Erkennung und Verwaltung von Datenquellen - CloudWatch Amazon-Protokolle
Was sind CloudWatch Logs-Datenquellen?Erste SchritteSystemfelderZugreifen auf DatenquellenBeziehung zu Protokollgruppen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erkennung und Verwaltung von Datenquellen

CloudWatch Logs erkennt und kategorisiert Ihre Protokolldaten automatisch nach Datenquelle und Typ, sodass Sie Ihre Protokolle leichter verstehen und in großem Umfang verwalten können. Diese Funktion ermöglicht die Schemaerkennung AWS für verkaufte Quellen wie Amazon VPC Flow Logs und Route 53 sowie Sicherheitstools von Drittanbietern. CloudTrail

Die Logs Management-Konsole bietet eine allgemeine Ansicht Ihrer Protokolle, die nach Datenquelle und Typ geordnet sind, und nicht nur nach Protokollgruppen. Diese Organisation hilft Ihnen:

  • Zeigen Sie Protokolle an, die nach AWS Diensten, Quellen von Drittanbietern (wie Okta oder CrowdStrike) und benutzerdefinierten Quellen kategorisiert sind

  • Machen Sie sich automatisch mit dem Schema und der Struktur Ihrer Protokolldaten vertraut

  • Erstellen Sie Feldindexrichtlinien auf der Grundlage erkannter Schemafelder

  • Verwalten Sie Protokolle effizienter über verschiedene Datenquellen hinweg

  • Logs nach verschiedenen Datenquellen abfragen

Wenn Sie die CloudWatch Protokollprotokollierung für unterstützte AWS Dienste aktivieren, wendet CloudWatch Logs automatisch das entsprechende Schema auf Ihre Protokolle an. Diese automatische Schemaanwendung trägt zur Wahrung der Konsistenz bei und bietet sofortige Einblicke in Ihre Protokollstruktur.

Was sind CloudWatch Logs-Datenquellen?

CloudWatch Logs Data Sources ist eine Funktion, die eine neue Möglichkeit bietet, Ihre Protokolldaten anhand der Quelle zu organisieren und zu kategorisieren, die die Protokolle generiert. Während CloudWatch Logs traditionell Protokollgruppen zum Organisieren von Protokollen verwendet, bietet Data Sources eine zusätzliche Organisationsebene, bei der Protokolle nach ihrem ursprünglichen Dienst und Protokolltyp gruppiert werden.

Wie funktionieren Datenquellen

Datenquellen bieten eine servicebasierte Protokollorganisation und eine vereinfachte Erkennung in Ihrer gesamten AWS Infrastruktur. Sie können problemlos nach Protokollen bestimmter Dienste suchen und nach Protokolltyp filtern, ohne dass Sie die Namen oder Strukturen der einzelnen Protokollgruppen kennen müssen.

Bei Quellen von Drittanbietern und optional bei Anwendungsprotokollquellen arbeiten Datenquellen mit CloudWatch Pipelines zusammen, um Ihre Protokolle zu kategorisieren. Wenn Sie eine Pipeline für die Aufnahme und Transformation von Protokollen konfigurieren, geben Sie den Namen und den Typ der Datenquelle an. CloudWatch Logs kategorisiert dann automatisch alle Protokolle, die von der Pipeline verarbeitet werden. Weitere Informationen finden Sie unter CloudWatch Pipelines im CloudWatch Amazon-Benutzerhandbuch.

Datenquellen kategorisieren Protokolle anhand von zwei Schlüsselkennungen:

  • Datenquellenname: Der AWS Service, die Drittanbieterquelle oder die Anwendung, die die Protokolle generiert (z. B. Route 53, Amazon VPC CloudTrail, Okta SSO oder CrowdStrike Falcon).

  • Datenquellentyp: Der spezifische Protokolltyp, der von diesem Dienst generiert wurde.

Ein Schema definiert die Struktur von Protokolldaten, einschließlich der vorhandenen Felder und der Organisation der Informationen. Eine einzelne Datenquelle kann mehrere Arten von Protokollen mit unterschiedlichen Schemas und Zwecken erzeugen. Bei der AWS CloudTrail Datenquelle gibt es beispielsweise zwei Typen: Verwaltungsereignisse (die Vorgänge auf der Kontrollebene wie das Erstellen oder Löschen von Ressourcen verfolgen) und Datenereignisse (die Datenebenenvorgänge wie S3-Objektzugriffe verfolgen). Jeder Typ hat ein anderes Schema, da er unterschiedliche Arten von Informationen erfasst.

Erste Schritte

CloudWatch Logs kategorisiert Ihre Logs anhand ihrer Herkunft in Datenquellen. Die Methode hängt von der Art der Protokolle ab, mit denen Sie arbeiten:

AWS-Service Logs

AWS-Services Die unterstützten Protokolle werden automatisch nach Datenquellen gruppiert, ohne dass eine Konfiguration erforderlich ist. CloudWatch Logs erkennt diese Protokolle und wendet den entsprechenden Datenquellennamen und -typ auf der Grundlage des ursprünglichen Dienstes an.

Protokolle von Drittanbietern

Für Protokolle von Drittanbietern sind Pipelines für die Kategorisierung von Datenquellen erforderlich. Wenn Sie eine Pipeline so konfigurieren, dass sie Protokolle aus unterstützten Drittanbieterquellen wie Microsoft Office 365, Okta oder Palo Alto Networks aufnimmt CrowdStrike, geben Sie den Namen und den Typ der Datenquelle in der Pipeline-Konfiguration an. CloudWatch Logs kategorisiert automatisch alle Protokolle, die von der Pipeline verarbeitet werden, anhand dieser Kennungen.

Pipelines können optional Protokolle von Drittanbietern in das Open Cybersecurity Schema Framework (OCSF) -Format umwandeln, um eine standardisierte Analyse von Sicherheitsereignissen zu ermöglichen. Wenn die OCSF-Transformation aktiviert ist, werden Name und Typ der Datenquelle automatisch auf der Grundlage der OCSF-Schemazuordnung bestimmt. Ohne OCSF-Transformation geben Sie den Namen und den Typ der Datenquelle in der Pipeline-Konfiguration an.

Anwendungsprotokolle

Benutzerdefinierte Anwendungsprotokolle können Sie mit einer der folgenden Methoden nach Datenquelle kategorisieren:

  • Protokollgruppen-Tags — Fügen Sie mithilfe der Schlüssel Tags zu Ihren Protokollgruppen hinzu cw:datasource:name und cw:datasource:type geben Sie jeweils den Namen und den Typ der Datenquelle für alle in der Protokollgruppe aufgenommenen Protokolle an. Tag-Werte können bis zu 64 Zeichen lang sein und dürfen nur Kleinbuchstaben, Zahlen und Unterstriche enthalten. Sie müssen entweder mit einem Buchstaben oder einer Zahl beginnen und dürfen keine doppelten Unterstriche (__) enthalten.

  • Pipeline-Konfiguration — Konfigurieren Sie Datenquelleninformationen mithilfe von Protokollverarbeitungspipelines, wenn Sie Ihre Anwendungsprotokolle aufnehmen.

Anmerkung

Datenquellennamen dürfen nicht mit „aws“ oder „amazon“ beginnen, um Konflikte mit AWS Serviceprotokollen zu vermeiden.

Systemfelder

CloudWatch Logs fügt Logs automatisch drei Systemfelder zu Protokollen hinzu, die nach Datenquelle kategorisiert sind. Diese Felder dienen als Standardfacetten:

  • @data_source_name- Enthält den Namen der Datenquelle oder „Unbekannt“, falls nicht bestimmt

  • @data_source_type- Enthält den Typ der Datenquelle oder „Unbekannt“, falls nicht bestimmt

  • @data_format- Gibt das Format der Protokolldaten an

Wenn der Name oder Typ der Datenquelle nicht bestimmt werden kann, werden diese Felder auf „Unbekannt“ gesetzt. Datenquellen mit „Unbekannten“ Werten sind weiterhin in Facetten und in der Datenquellentabelle unter „Protokollverwaltung“ in der Konsole sichtbar, sodass Sie nicht kategorisierte Protokolle und deren Herkunft identifizieren können.

Das @data_format Feld kann einen der folgenden Werte enthalten:

  • Default- Ohne Änderung aufgenommene Protokolle.

  • Custom- Protokolle, die über Pipelineprozessoren verarbeitet wurden, oder Protokolle, die in eine Protokollgruppe mit name/type Datenquellen-Tags aufgenommen wurden.

  • OCSF-<version>- Protokolle, die mit OCSF-Prozessoren (Open Cybersecurity Schema Framework) in Pipelines verarbeitet wurden.

  • AWS-OTEL-LOG-V<version>- OpenTelemetry Protokolle, die über den OTLP-Endpunkt aufgenommen wurden CloudWatch .

  • AWS-OTEL-TRACE-V<version>- OpenTelemetry Traces, die über den OTLP-Endpunkt aufgenommen wurden CloudWatch .

Mit diesen Systemfeldern können Sie Ihre Logs anhand ihrer Quelle und ihres Formats filtern und abfragen, was die Arbeit mit Logs unterschiedlicher Herkunft und Verarbeitungspipelines erleichtert.

Zugreifen auf Datenquellen

Konsole

In der CloudWatch Protokollkonsole verwenden Sie die Registerkarte Protokollverwaltung, um auf Ihre Datenquellen zuzugreifen. CloudWatch Logs konsolidiert Ihre Protokolldaten automatisch nach Datenquellen und -typen und entdeckt dabei kontinuierlich neu aufgenommene Daten. In der Datenquellenliste können Sie Pipelines erstellen und Feldindizes und Facetten definieren.

AWS CLI

Verwenden Sie den folgenden Befehl, um verschiedene Datenquellen und Protokolltypen in Ihrem Konto aufzulisten:

aws logs list-aggregate-log-group-summaries --group-by DATA_SOURCE_NAME_AND_TYPE

Beziehung zu Protokollgruppen

Datenquellen ergänzen Protokollgruppen, anstatt sie zu ersetzen. Ihre Protokolle werden weiterhin wie bisher in Protokollgruppen gespeichert, aber jetzt werden sie auch automatisch mit Datenquelleninformationen gekennzeichnet. Diese duale Organisation ermöglicht Ihnen:

  • Verwenden Sie Protokollgruppen für differenzierte Zugriffskontroll- und Aufbewahrungsrichtlinien

  • Verwenden Sie Datenquellen für die servicebasierte Erkennung und Analyse von Protokollen

  • Fragen Sie Protokolle je nach Bedarf mit einer der beiden Organisationsmethoden ab

Datenquellen erleichtern die Arbeit mit Protokollen in großem Umfang, indem sie eine serviceorientierte Ansicht Ihrer Protokolldaten in Ihrer gesamten AWS Infrastruktur bieten.