Arbeiten mit Regeln zur Aktivierung der Telemetrie - Amazon CloudWatch
Integration von Aktivierungsregeln mit AWS ConfigGrundlegendes zu Verhaltensweisen von AktivierungsregelnErstellen von Regeln zur Aktivierung der TelemetrieVerwalten der TelemetrieregelnFehlerbehebung der Telemetriekonfiguration

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit Regeln zur Aktivierung der Telemetrie

Sie können Regeln zur Aktivierung der Telemetrie erstellen, um die Telemetrieerfassung für Ihre Ressourcen automatisch zu konfigurieren. AWS Mithilfe von Regeln können Sie die Telemetrieerfassung übergreifend in Ihrer Organisation oder Ihren Konten standardisieren und konsistent überwachen.

Integration von Aktivierungsregeln mit AWS Config

CloudWatch Die Telemetrieprüfung und -konfiguration lassen sich integrieren AWS Config , um automatisch Ressourcen zu ermitteln, die Ihrer Aktivierungsregel entsprechen, und sie auf Ihre Telemetriedatenerfassung anzuwenden. Wenn Sie eine Aktivierungsregel erstellen, erstellt die Telemetriekonfiguration einen entsprechenden AWS Config -Recorder. Dieser Recorder enthält Konfigurationselemente für die spezifischen Ressourcentypen, die Sie in der Aktivierungsregel definieren.

Amazon CloudWatch verwendet den AWS Config Internal Service Linked Recorder. CIs Diese CloudWatch Nutzung im Rahmen der Internal Service Linked Recorders wird Ihnen nicht in Rechnung gestellt.

Anmerkung

Wenn Sie eine Aktivierungsregel erstellen, erkennen wir nicht konforme Ressourcen (solche ohne aktivierte Telemetrie) über AWS Config Configuration Items (CIs), bevor wir sie basierend auf dem Geltungsbereich Ihrer Aktivierungsregel aktivieren. In einigen Fällen kann es bis zu 24 Stunden dauern, bis die erste Erkennung der Ressourcen abgeschlossen ist.

Die Telemetriekonfiguration dient zu folgenden Zwecken AWS Config :

  • Entdecken von Ressourcen übergreifend in Ihrer Organisation oder in Ihren Konten

  • Verfolgen von Telemetriekonfigurationsänderungen

Grundlegendes zu Verhaltensweisen von Aktivierungsregeln

Die Telemetriekonfiguration folgt beim Bewerten und Anwenden von Regeln bestimmten Mustern:

Aktivierungsregeln werden nach einem Hierarchiemuster bewertet. Zuerst werden Organisationsregeln bewertet, dann Regeln, die für Organisationseinheiten (OUs) gelten, und schließlich Regeln, die für einzelne Konten gelten. Regeln auf Organisationsebene stellen die Telemetriegrundlage bereit, die für Ihre Organisation erforderlich ist. Regeln auf OU- und Kontoebene können zusätzliche Telemetriedaten, aber nicht weniger Telemetriedaten erfassen. Wird eine solche Regel erstellt, führt das zu einem Regelkonflikt.

Innerhalb jedes Bereichs (Organisation, Organisationseinheit oder Konto) müssen Regeln je nach Ressourcentyp, Telemetrietyp und Zielkonfiguration einzigartig bleiben. Duplizierte Regeln lösen eine Konfliktausnahme aus. Wenn dieselbe Regel in unterschiedlichen Bereichen existiert, z. B. eine Regel auf Organisationsebene für VPC-Flow-Logs CloudWatch und eine Regel auf OU-Ebene für VPC-Flow-Logs, wird die Regel auf höherer Ebene in der Hierarchie angewendet. Stehen jedoch mehrere Regeln miteinander in Konflikt, wird keine der Regeln angewendet.

Für VPC-Flow-Protokolle erstellt die Telemetriekonfiguration nur neue Flow-Protokolle für Ressourcen, die dem Regelumfang entsprechen. Zuvor eingerichtete VPC-Flow-Protokolle werden nicht gelöscht oder beeinträchtigt, selbst wenn sie sich von den aktuellen Regelparametern unterscheiden. Bei CloudWatch Protokollen werden bestehende Protokollgruppen beibehalten, sofern sie dem Ressourcenmuster entsprechen.

Wenn Sie eine Aktivierungsregel aktualisieren, übernehmen nur neue Ressourcen, die der Regel entsprechen, die aktualisierte Konfiguration. Die vorhandenen Telemetrieeinstellungen bleiben für die bestehenden Ressourcen unverändert. Wenn eine Ressource aufgrund des manuellen Löschens von Telemetriedaten nicht mehr einer bestehenden Regel entspricht, wird die neue Aktivierungsregel übernommen, sobald die Ressource wieder mit den Richtlinien übereinstimmt.

Erstellen von Regeln zur Aktivierung der Telemetrie

Beim Erstellen einer Regel zu Aktivierung der Telemetrie geben Sie Folgendes an:

  • Der Geltungsbereich der Regel (die Organisation, Organisationseinheit oder das Konto)

  • Die Ressourcentypen, auf welche die Regel angewendet werden

  • Die Telemetrietypen, die aktiviert werden sollen (Metriken, Protokolle oder Ablaufverfolgungen)

  • Optionale Tags für die Filterung, auf welche Ressourcen sich die Regel auswirkt

Um eine Regel zur Aktivierung von Telemetrie zu erstellen

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Telemetriekonfiguration aus.

  3. Wählen Sie die Registerkarte Aktivierungsregeln aus.

  4. Wählen Sie Regel hinzufügen aus.

  5. Geben Sie unter Regelname einen Namen für Ihre Regel ein.

  6. Wählen Sie für Regelumfang eine der folgenden Optionen aus:

    • Organisation — Die Regel gilt für Ihr gesamtes AWS Organizations

    • Organisationseinheit – Die Regel gilt für eine bestimmte Organisationseinheit

    • Konto – Die Regel gilt für ein einzelnes Konto

  7. Wählen Sie unter Datenquelle den AWS Dienst aus, den Sie konfigurieren möchten.

  8. Wählen Sie Telemetrietyp die Telemetrietypen aus, die aktiviert werden sollen.

  9. Optional: Fügen Sie Tags für die Filterung hinzu, auf welche Ressourcen sich die Regel auswirkt.

  10. Wählen Sie Regel erstellen aus.

Verwalten der Telemetrieregeln

Nach dem Erstellen von Regeln können Sie diese bearbeiten oder löschen. Sie können auch sehen, auf welche Ressourcen sich jede Regel auswirkt, und die Einhaltung der Regeln überwachen.

Um eine bestehende Regel zu verwalten

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Telemetriekonfiguration aus.

  3. Wählen Sie die Registerkarte Aktivierungsregeln aus.

  4. Wählen Sie eine Regel aus, um ihre Details anzusehen, oder wählen Sie eine der folgenden Aktionen aus:

    • Bearbeiten – Regeleinstellungen ändern

    • Löschen – Die Regel entfernen

Fehlerbehebung der Telemetriekonfiguration

In diesem Abschnitt werden häufige Probleme beschrieben, die bei der Nutzung von Telemetrie auftreten können, und wie Sie diese beheben können.

Regelkonflikte und deren Lösung

Wenn mehrere Regeln für dieselbe Ressource gelten, löst die Telemetriekonfiguration Konflikte basierend auf den folgenden Prioritäten:

  1. Regeln auf Organisationsebene haben Vorrang vor Regeln auf Kontoebene

  2. Spezifischere Tag-Übereinstimmungen genießen Vorrang vor allgemeinen Regeln

  3. Falls sich mehrere Regeln widersprechen, wird keine der Regeln angewendet. Sie müssen die Konflikte zuerst lösen.

Häufige Probleme

Ressourcen werden bei Erkennung nicht angezeigt

Vergewissern Sie sich, dass folgende Bedingungen erfüllt sind:

  • Der Ressourcentyp wird unterstützt

  • AWS Config Recorder ist aktiviert

  • Sie verfügen über die entsprechenden IAM-Berechtigungen

Die Regeln gelten nicht automatisch

Überprüfen Sie:

  • Die Konfiguration des Regelumfangs

  • Tag-Filter

Anmerkung

Wenn Sie eine Aktivierungsregel erstellen, erkennen wir nicht konforme Ressourcen (solche ohne aktivierte Telemetrie) über AWS Config Configuration Items (CIs), bevor wir sie basierend auf dem Geltungsbereich Ihrer Aktivierungsregel aktivieren. In einigen Fällen kann es bis zu 24 Stunden dauern, bis die erste Erkennung der Ressourcen abgeschlossen ist.

Servicespezifische Überlegungen

Amazon VPC-Flussprotokolle

Beim Erstellen der Flow-Protokolle:

  • Verwendet das Standardmuster/aws/vpc/vpc-id, falls keines angegeben ist

  • Bestehende, vom Kunden erstellte Flow-Protokolle werden beibehalten

  • Regelaktualisierungen wirken sich nur auf neue Flow-Protokolle aus

  • Sie können <vpc-id><account-id>Makros verwenden, um Protokollgruppen aufzuteilen.

  • CloudWatch erstellt keine Flow-Logs für solche VPCs , die bereits Logs in Logs aufnehmen CloudWatch

Protokollierung der Amazon EKS-Kontrollebene

Wenn Sie die Protokollierung auf der Kontrollebene aktivieren:

  • <cluster-name>Verwendet das CloudWatch Standard-Protokollgruppenmuster /aws/eks/ /cluster. Amazon EKS erstellt automatisch Protokollgruppen pro Cluster.

  • Regelaktualisierungen wirken sich nur auf neue Cluster oder nur auf Cluster aus, für die die jeweiligen Protokolltypen nicht aktiviert sind

  • Kann bestimmte Protokolltypen aktivieren: API, Audit, Authenticator, ControllerManager, Scheduler

AWS WAF-Web-ACL-Protokolle

Beim Erstellen von WAF-Protokollen:

  • Verwendet das Standardmuster für CloudWatch Protokollgruppen und hat immer das Präfix - aws-waf-logs

  • Regelaktualisierungen wirken sich nur auf neue Websites ACLs oder bestehende Websites aus ACLs , für die die Protokollierung nicht aktiviert ist CloudWatch

  • CloudWatch aktiviert keine Protokolle für Websites ACLs , die bereits Protokolle in Logs aufnehmen CloudWatch

Amazon Route 53 Resolver Resolver-Protokolle

Wenn Sie die Protokollierung von Resolver-Abfragen aktivieren:

  • Verwendet das CloudWatch Standard-Protokollgruppenmuster /aws/route53resolver, falls keines angegeben ist

  • CloudWatch erstellt keine Resolver-Abfrageprotokolle, für die bereits Protokolle in Logs aufgenommen werden VPCs CloudWatch

  • Aktivierungsregeln konfigurieren die Route 53 53-Abfrageprotokollierung für Ihren VPCs Regelbereich. CloudWatch erkennt Route 53-Profile und zugehörige Konfigurationen nicht.

NLB-Zugriffsprotokolle

Bei der Aktivierung von Zugriffsprotokollen:

  • Verwendet das Standardmustermuster für CloudWatch Protokollgruppen mit dem Präfix/aws/nlb/access-logs, falls keines angegeben ist

  • CloudWatch aktiviert keine Protokollzustellungen für solche NLBs , die bereits Protokolle in Logs aufnehmen CloudWatch

Amazon Bedrock Telemetrie AgentCore

  • Aktivieren Sie sowohl Protokolle als auch Traces, die von allen verfügbaren AgentCore Bedrock-Primitiven wie Runtime, Browser Tools, Code Interpreter Tools usw. ausgegeben werden. Folgen Sie der Anleitung zur Telemetrie Configure-Konsole, um eine Regel für die Übermittlung von Protokollen zu erstellen und anschließend eine Regel für die Übermittlung von Traces zu erstellen.

  • Wenn Sie eine Trace-Zustellungsregel erstellen, wird die Transaktionssuche aktiviert und es wird eine zusätzliche Berechtigungsrichtlinie erstellt, die es CloudWatch X-Ray ermöglicht, korrelierte Traces an die verwaltete Protokollgruppe in Ihrem Konto zu senden. Darüber hinaus wird eine X-Ray-Ressourcenrichtlinie eingeführt, die es aktuellen und neuen AgentCore Bedrock-Primitiven ermöglicht, Spuren an Ihr Konto zu senden.

CloudTrail Loggt über einen mit dem Dienst verknüpften Kanal

Bei der Aktivierung von CloudTrail Protokollen über den SLC-Pfad:

  • Verwendet verwaltete CloudWatch Protokollgruppen aws/cloudtrail/ <event-types>

  • Bestehende, vom Kunden erstellte Trail-Forwarding-Konfigurationen werden beibehalten CloudTrail

  • CloudWatch In den Aktivierungsregeln wird nur ein mit dem Service verbundener Kanal zum Erfassen von Protokollen verwendet

  • Ereignisse verwenden den für die Protokollgruppe konfigurierten Aufbewahrungszeitraum

  • Für CloudTrail Ereignisse können Sie im Rahmen des Aktivierungsassistenten mindestens einen Ereignistyp auswählen, in den die Daten aufgenommen werden sollen. CloudWatch

  • Wenn Ereignisse verzögert übermittelt werden (angegeben durch den Zusatzgrund DELIVERY_DELAY) und Sie zuvor einen kürzeren Aufbewahrungszeitraum konfiguriert haben, sind verzögerte Ereignisse möglicherweise nur für die Dauer des kürzeren Aufbewahrungszeitraums verfügbar.

  • Wichtig: Für Bereitstellungen in mehreren Regionen: CloudWatch Aktivierungsregeln erfordern eine separate Konfiguration in jeder AWS Region und sind noch nicht in allen Regionen verfügbar. Für eine umfassende Abdeckung mehrerer Regionen sollten Sie erwägen, weiterhin CloudTrail Trails zu verwenden, an die Ereignisse gesendet werden, bis CloudWatch die regionale Verfügbarkeit zunimmt.