Centralización de registros entre cuentas y regiones - Amazon CloudWatch Logs
Conceptos de centralización de datosConfiguración de la centralización de registrosSupervisión y solución de problemas de las reglas de centralización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Centralización de registros entre cuentas y regiones

La centralización de datos de Amazon CloudWatch Logs AWS Organizations permite recopilar datos de registro de varias cuentas de miembros en un repositorio de datos mediante reglas de centralización entre cuentas y regiones. Usted define las reglas que replican automáticamente los datos de registro de varias cuentas y Regiones de AWS en una cuenta centralizada dentro de su organización. Esta capacidad optimiza la consolidación de registros para mejorar la supervisión, el análisis y el cumplimiento centralizados en toda la infraestructura. AWS

CloudWatch La centralización de los datos de los registros ofrece flexibilidad de configuración para cumplir con los requisitos operativos y de seguridad, como la posibilidad de configurar una región de respaldo durante la configuración de las reglas en la cuenta de destino para garantizar una mayor resiliencia. Además, se tiene pleno control sobre el comportamiento de cifrado de los grupos de registros copiados de las cuentas de origen para gestionar los datos originalmente cifrados con claves de KMS administradas por el cliente.

nota

La función de centralización de CloudWatch registros solo procesa los nuevos datos de registro que llegan a las cuentas de origen después de crear la regla de centralización. Los datos de registro históricos (registros que existían antes de la creación de la regla) no están centralizados.

Conceptos de centralización de datos

Antes de empezar a utilizar la centralización de datos de CloudWatch Logs, familiarícese con los siguientes conceptos:

Regla de centralización

Una configuración que define cómo se replican los datos de registro de las cuentas y regiones de origen en una cuenta y región de destino. Las reglas especifican los criterios de origen y la configuración de destino.

Cuenta de origen

La AWS cuenta en la que se originan los datos de registro. Los eventos de registro de las cuentas de origen se replican en la cuenta de destino en función de las reglas de centralización que se definan.

Cuenta de destino

La AWS cuenta de destino donde se almacenan los datos de registro replicados. Esta cuenta sirve como ubicación centralizada para el análisis y la supervisión de los registros.

Región de respaldo

Una región secundaria opcional dentro de la cuenta de destino donde se pueden replicar los datos de registro para aumentar la resiliencia y la recuperación ante desastres.

Cifrado en los registros CloudWatch

Los datos de los grupos de registros siempre se cifran en CloudWatch los registros. De forma predeterminada, CloudWatch Logs utiliza el cifrado del lado del servidor con el Galois/Counter modo estándar de cifrado avanzado (AES-GCM) de 256 bits para cifrar los datos de registro en reposo. Como alternativa, puede usar el Servicio de administración de claves para este cifrado. AWS Si lo hace, el cifrado se realiza mediante una clave KMS AWS propia o una clave KMS administrada por el cliente. El cifrado de claves de AWS KMS mediante KMS se habilita a nivel de grupo de registros, mediante la asociación de una clave de KMS a un grupo de registros, ya sea al crear el grupo de registros o después de su existencia. Después de asociar una clave de KMS con un grupo de registro, todos los datos ingeridos recientemente para el grupo de registro se cifran mediante la clave. Estos datos se almacenan en formato cifrado durante todo el período de retención. CloudWatch Logs descifra estos datos siempre que se solicitan. CloudWatch Los registros deben tener permisos para la clave KMS siempre que se soliciten datos cifrados, por ejemplo, cuando se ejecuta una regla de centralización de registros en una cuenta de origen. Si se utilizan claves de KMS administradas por el cliente, actualice las claves de KMS asociadas a los grupos de registros de origen y destino con la etiqueta LogsManaged = true. Para obtener más información, consulte Claves de AWS KMS en la Guía para desarrolladores de AWS Key Management Service.

Configuración de la centralización de registros

Para configurar la centralización de CloudWatch registros, debe configurar reglas de centralización que definan cómo fluyen los datos de registro desde los grupos de registros de las cuentas de origen a los grupos de registros de su cuenta de destino.

Una vez que la regla de centralización esté habilitada y los eventos de registro se estén replicando en la cuenta de destino, se pueden crear filtros de métricas, suscripciones y cuentas en los grupos de registros centralizados con capacidades de filtrado mejoradas. Estos filtros pueden centrarse en eventos de registro de cuentas y regiones de origen específicas, y pueden emitir información de cuentas y regiones de origen como dimensiones métricas. Para obtener más información, consulte Creación de métricas a partir de eventos de registro mediante filtros.

Requisitos previos

  • AWS Organizations debe estar configurada y las cuentas de origen y destino deben pertenecer a la organización.

  • El acceso confiable debe estar habilitado para la cuenta de administración y la cuenta de destino CloudWatch, por lo que debe proporcionarse acceso a los datos de registro.

    nota

    Se recomienda habilitar el acceso confiable a través de la consola, que crea automáticamente el rol vinculado al servicio (SLR) requerido. Si se habilita el acceso de confianza mediante otros métodos, será necesario crear el rol vinculado al servicio por separado.

Creación de una regla de centralización

Utilice el siguiente procedimiento para crear una regla de centralización que replique los datos de registro de las cuentas de origen a la cuenta de destino.

Creación de una regla de centralización

  1. Navegue hasta la CloudWatch consola de la cuenta de administración o administrador delegado de la organización.

  2. Seleccione Configuración.

  3. Navegue a la pestaña Organización.

  4. Elija Configurar regla.

  5. Especifique los detalles de la fuente mediante la configuración de los siguientes campos y, a continuación, seleccione Siguiente:

    1. Nombre de regla de centralización: introduzca un nombre exclusivo para la regla de centralización.

    2. Cuentas de origen: defina los criterios de selección de fuentes para seleccionar las cuentas a partir de las cuales se centralizarán los datos de telemetría. Los criterios de selección pueden incluir:

      • Una de la lista de las cuentas de miembros de la organización.

      • Una lista de las unidades organizativas de la organización.

      • Toda la organización.

      Se pueden proporcionar los criterios de selección de dos modos:

      • Builder: una experiencia basada en clics para generar los criterios de selección de la fuente

      • Editor: un cuadro de texto de formato libre para proporcionar los criterios de selección de la fuente

      Sintaxis compatible para los criterios de selección de fuentes:

      • Claves compatibles: OrganizationId | | OrganizationUnitId AccountId | *

      • Operadores compatibles: = | IN | OR

    3. Regiones de origen: seleccione una lista de regiones para buscar los datos de telemetría que desee centralizar.

  6. Especifique los detalles de destino mediante la configuración de los siguientes campos y, a continuación, seleccione Siguiente:

    1. Cuenta de destino: seleccione una cuenta de la organización que sirva de destino central para los datos de telemetría.

    2. Región de destino: seleccione una región principal que almacene una copia de los datos de telemetría centralizados.

    3. Región de respaldo: de manera opcional, seleccione una región que almacene una copia de los datos de telemetría centralizados.

  7. Especifique los detalles de telemetría mediante la configuración de los siguientes campos y, a continuación, seleccione Siguiente:

    1. Grupos de registro: elija una de las siguientes opciones:

      • Todos los grupos de registros: centralice los registros de todos los grupos de registros de las cuentas de origen.

      • Filtrar grupo de registros: centralice los registros de un subconjunto de grupos de registros en las cuentas de origen, según los criterios de selección de un grupo de registros. Se pueden proporcionar los criterios de selección de dos modos:

        • Builder: una experiencia basada en clics para generar los criterios de selección del grupo de registros.

        • Editor: un cuadro de texto de formato libre para proporcionar los criterios de selección del grupo de registros.

        Sintaxis compatible para los criterios de selección de grupos de registros:

        • Teclas compatibles: LogGroupName | *

        • Operadores compatibles: = | != | IN | NOT IN | AND | OR | LIKE | NOT LIKE

    2. Grupo de registros cifrados de KMS

      importante

      CloudWatch Las reglas de centralización no podrán entregar los registros de la cuenta de origen a los grupos de registros de destino si la clave de KMS proporcionada en la regla de centralización no permite que CloudWatch Logs la utilice. Para obtener más información, consulte Paso 2: establecer permisos en la clave de KMS.

      Elija una de las siguientes opciones:

      • No centralice los grupos de registros cifrados con claves de KMS administradas por el cliente: evite la centralización de los eventos de registro de los grupos de registros de origen cifrados con claves de KMS administradas por el cliente.

      • Centralice los grupos de registros cifrados con claves de KMS administradas por el cliente en la cuenta de destino con una clave de KMS AWS administrada: centralice los eventos de registro de los grupos de registro de origen cifrados con claves de KMS administradas por el cliente en grupos de registro de destino que no estén asociados a las claves de KMS administradas por el cliente, sino que usen una AWS clave de KMS administrada.

        Cuando se selecciona esta opción, también se debe establecer lo siguiente:

        • ARN de clave de cifrado de destino: ARN de la clave de KMS que pertenece a la cuenta de destino y a la región de destino principal, que se asociará a los grupos de registros de destino recién creados.

        • ARN de clave de cifrado de respaldo: (opcional) ARN de la clave de KMS que pertenece a la cuenta de destino y a la región de destino de respaldo, que se asociará a los grupos de registros de destino recién creados.

        nota

        Tenga en cuenta que esta configuración solo se aplica cuando el grupo de registros de origen se cifra con claves de KMS administradas por el cliente y solo se aplica a los grupos de registros recién creados en la cuenta de destino.

  8. Revise la regla de centralización, y de manera opcional, realice modificaciones de última hora y elija Crear política de centralización.

Modificación de una regla de centralización

Utilice el siguiente procedimiento para modificar una regla de centralización existente.

Modificación de una regla de centralización

  1. Diríjase a la CloudWatch consola de la cuenta de administración o de administrador delegado de la organización.

  2. Seleccione Configuración.

  3. Navegue a la pestaña Organización.

  4. Elija Administrar reglas.

  5. Seleccione la regla que se desea actualizar, y elija Editar.

  6. Actualice la configuración de la regla según sea necesario y seleccione Siguiente para continuar con cada paso.

  7. En el paso 4, Revisar y configurar, elija Actualizar la política de centralización.

Visualización de una regla de centralización

Utilice el siguiente procedimiento para ver una regla de centralización existente.

Visualización de una regla de centralización

  1. Navegue hasta la CloudWatch consola de la cuenta de administración o administrador delegado de la organización.

  2. Seleccione Configuración.

  3. Navegue a la pestaña Organización.

  4. Elija Administrar reglas.

  5. Vea una lista de todas las reglas de centralización existentes y elija un nombre de regla específico para ver sus detalles.

Eliminación de una regla de centralización

Utilice el siguiente procedimiento para eliminar una regla de centralización existente.

Eliminación de una regla de centralización

  1. Navegue hasta la CloudWatch consola de la cuenta de administración o administrador delegado de la organización.

  2. Seleccione Configuración.

  3. Navegue a la pestaña Organización.

  4. Elija Administrar reglas.

  5. Seleccione la regla que quiera eliminar y elija Eliminar.

  6. Confirme la eliminación y elija Eliminar.

Supervisión y solución de problemas de las reglas de centralización

Puede supervisar el estado y el rendimiento de las reglas de centralización mediante CloudWatch métricas, la consola de CloudWatch registros y AWS CloudTrail los registros. Esto ayuda a garantizar que los datos de registro se replican correctamente y a identificar cualquier problema con la configuración de centralización.

CloudWatch Logs proporciona:

  1. Estado de la regla según la regla de centralización

    1. Seleccione Configuración.

    2. Navegue a la pestaña Organización.

    3. Elija Administrar reglas.

  2. Registra las llamadas a la API con AWS CloudTrail

  3. CloudWatch también publica métricas para la centralización, como los eventos de registro replicados, los errores y la limitación. Para obtener más información sobre estas métricas y sus dimensiones, consulte. Métricas y dimensiones de centralización

Estado de salud de la regla de centralización

Cada regla de centralización tiene un estado de salud que indica si funciona correctamente. Puede verificar el estado de las reglas desde la consola o mediante programación mediante la API.

Los estados de salud reglamentarios incluyen:

  • HEALTHY: la regla funciona con normalidad y replica los datos de registro según lo configurado

  • UNHEALTHY: la regla ha detectado problemas y es posible que no esté replicando los datos correctamente

  • PROVISIONING: la centralización de la organización está en proceso de creación.

Cuando una regla se marca como UNHEALTHY, el campo FailureReason proporciona detalles sobre el problema específico que debe abordarse.

Supervisión de las llamadas a la API de centralización con AWS CloudTrail

AWS CloudTrail registra las llamadas a la API realizadas al servicio de centralización, lo que le permite realizar un seguimiento de los cambios de configuración y solucionar los problemas de las cuentas que son miembros de su empresa. AWS Organizations

CloudTrail Los eventos clave de la centralización incluyen:

  • CreateCentralizationRuleForOrganization: cuando se crea una nueva regla de centralización

  • UpdateCentralizationRuleForOrganization: cuando se modifica una regla existente

  • DeleteCentralizationRuleForOrganization: cuando se elimina una regla

  • GetCentralizationRuleForOrganization: cuando se recuperan los detalles de la regla

  • ListCentralizationRulesForOrganization: cuando las reglas aparecen en la lista

Puede utilizar CloudTrail los registros para auditar los cambios en la configuración de la centralización y correlacionarlos con problemas de rendimiento o errores de replicación.

Recomendaciones de supervisión

Para garantizar que la centralización funcione correctamente, recomendamos configurar CloudWatch alarmas en las métricas de centralización clave que vendemos a Metrics. CloudWatch Esta supervisión proactiva le ayuda a detectar los problemas de forma temprana y a mantener una centralización de registros fiable en toda la organización.

Las métricas clave que se deben monitorear incluyen:

  • IncomingCopiedBytes: Supervise el volumen de datos de registro que se replican correctamente en su cuenta de destino. Una caída repentina o la ausencia de esta métrica pueden indicar problemas de centralización.

  • CentralizationError: Configure alarmas para detectar cualquier error en el proceso de centralización a fin de identificar y resolver los problemas rápidamente.

  • CentralizationThrottled: Supervise los eventos de limitación que puedan afectar al rendimiento de la replicación de registros.

Para obtener una lista completa de las métricas de centralización disponibles y sus dimensiones, consulte. Métricas y dimensiones de centralización

Si los registros no se están centralizando como se esperaba, revise los siguientes escenarios comunes que pueden impedir la centralización de los registros.

Datos de registro históricos

La función de centralización de CloudWatch registros solo procesa los nuevos datos de registro que llegan a las cuentas de origen después de crear la regla de centralización. Los datos de registro históricos (registros que existían antes de la creación de la regla) no están centralizados.

Permisos de claves de KMS

Las reglas de centralización no podrán entregar los registros de la cuenta de origen a los grupos de registros de destino si la clave KMS proporcionada en la regla de centralización no permite que CloudWatch Logs la utilice. Asegúrese de que la política de claves de KMS conceda los permisos necesarios a CloudWatch los registros. Para obtener más información, consulte Paso 2: establecer permisos en la clave de KMS.

Configuración de claves KMS administradas por el cliente

Si seleccionó No centralizar los grupos de registros cifrados con claves KMS administradas por el cliente durante la creación de la regla, los eventos de registro de los grupos de registros de origen cifrados con claves KMS administradas por el cliente se omitirán y no se centralizarán.

El cifrado de destino no coincide

Si el grupo de registros de destino ya existe con una configuración de cifrado de KMS diferente a la que especifica la regla de centralización y la resolución de conflictos se establece en SKIP, los registros se eliminarán y se emitirá un DestinationEncryptionMismatch error. Por ejemplo, esto ocurre cuando el destino tiene el cifrado predeterminado, pero la regla especifica una clave de KMS administrada por el cliente.

El acceso de confianza no está habilitado

El acceso de confianza debe estar habilitado AWS Organizations para CloudWatch que la cuenta de administración y la cuenta de destino puedan acceder a los datos de registro.

Criterios de selección de fuentes

Compruebe que los criterios de selección de fuentes de la regla de centralización estén configurados correctamente:

  • Cuentas y regiones: asegúrese de que las cuentas y regiones de origen donde se originan los registros estén incluidas en la regla. Los grupos de registros de cuentas o regiones no especificadas en la regla no se centralizarán.

  • Filtros de grupos de registros: si configuró filtros de grupos de registros, solo se centralizarán los grupos de registros que coincidan con los criterios especificados. Compruebe que los criterios de selección de grupos de registros incluyen los grupos de registros que espera centralizar.

  • Pertenencia a la organización: tanto las cuentas de origen como las de destino deben pertenecer a la misma AWS Organizations organización. Las cuentas ajenas a la organización no pueden participar en la centralización.

Se alcanzó el límite de cuota de grupos de registros

Si la cuenta de destino ha alcanzado su límite de cuota de grupos de registros, no se pueden crear nuevos grupos de registros para centralizarlos. Compruebe que la cuenta de destino tenga una cuota suficiente para alojar grupos de registros centralizados de todas las cuentas de origen. Si es necesario, puede solicitar un aumento

Se ha superado el límite de longitud del nombre del flujo de registro

Los nombres de los flujos de registro tienen restricciones de longitud máxima. Cuando la centralización replica los flujos de registro en la cuenta de destino, se agrega un sufijo al nombre del flujo de registro. Si el nombre del flujo de registro resultante supera la longitud máxima permitida, los registros se eliminarán y se emitirá un InvalidLogStream error en la cuenta del cliente.

Regla el estado de salud

Compruebe el estado de la regla de centralización en la consola o mediante la GetCentralizationRuleForOrganization API. Si la regla está marcada como insalubre, revisa el FailureReason campo para obtener detalles específicos sobre el problema.

Para diagnosticar problemas de centralización, revise el estado de la regla de centralización en la consola, compruebe si hay errores o limitaciones en CloudWatch las métricas y examine los AWS CloudTrail registros para ver si hay errores en las llamadas a la API. Para obtener más información sobre las métricas de centralización, consulte. Métricas y dimensiones de centralización