Konto- und regionenübergreifende Protokollzentralisierung - CloudWatch Amazon-Protokolle
Konzepte der DatenzentralisierungEinrichtung der ProtokollzentralisierungZentralisierungsregeln für Überwachung und Problembehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konto- und regionenübergreifende Protokollzentralisierung

Bei der Datenzentralisierung von Amazon CloudWatch Logs werden Protokolldaten von mehreren Mitgliedskonten in einem Datenspeicher gesammelt. Dabei werden AWS Organizations konto- und regionsübergreifende Zentralisierungsregeln verwendet. Sie definieren die Regeln, mit denen Protokolldaten automatisch aus mehreren Konten und AWS-Regionen in ein zentrales Konto innerhalb Ihrer Organisation repliziert werden. Diese Funktion optimiert die Protokollkonsolidierung und sorgt so für eine verbesserte zentrale Überwachung, Analyse und Einhaltung von Vorschriften in Ihrer gesamten Infrastruktur. AWS

CloudWatch Die Zentralisierung von Protokolldaten bietet Flexibilität bei der Konfiguration, um Betriebs- und Sicherheitsanforderungen zu erfüllen, z. B. die Möglichkeit, während der Regeleinrichtung innerhalb des Zielkontos eine Backup-Region zu konfigurieren, um die Ausfallsicherheit zu erhöhen. Darüber hinaus haben Sie die volle Kontrolle über das Verschlüsselungsverhalten von Protokollgruppen, die aus Quellkonten kopiert wurden, um Daten zu verarbeiten, die ursprünglich mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt wurden.

Anmerkung

Die Funktion zur Zentralisierung von CloudWatch Protokollen verarbeitet nur neue Protokolldaten, die in den Quellkonten eingehen, nachdem Sie die Zentralisierungsregel erstellt haben. Historische Protokolldaten (Protokolle, die vor der Regelerstellung existierten) sind nicht zentralisiert.

Konzepte der Datenzentralisierung

Machen Sie sich mit den folgenden Konzepten vertraut, bevor Sie mit der Zentralisierung von CloudWatch Logs-Daten beginnen:

Regel zur Zentralisierung

Eine Konfiguration, die definiert, wie Protokolldaten von Quellkonten und Regionen auf ein Zielkonto und eine Zielregion repliziert werden. Regeln spezifizieren Quellkriterien und Zieleinstellungen.

Quellkonto

Das AWS Konto, aus dem die Protokolldaten stammen. Protokollereignisse von Quellkonten werden auf der Grundlage der von Ihnen definierten Zentralisierungsregeln auf das Zielkonto repliziert.

Zielkonto

Das AWS Zielkonto, in dem replizierte Protokolldaten gespeichert werden. Dieses Konto dient als zentraler Ort für die Protokollanalyse und -überwachung.

Backup-Region

Eine optionale sekundäre Region innerhalb des Zielkontos, in der Protokolldaten repliziert werden können, um die Ausfallsicherheit zu erhöhen und die Notfallwiederherstellung zu gewährleisten.

Verschlüsselung in Protokollen CloudWatch

Protokollgruppendaten werden in CloudWatch Logs immer verschlüsselt. Standardmäßig verwendet CloudWatch Logs serverseitige Verschlüsselung mit 256-Bit-AES-GCM (Advanced Encryption Standard Galois/Counter Mode), um Protokolldaten im Ruhezustand zu verschlüsseln. Als Alternative können Sie den Key Management Service für diese Verschlüsselung verwenden AWS . Wenn Sie dies tun, erfolgt die Verschlüsselung entweder mithilfe eines AWS eigenen KMS-Schlüssels oder eines vom Kunden verwalteten KMS-Schlüssels. Die KMS-Schlüsselverschlüsselung mit AWS KMS wird auf Protokollgruppenebene aktiviert, indem ein KMS-Schlüssel einer Protokollgruppe zugeordnet wird, entweder wenn Sie die Protokollgruppe erstellen oder nachdem sie existiert. Nachdem Sie einen KMS-Schlüssel mit einer Protokollgruppe verknüpft haben, werden alle für die Protokollgruppe neu übernommenen Daten mithilfe des Schlüssels verschlüsselt. Diese Daten werden während ihres gesamten Aufbewahrungszeitraums in verschlüsseltem Format gespeichert. CloudWatch Logs entschlüsselt diese Daten, wann immer sie angefordert werden. CloudWatch Protokolle müssen immer dann über Berechtigungen für den KMS-Schlüssel verfügen, wenn verschlüsselte Daten angefordert werden, z. B. wenn eine Regel zur Protokollzentralisierung für ein Quellkonto ausgeführt wird. Wenn Sie vom Kunden verwaltete KMS-Schlüssel verwenden, aktualisieren Sie die KMS-Schlüssel, die den Quell- und Zielprotokollgruppen zugeordnet sind, mit dem TagLogsManaged = true. Weitere Informationen finden Sie unter AWS KMS-Schlüssel im AWS Key Management Service Developer Guide

Einrichtung der Protokollzentralisierung

Um die CloudWatch Protokollzentralisierung einzurichten, müssen Sie Zentralisierungsregeln konfigurieren, die definieren, wie Protokolldaten von Protokollgruppen in Quellkonten zu Protokollgruppen in Ihrem Zielkonto fließen.

Sobald die Zentralisierungsregel aktiviert ist und Protokollereignisse auf das Zielkonto repliziert wurden, können Sie Metrik-, Abonnement- und Kontofilter für zentralisierte Protokollgruppen mit erweiterten Filterfunktionen erstellen. Diese Filter können auf Protokollereignisse von bestimmten Quellkonten und Regionen abzielen und Informationen zu Quellkonten und Regionen als metrische Dimensionen ausgeben. Weitere Informationen finden Sie unter Erstellen von Metriken aus Protokollereignissen mithilfe von Filtern.

Voraussetzungen

  • AWS Organizations muss eingerichtet sein und das Quell- und das Zielkonto müssen beide zur Organisation gehören.

  • Der vertrauenswürdige Zugriff muss für das Verwaltungskonto und das Zielkonto aktiviert sein CloudWatch, um Zugriff auf die Protokolldaten zu ermöglichen.

    Anmerkung

    Es wird empfohlen, den vertrauenswürdigen Zugriff über die Konsole zu aktivieren, wodurch die erforderliche serviceverknüpfte Rolle (SLR) automatisch erstellt wird. Wenn der vertrauenswürdige Zugriff über andere Methoden aktiviert wird, muss die serviceverknüpfte Rolle separat erstellt werden.

Eine Zentralisierungsregel erstellen

Gehen Sie wie folgt vor, um eine Zentralisierungsregel zu erstellen, die Protokolldaten von Quellkonten auf Ihr Zielkonto repliziert.

Um eine Zentralisierungsregel zu erstellen

  1. Navigieren Sie im Management- oder Delegated Administrator-Konto der Organisation zur CloudWatch Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Navigieren Sie zur Registerkarte Organisation.

  4. Wählen Sie Regel konfigurieren aus.

  5. Geben Sie die Quelldetails an, indem Sie die folgenden Felder festlegen, und wählen Sie dann Weiter aus:

    1. Name der Zentralisierungsregel: Geben Sie einen eindeutigen Namen für die Zentralisierungsregel ein.

    2. Quellkonten: Definieren Sie Auswahlkriterien für Quellen, um Konten auszuwählen, aus denen Telemetriedaten zentralisiert werden sollen. Zu den Auswahlkriterien können gehören:

      • Eine Liste der Mitgliedskonten in der Organisation

      • Eine Liste der Organisationseinheiten in der Organisation

      • Die gesamte Organisation

      Sie können die Auswahlkriterien in zwei Modi angeben:

      • Builder: Eine klickbasierte Oberfläche zur Generierung der Auswahlkriterien für die Quelle

      • Editor: Ein frei formatiertes Textfeld zur Angabe der Auswahlkriterien für die Quelle

      Unterstützte Syntax für Kriterien zur Quellenauswahl:

      • Unterstützte Schlüssel: OrganizationId | OrganizationUnitId | AccountId | *

      • Unterstützte Operatoren: = | IN | OR

    3. Quellregionen: Wählen Sie eine Liste von Regionen aus, um nach den zu zentralisierenden Telemetriedaten zu suchen.

  6. Geben Sie die Zieldetails an, indem Sie die folgenden Felder festlegen, und wählen Sie dann Weiter aus:

    1. Zielkonto: Wählen Sie ein Konto in der Organisation aus, das als zentrales Ziel für Telemetriedaten dient.

    2. Zielregion: Wählen Sie eine primäre Region aus, in der eine Kopie der zentralen Telemetriedaten gespeichert wird.

    3. Backup-Region: Wählen Sie optional eine Region aus, in der eine zweite Kopie der zentralen Telemetriedaten gespeichert wird.

  7. Geben Sie Telemetriedaten an, indem Sie die folgenden Felder festlegen, und wählen Sie dann Weiter aus:

    1. Protokollgruppen: Wählen Sie eine der folgenden Optionen:

      • Alle Protokollgruppen: Zentralisieren Sie die Protokolle aller Protokollgruppen in den Quellkonten.

      • Protokollgruppe filtern: Zentralisiert Protokolle aus einer Teilmenge von Protokollgruppen in den Quellkonten, die den Auswahlkriterien einer Protokollgruppe entsprechen. Sie können die Auswahlkriterien in zwei Modi angeben:

        • Builder: Eine klickbasierte Oberfläche zum Generieren der Auswahlkriterien für Protokollgruppen

        • Editor: Ein frei formatiertes Textfeld zur Angabe der Auswahlkriterien für die Protokollgruppe

        Unterstützte Syntax für Auswahlkriterien für Protokollgruppen:

        • Unterstützte Schlüssel: LogGroupName | *

        • Unterstützte Operatoren: = |! = | IN | NICHT IN | UND | ODER | WIE | NICHT

    2. KMS-verschlüsselte Protokollgruppe

      Wichtig

      CloudWatch Zentralisierungsregeln können keine Protokolle vom Quellkonto an die Zielprotokollgruppen übermitteln, wenn der in der Zentralisierungsregel angegebene KMS-Schlüssel CloudWatch Logs nicht erlaubt, ihn zu verwenden. Weitere Informationen finden Sie unter Schritt 2: Festlegen von Berechtigungen auf dem KMS-Schlüssel.

      Wählen Sie eine der folgenden Optionen:

      • Zentralisieren Sie keine Protokollgruppen, die mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt sind: Überspringen Sie die Zentralisierung von Protokollereignissen aus Quellprotokollgruppen, die mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt wurden.

      • Zentralisieren Sie Protokollgruppen, die mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt wurden, im Zielkonto mit einem AWS verwalteten KMS-Schlüssel: Zentralisieren Sie Protokollereignisse aus Quellprotokollgruppen, die mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt wurden, in Zielprotokollgruppen, die nicht mit vom Kunden verwalteten KMS-Schlüsseln verknüpft sind, sondern stattdessen einen AWS verwalteten KMS-Schlüssel verwenden.

        Wenn diese Einstellung ausgewählt ist, müssen Sie auch Folgendes festlegen:

        • Zielverschlüsselungsschlüssel ARN: ARN des KMS-Schlüssels, der zum Zielkonto und zur primären Zielregion gehört und mit neu erstellten Zielprotokollgruppen verknüpft werden soll.

        • ARN für den Verschlüsselungsschlüssel für das Backup-Ziel (optional): ARN des KMS-Schlüssels, der zum Zielkonto und zur Backup-Zielregion gehört und mit neu erstellten Zielprotokollgruppen verknüpft werden soll.

        Anmerkung

        Beachten Sie, dass diese Einstellung nur gilt, wenn die Quellprotokollgruppe mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt ist, und dass sie nur für neu erstellte Protokollgruppen im Zielkonto gilt.

  8. Überprüfen Sie die Zentralisierungsregel, nehmen Sie optional Änderungen in letzter Minute vor und wählen Sie Zentralisierungsrichtlinie erstellen aus.

Eine Zentralisierungsregel ändern

Gehen Sie wie folgt vor, um eine bestehende Zentralisierungsregel zu ändern.

Um eine Zentralisierungsregel zu ändern

  1. Navigieren Sie im Management- oder Delegated Administrator-Konto der Organisation zur CloudWatch Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Navigieren Sie zur Registerkarte Organisation.

  4. Wählen Sie Regeln verwalten aus.

  5. Wählen Sie die zu aktualisierende Regel aus und klicken Sie auf Bearbeiten.

  6. Aktualisieren Sie die Regelkonfiguration nach Bedarf und wählen Sie Weiter, um mit den einzelnen Schritten fortzufahren.

  7. Wählen Sie in Schritt 4, Überprüfen und konfigurieren, die Option Zentralisierungsrichtlinie aktualisieren aus.

Eine Zentralisierungsregel anzeigen

Gehen Sie wie folgt vor, um Details einer vorhandenen Zentralisierungsregel anzuzeigen.

Um eine Zentralisierungsregel anzuzeigen

  1. Navigieren Sie im Management- oder Delegated Administrator-Konto der Organisation zur CloudWatch Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Navigieren Sie zur Registerkarte Organisation.

  4. Wählen Sie Regeln verwalten aus.

  5. Zeigen Sie eine Liste aller vorhandenen Zentralisierungsregeln an und wählen Sie einen bestimmten Regelnamen aus, um die Details anzuzeigen.

Löschen einer Zentralisierungsregel

Gehen Sie wie folgt vor, um eine bestehende Zentralisierungsregel zu löschen.

Um eine Zentralisierungsregel zu löschen

  1. Navigieren Sie im Management- oder Delegated Administrator-Konto der Organisation zur CloudWatch Konsole.

  2. Wählen Sie Einstellungen aus.

  3. Navigieren Sie zur Registerkarte Organisation.

  4. Wählen Sie Regeln verwalten aus.

  5. Wählen Sie die Regel aus, die Sie löschen möchten, und wählen Sie Löschen.

  6. Bestätigen Sie den Löschvorgang und wählen Sie Delete (Löschen) aus.

Zentralisierungsregeln für Überwachung und Problembehebung

Sie können den Status und die Leistung Ihrer Zentralisierungsregeln mithilfe von CloudWatch Metriken, der CloudWatch Protokollkonsole und AWS CloudTrail Protokollen überwachen. Auf diese Weise können Sie sicherstellen, dass Protokolldaten erfolgreich repliziert werden, und Probleme mit Ihrer Zentralisierungskonfiguration identifizieren.

CloudWatch Logs bietet:

  1. Regelintegrität pro Zentralisierungsregel

    1. Wählen Sie Einstellungen aus.

    2. Navigieren Sie zur Registerkarte Organisation.

    3. Wählen Sie Regeln verwalten aus.

  2. Protokolliert API-Aufrufe mit AWS CloudTrail

  3. CloudWatch veröffentlicht außerdem Metriken für die Zentralisierung, darunter Protokollereignisse, Fehler und Drosselung. Weitere Informationen zu diesen Metriken und ihren Dimensionen finden Sie unter. Metriken und Dimensionen der Zentralisierung

Integritätsstatus der Regel durch Zentralisierung

Jede Zentralisierungsregel hat einen Integritätsstatus, der angibt, ob sie ordnungsgemäß funktioniert. Sie können den Regelstatus über die Konsole oder programmgesteuert mithilfe der API überprüfen.

Zu den Statusangaben für Regeln gehören:

  • HEALTHY: Die Regel funktioniert normal und repliziert Protokolldaten wie konfiguriert

  • UNHEALTHY: Bei der Regel sind Probleme aufgetreten und die Daten werden möglicherweise nicht korrekt repliziert

  • PROVISIONING: Die Zentralisierung für die Organisation wird derzeit eingerichtet.

Wenn eine Regel als UNGESUND gekennzeichnet ist, enthält das FailureReason Feld Einzelheiten zu dem spezifischen Problem, das behoben werden muss.

Überwachung von API-Aufrufen für die Zentralisierung mit AWS CloudTrail

AWS CloudTrail protokolliert API-Aufrufe an den Zentralisierungsdienst, sodass Sie Konfigurationsänderungen verfolgen und Probleme für Konten beheben können, die Mitglieder Ihres Unternehmens sind. AWS Organizations

Zu den wichtigsten CloudTrail Ereignissen im Zusammenhang mit der Zentralisierung gehören:

  • CreateCentralizationRuleForOrganization: Wenn eine neue Zentralisierungsregel erstellt wird

  • UpdateCentralizationRuleForOrganization: Wenn eine bestehende Regel geändert wird

  • DeleteCentralizationRuleForOrganization: Wenn eine Regel gelöscht wird

  • GetCentralizationRuleForOrganization: Wenn Regeldetails abgerufen werden

  • ListCentralizationRulesForOrganization: Wenn Regeln aufgelistet werden

Sie können CloudTrail Protokolle verwenden, um Änderungen an der Zentralisierungskonfiguration zu überprüfen und sie mit Leistungsproblemen oder Replikationsfehlern zu korrelieren.

Empfehlungen zur Überwachung

Um sicherzustellen, dass die Zentralisierung ordnungsgemäß funktioniert, empfehlen wir, CloudWatch Alarme für wichtige Zentralisierungskennzahlen einzurichten, die wir an Metrics weiterleiten. CloudWatch Diese proaktive Überwachung hilft Ihnen, Probleme frühzeitig zu erkennen und eine zuverlässige Protokollzentralisierung in Ihrem gesamten Unternehmen aufrechtzuerhalten.

Zu den wichtigsten Kennzahlen, die es zu überwachen gilt, gehören:

  • IncomingCopiedBytes: Überwachen Sie die Menge der Protokolldaten, die erfolgreich auf Ihr Zielkonto repliziert wurden. Ein plötzlicher Rückgang oder das Fehlen dieser Metrik kann auf Zentralisierungsprobleme hinweisen.

  • CentralizationError: Richten Sie Alarme für alle Fehler im Zentralisierungsprozess ein, um Probleme schnell zu erkennen und zu lösen.

  • CentralizationThrottled: Achten Sie auf Drosselungsereignisse, die sich auf die Leistung der Protokollreplikation auswirken könnten.

Eine vollständige Liste der verfügbaren Zentralisierungsmetriken und ihrer Dimensionen finden Sie unter. Metriken und Dimensionen der Zentralisierung

Wenn Protokolle nicht wie erwartet zentralisiert werden, sollten Sie sich die folgenden häufigen Szenarien ansehen, die eine Zentralisierung von Protokollen verhindern können.

Historische Protokolldaten

Die Funktion zur Zentralisierung von CloudWatch Protokollen verarbeitet nur neue Protokolldaten, die in den Quellkonten eingehen, nachdem Sie die Zentralisierungsregel erstellt haben. Historische Protokolldaten (Protokolle, die vor der Regelerstellung existierten) sind nicht zentralisiert.

Schlüsselberechtigungen für KMS

Zentralisierungsregeln können keine Protokolle vom Quellkonto an die Zielprotokollgruppen übermitteln, wenn der in der Zentralisierungsregel angegebene KMS-Schlüssel CloudWatch Logs nicht erlaubt, ihn zu verwenden. Stellen Sie sicher, dass die KMS-Schlüsselrichtlinie Logs die erforderlichen Berechtigungen gewährt. CloudWatch Weitere Informationen finden Sie unter Schritt 2: Festlegen von Berechtigungen auf dem KMS-Schlüssel.

Konfiguration der vom Kunden verwalteten KMS-Schlüssel

Wenn Sie bei der Regelerstellung die Option Mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselte Protokollgruppen nicht zentralisieren ausgewählt haben, werden Protokollereignisse aus Quellprotokollgruppen, die mit vom Kunden verwalteten KMS-Schlüsseln verschlüsselt wurden, übersprungen und nicht zentralisiert.

Die Zielverschlüsselung stimmt nicht überein

Wenn die Zielprotokollgruppe bereits mit einer anderen KMS-Verschlüsselungskonfiguration als der in der Zentralisierungsregel angegebenen vorhanden ist und die Konfliktlösung auf SKIP gesetzt ist, werden Datensätze gelöscht und es wird ein DestinationEncryptionMismatch Fehler ausgegeben. Dies ist beispielsweise der Fall, wenn das Ziel über eine Standardverschlüsselung verfügt, die Regel jedoch einen vom Kunden verwalteten KMS-Schlüssel angibt.

Vertrauenswürdiger Zugriff nicht aktiviert

Vertrauenswürdiger Zugriff muss aktiviert sein, AWS Organizations damit das Verwaltungskonto und das Zielkonto Zugriff auf die Protokolldaten gewähren können. CloudWatch

Auswahlkriterien für die Quelle

Stellen Sie sicher, dass die Quellauswahlkriterien Ihrer Zentralisierungsregel korrekt konfiguriert sind:

  • Konten und Regionen: Stellen Sie sicher, dass die Quellkonten und Regionen, aus denen die Protokolle stammen, in der Regel enthalten sind. Protokollgruppen von Konten oder Regionen, die nicht in der Regel angegeben sind, werden nicht zentralisiert.

  • Protokollgruppenfilter: Wenn Sie Protokollgruppenfilter konfiguriert haben, werden nur Protokollgruppen zentralisiert, die den angegebenen Kriterien entsprechen. Stellen Sie sicher, dass Ihre Auswahlkriterien für Protokollgruppen die Protokollgruppen enthalten, die Sie voraussichtlich zentralisieren werden.

  • Mitgliedschaft in einer Organisation: Sowohl Quell- als auch Zielkonten müssen derselben AWS Organizations Organisation angehören. Konten außerhalb der Organisation können nicht an der Zentralisierung teilnehmen.

Kontingentlimit für Protokollgruppen erreicht

Wenn das Zielkonto das Kontingent für Protokollgruppen erreicht hat, können keine neuen Protokollgruppen für die Zentralisierung erstellt werden. Stellen Sie sicher, dass das Zielkonto über ein ausreichendes Kontingent für zentralisierte Protokollgruppen aller Quellkonten verfügt. Sie können bei Bedarf eine Erhöhung des Kontingents beantragen.

Die Längenbeschränkung für den Namen des Protokollstreams wurde überschritten

Für die Namen von Protokolldatenströmen gelten Beschränkungen für die maximale Länge. Wenn die Zentralisierung Protokollstreams auf das Zielkonto repliziert, wird dem Namen des Protokolldatenstroms ein Suffix hinzugefügt. Wenn der resultierende Protokollstreamname die maximal zulässige Länge überschreitet, werden Datensätze gelöscht und es wird ein InvalidLogStream Fehler an das Kundenkonto gemeldet.

Gesundheitsstatus der Regel

Überprüfen Sie den Integritätsstatus der Zentralisierungsregel in der Konsole oder mithilfe der GetCentralizationRuleForOrganization API. Wenn die Regel als UNGESUND markiert ist, überprüfen Sie das FailureReason Feld auf spezifische Informationen zu dem Problem.

Um Zentralisierungsprobleme zu diagnostizieren, überprüfen Sie den Integritätsstatus der Zentralisierungsregel in der Konsole, überprüfen Sie die CloudWatch Metriken auf Fehler und Drosselung und untersuchen Sie die AWS CloudTrail Protokolle auf fehlgeschlagene API-Aufrufe. Weitere Informationen zu Zentralisierungsmetriken finden Sie unter. Metriken und Dimensionen der Zentralisierung