誌
+ 您可以使用 <vpc-id>、<account-id> 巨集來分割日誌群組。
+ CloudWatch 不會為已將日誌擷取至 CloudWatch Logs VPCs 建立流程日誌

**Amazon EKS 控制平面日誌**  
啟用控制平面記錄時：  
+ 使用預設 CloudWatch 日誌群組模式 /aws/eks/<cluster-name>/cluster。Amazon EKS 會自動為每個叢集建立日誌群組。
+ 規則更新只會影響新的叢集，或僅影響未啟用範圍日誌類型的叢集
+ 可以啟用特定日誌類型：api、 稽核、驗證器、controllerManager、排程器

**AWS WAF Web ACL 日誌**  
建立 WAF 日誌時：  
+ 使用預設 CloudWatch 日誌群組模式，並一律使用字首搭配 aws-waf-logs-
+ 規則更新只會影響新的 Web ACLs 或尚未啟用 CloudWatch Logs 記錄的現有 Web ACLs 
+ CloudWatch 不會為已將日誌擷取至 CloudWatch Logs ACLs 啟用日誌

**Amazon Route 53 解析程式日誌**  
啟用解析程式查詢記錄時：  
+ 如果未指定，則使用預設 CloudWatch 日誌群組模式 /aws/route53resolver
+ 您可以使用 <account-id> 巨集來分割日誌群組。
+ CloudWatch 不會為已將日誌擷取至 CloudWatch Logs VPCs 建立解析程式查詢日誌
+ 啟用規則會根據規則範圍設定 VPCs Route 53 查詢記錄。CloudWatch 不會探索 Route 53 設定檔和相關組態。

**NLB 存取日誌**  
啟用存取日誌時：  
+ 如果未指定字首 /aws/nlb/access-logs，請使用預設 CloudWatch 日誌群組模式
+ CloudWatch 不會為已將日誌擷取至 CloudWatch Logs NLBs 啟用日誌交付

**使用服務連結頻道的 CloudTrail Logs**  
使用 SLC 路徑啟用 CloudTrail 日誌時：  
+ 使用受管 CloudWatch 日誌群組 aws/cloudtrail/<event-types>
+ 保留現有客戶建立的 CloudTrail Trail 轉送組態
+ CloudWatch Enablement Rules 僅使用服務連結頻道來擷取日誌
+ 事件使用為日誌群組設定的保留期間
+ 對於 CloudTrail 事件，作為啟用精靈的一部分，您可以選擇至少一個事件類型來擷取到 CloudWatch。
+ 如果事件交付時有延遲 （以附錄原因 DELIVERY\_DELAY 表示），而且您先前已設定較短的保留期，則延遲的事件可能只能在較短的保留期間使用。
若要跨多個區域設定 CloudTrail 日誌，請在建立啟用規則時使用**目標區域**選擇器。這會自動將規則從主要區域複寫到您選取的區域。

**Amazon Amazon EC2 詳細指標**  
啟用詳細監控時：  
+ 執行個體狀態變更可能會影響指標集合

**AWS Security Hub**  
啟用 Security Hub 記錄時：  
+ 使用受管 CloudWatch 日誌群組模式 aws/securityhub\_cspm/findings
+ CloudWatch 不會為已將日誌擷取至受管 CloudWatch Logs 的 Security Hub 啟用日誌交付

**Amazon Bedrock AgentCore**  
+ 啟用從所有可用 Bedrock AgentCore 基本概念發出的日誌和追蹤，例如執行期、瀏覽器工具、程式碼解譯器工具等。遵循遙測設定主控台經驗來建立日誌交付規則，然後建立追蹤交付規則。
+ 建立追蹤交付規則時，將啟用交易搜尋，並建立其他許可政策，以允許 CloudWatch X-Ray 將相互關聯的追蹤傳送至您帳戶中的受管日誌群組。此外，將建立 X-Ray 資源政策，以允許目前和新的 Bedrock AgentCore 基本概念將追蹤交付至您的帳戶。

**Amazon Bedrock Agentcore 閘道**  
啟用 Bedrock Agentcore Gateway 記錄時：  
+ 如果未指定，則使用預設 CloudWatch 日誌群組模式 /aws/bedrock/agentcore 
+ CloudWatch 不會為已經將日誌擷取到 CloudWatch Logs 的 Bedrock Agentcore Gateway 啟用日誌交付

**Amazon Bedrock Agentcore 記憶體**  
啟用 Bedrock Agentcore 記憶體記錄時：  
+ 如果未指定，則使用預設 CloudWatch 日誌群組模式 /aws/bedrock/agentcore 
+ CloudWatch 不會為已經將日誌擷取到 CloudWatch Logs 的 Bedrock Agentcore 記憶體啟用日誌交付

**Amazon CloudFront 分佈**  
啟用 CloudFront 分佈記錄時：  
+ CloudWatch 不會為已將日誌擷取至 CloudWatch Logs 的 CloudFront 分發啟用日誌交付

**Amazon MSK 叢集指標**  
啟用 MSK 叢集指標時：  
+ 僅支援 METRICS 遙測類型
+ 您可以設定增強型監控層級 (PER\_BROKER、PER\_TOPIC\_PER\_BROKER 等），以控制收集的指標精細程度
+ 具有不同增強型監控層級的規則可以共存於相同的 MSK 叢集

**OpenTelemetry 擴充指標**  
啟用 OpenTelemetry Enrichment 指標時：  
+ 僅支援 METRICS 遙測類型
+ 這是帳戶層級啟用，沒有使用者可設定的目的地
+ 不支援資源層級選擇條件

**Amazon Bedrock Agentcore 工作負載身分**  
啟用 Bedrock Agentcore 工作負載身分記錄時：  
+ 如果未指定，則使用預設 CloudWatch 日誌群組模式 /aws/bedrock/agentcore 
+ CloudWatch 不會為已經將日誌擷取到 CloudWatch Logs 的 Bedrock Agentcore 工作負載身分啟用日誌交付