Centralisation des journaux inter-comptes et inter-régions - Amazon CloudWatch Logs
Concepts de centralisation des donnéesConfiguration de la centralisation des journauxRègles de centralisation de surveillance et de résolution des problèmes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Centralisation des journaux inter-comptes et inter-régions

La centralisation des données Amazon CloudWatch Logs permet de AWS Organizations collecter les données de journal de plusieurs comptes membres dans un seul référentiel de données en utilisant des règles de centralisation entre comptes et entre régions. Vous définissez les règles qui répliquent automatiquement les données de journal de plusieurs comptes et Régions AWS dans un compte centralisé au sein de votre organisation. Cette fonctionnalité rationalise la consolidation des journaux pour une surveillance, une analyse et une conformité centralisées améliorées sur l'ensemble de votre AWS infrastructure.

CloudWatch La centralisation des données des journaux offre une flexibilité de configuration répondant aux exigences opérationnelles et de sécurité, telles que la possibilité de configurer une région de sauvegarde lors de la configuration des règles dans le compte de destination afin de garantir une résilience accrue. En outre, vous avez un contrôle total sur le comportement de chiffrement des groupes de journaux copiés à partir de comptes sources afin de gérer les données initialement chiffrées avec des clés KMS gérées par le client.

Note

La fonctionnalité de centralisation CloudWatch des journaux traite uniquement les nouvelles données de journal qui arrivent dans les comptes sources une fois que vous avez créé la règle de centralisation. Les données des journaux historiques (journaux qui existaient avant la création des règles) ne sont pas centralisées.

Concepts de centralisation des données

Avant de commencer à utiliser la centralisation des données des CloudWatch journaux, familiarisez-vous avec les concepts suivants :

Règle de centralisation

Configuration qui définit la manière dont les données de journal des comptes et des régions sources sont répliquées vers un compte et une région de destination. Les règles spécifient les critères de source et les paramètres de destination.

Compte source

Le AWS compte d'où proviennent les données du journal. Les événements du journal des comptes sources sont répliqués sur le compte de destination en fonction des règles de centralisation que vous définissez.

Compte de destination

Le AWS compte de destination où les données du journal répliquées sont stockées. Ce compte sert d'emplacement centralisé pour l'analyse et la surveillance des journaux.

Région de sauvegarde

Région secondaire facultative du compte de destination dans laquelle les données du journal peuvent être répliquées à des fins de résilience et de reprise après sinistre accrues.

Chiffrement dans CloudWatch les journaux

Les données des groupes de journaux sont toujours cryptées dans CloudWatch Logs. Par défaut, CloudWatch Logs utilise le chiffrement côté serveur avec le mode AES-GCM (Advanced Encryption Standard Galois/Counter Mode) 256 bits pour chiffrer les données des journaux au repos. Vous pouvez également utiliser le service de gestion des AWS clés pour ce chiffrement. Dans ce cas, le chiffrement est effectué à l'aide d'une clé KMS AWS détenue ou d'une clé KMS gérée par le client. Le chiffrement par clé AWS KMS est activé au niveau du groupe de journaux, en associant une clé KMS à un groupe de journaux, soit lorsque vous créez le groupe de journaux, soit après son existence. Dès lors que vous associez une clé KMS à un groupe de journaux, toutes les données nouvellement ingérées pour le groupe de journaux sont chiffrées à l'aide de cette clé. Ces données sont stockées sous forme cryptée pendant toute la durée de conservation. CloudWatch Logs déchiffre ces données chaque fois qu'elles sont demandées. CloudWatch Les journaux doivent disposer d'autorisations pour la clé KMS chaque fois que des données chiffrées sont demandées, par exemple lorsqu'une règle de centralisation des journaux est exécutée sur un compte source. Si vous utilisez des clés KMS gérées par le client, mettez à jour les clés KMS associées aux groupes de journaux source et de destination avec la baliseLogsManaged = true. Pour plus d'informations, consultez la section sur les clés AWS KMS dans le guide du développeur du service de gestion des AWS clés

Configuration de la centralisation des journaux

Pour configurer la centralisation CloudWatch des journaux, vous devez configurer des règles de centralisation qui définissent la manière dont les données des journaux circulent des groupes de journaux des comptes source vers les groupes de journaux de votre compte de destination.

Une fois que la règle de centralisation est activée et que les événements du journal sont répliqués sur le compte de destination, vous pouvez créer des filtres de métriques, d'abonnement et de compte sur des groupes de journaux centralisés dotés de fonctionnalités de filtrage améliorées. Ces filtres peuvent cibler les événements du journal provenant de comptes source et de régions spécifiques, et peuvent émettre des informations sur le compte source et la région sous forme de dimensions métriques. Pour de plus amples informations, veuillez consulter Création de métriques à partir d'événements du journal à l'aide de filtres.

Conditions préalables

  • AWS Organizations doit être configuré et les comptes source et de destination doivent tous deux appartenir à l'organisation.

  • L'accès sécurisé doit être activé pour CloudWatch le compte de gestion et le compte de destination afin de fournir un accès aux données du journal.

    Note

    Il est recommandé d'activer l'accès sécurisé via la console, qui crée automatiquement le rôle lié au service (SLR) requis. Si l'accès sécurisé est activé par d'autres méthodes, le rôle lié au service devra être créé séparément.

Création d'une règle de centralisation

Utilisez la procédure suivante pour créer une règle de centralisation qui réplique les données de journal des comptes source vers votre compte de destination.

Pour créer une règle de centralisation

  1. Accédez à la CloudWatch console dans le compte de gestion ou d'administrateur délégué de l'organisation.

  2. Cliquez sur Paramètres.

  3. Accédez à l'onglet Organisation.

  4. Choisissez Configurer la règle.

  5. Spécifiez les détails de la source en définissant les champs suivants, puis choisissez Next :

    1. Nom de la règle de centralisation : entrez un nom unique pour la règle de centralisation.

    2. Comptes sources : définissez les critères de sélection des sources pour sélectionner les comptes à partir desquels les données de télémétrie seront centralisées. Les critères de sélection peuvent inclure :

      • Liste des comptes des membres de l'organisation

      • Liste des unités organisationnelles de l'organisation

      • L'ensemble de l'organisation

      Vous pouvez fournir les critères de sélection selon deux modes :

      • Builder : une expérience basée sur les clics pour générer les critères de sélection des sources

      • Éditeur : zone de texte libre pour fournir les critères de sélection de la source

      Syntaxe prise en charge pour les critères de sélection des sources :

      • Clés prises en charge : OrganizationId OrganizationUnitId | AccountId | | *

      • Opérateurs pris en charge : = | IN | OR

    3. Régions sources : sélectionnez une liste de régions pour rechercher les données de télémétrie à centraliser.

  6. Spécifiez les détails de la destination en définissant les champs suivants, puis choisissez Next :

    1. Compte de destination : sélectionnez un compte dans l'organisation qui sert de destination centrale pour les données de télémétrie.

    2. Région de destination : sélectionnez une région principale qui stocke une copie des données de télémétrie centralisées.

    3. Région de sauvegarde : sélectionnez éventuellement une région qui stocke une deuxième copie des données de télémétrie centralisées.

  7. Spécifiez les données de télémétrie en définissant les champs suivants, puis choisissez Next :

    1. Groupes de journaux : choisissez l'une des options suivantes :

      • Tous les groupes de journaux : centralisez les journaux de tous les groupes de journaux dans les comptes sources.

      • Filtrer les groupes de journaux : centralisez les journaux à partir d'un sous-ensemble de groupes de journaux dans les comptes sources, en fonction des critères de sélection d'un groupe de journaux. Vous pouvez fournir les critères de sélection selon deux modes :

        • Générateur : une expérience basée sur les clics pour générer les critères de sélection des groupes de journaux

        • Editeur : zone de texte libre fournissant les critères de sélection des groupes de journaux

        Syntaxe prise en charge pour les critères de sélection des groupes de journaux :

        • Clés prises en charge : LogGroupName | *

        • Opérateurs pris en charge : = | ! = | DANS | PAS DANS | ET | OU | COMME | PAS COMME

    2. Groupe de journaux chiffrés KMS

      Important

      CloudWatch les règles de centralisation ne pourront pas transmettre les journaux du compte source aux groupes de journaux de destination si la clé KMS fournie dans la règle de centralisation n'autorise pas CloudWatch les journaux à l'utiliser. Pour de plus amples informations, veuillez consulter Étape 2 : Définition des autorisations sur la clé KMS.

      Choisissez l’une des options suivantes :

      • Ne centralisez pas les groupes de journaux chiffrés à l'aide de clés KMS gérées par le client : ignorez la centralisation des événements de journal à partir des groupes de journaux sources chiffrés à l'aide de clés KMS gérées par le client.

      • Centralisez les groupes de journaux chiffrés avec des clés KMS gérées par le client dans le compte de destination à l'aide d'une clé KMS AWS gérée : centralisez les événements de journal des groupes de journaux source chiffrés avec des clés KMS gérées par le client dans des groupes de journaux de destination qui ne sont pas associés aux clés KMS gérées par le client mais utilisent plutôt une clé KMS AWS gérée.

        Lorsque ce paramètre est sélectionné, vous devez également définir les paramètres suivants :

        • ARN de la clé de chiffrement de destination : ARN de la clé KMS appartenant au compte de destination et à la région de destination principale, à associer aux groupes de journaux de destination nouvellement créés.

        • ARN de la clé de chiffrement de destination de sauvegarde (facultatif) : ARN de la clé KMS appartenant au compte de destination et à la région de destination de sauvegarde, à associer aux groupes de journaux de destination nouvellement créés.

        Note

        Notez que ce paramètre s'applique uniquement lorsque le groupe de journaux source est chiffré à l'aide de clés KMS gérées par le client et ne s'applique qu'aux groupes de journaux nouvellement créés dans le compte de destination.

  8. Passez en revue la règle de centralisation, apportez éventuellement des modifications de dernière minute et choisissez Créer une politique de centralisation.

Modifier une règle de centralisation

Utilisez la procédure suivante pour modifier une règle de centralisation existante.

Pour modifier une règle de centralisation

  1. Accédez à la CloudWatch console dans le compte de gestion ou d'administrateur délégué de l'organisation.

  2. Cliquez sur Paramètres.

  3. Accédez à l'onglet Organisation.

  4. Choisissez Gérer les règles.

  5. Sélectionnez la règle à mettre à jour, puis choisissez Modifier.

  6. Mettez à jour la configuration des règles selon vos besoins, en choisissant Next pour passer à chaque étape.

  7. À l'étape 4, Révision et configuration, choisissez Mettre à jour la politique de centralisation.

Afficher une règle de centralisation

Utilisez la procédure suivante pour afficher les détails d'une règle de centralisation existante.

Pour consulter une règle de centralisation

  1. Accédez à la CloudWatch console dans le compte de gestion ou d'administrateur délégué de l'organisation.

  2. Cliquez sur Paramètres.

  3. Accédez à l'onglet Organisation.

  4. Choisissez Gérer les règles.

  5. Consultez la liste de toutes les règles de centralisation existantes et choisissez un nom de règle spécifique pour en afficher les détails.

Supprimer une règle de centralisation

Pour supprimer une règle de centralisation existante, procédez comme suit.

Pour supprimer une règle de centralisation

  1. Accédez à la CloudWatch console dans le compte de gestion ou d'administrateur délégué de l'organisation.

  2. Cliquez sur Paramètres.

  3. Accédez à l'onglet Organisation.

  4. Choisissez Gérer les règles.

  5. Sélectionnez la règle à supprimer, puis cliquez sur Supprimer.

  6. Pour confirmer la suppression, choisissez Supprimer.

Règles de centralisation de surveillance et de résolution des problèmes

Vous pouvez surveiller l'état et les performances de vos règles de centralisation à l'aide CloudWatch des métriques, de la console CloudWatch Logs et AWS CloudTrail des journaux. Cela vous permet de vous assurer que les données du journal sont correctement répliquées et d'identifier tout problème lié à votre configuration de centralisation.

CloudWatch Logs fournit :

  1. État de santé des règles par règle de centralisation

    1. Cliquez sur Paramètres.

    2. Accédez à l'onglet Organisation.

    3. Choisissez Gérer les règles.

  2. Enregistre les appels d'API avec AWS CloudTrail

  3. CloudWatch publie également des métriques pour la centralisation, notamment les événements de journal répliqués, les erreurs et la régulation. Pour plus d'informations sur ces mesures et leurs dimensions, consultezMesures et dimensions de centralisation.

État de santé des règles de centralisation

Chaque règle de centralisation possède un état de santé qui indique si elle fonctionne correctement. Vous pouvez vérifier l'état des règles via la console ou par programmation à l'aide de l'API.

Les états d'intégrité des règles incluent :

  • HEALTHY: La règle fonctionne normalement et réplique les données du journal telles que configurées

  • UNHEALTHY: la règle a rencontré des problèmes et ne reproduit peut-être pas correctement les données

  • PROVISIONING: La centralisation de l'organisation est en cours de mise en place.

Lorsqu'une règle est marquée comme INSTABLE, le FailureReason champ fournit des détails sur le problème spécifique à résoudre.

Surveillance des appels d'API de centralisation avec AWS CloudTrail

AWS CloudTrail enregistre les appels d'API effectués vers le service de centralisation, ce qui vous permet de suivre les modifications de configuration et de résoudre les problèmes liés aux comptes membres de votre compte. AWS Organizations

Les principaux CloudTrail événements liés à la centralisation sont les suivants :

  • CreateCentralizationRuleForOrganization: Lorsqu'une nouvelle règle de centralisation est créée

  • UpdateCentralizationRuleForOrganization: Lorsqu'une règle existante est modifiée

  • DeleteCentralizationRuleForOrganization: Lorsqu'une règle est supprimée

  • GetCentralizationRuleForOrganization: Lorsque les détails des règles sont récupérés

  • ListCentralizationRulesForOrganization: Lorsque les règles sont répertoriées

Vous pouvez utiliser CloudTrail les journaux pour auditer les modifications de configuration de la centralisation et les corréler aux problèmes de performances ou aux échecs de réplication.

Recommandations de surveillance

Pour garantir le bon fonctionnement de la centralisation, nous vous recommandons de configurer des CloudWatch alarmes sur les principaux indicateurs de centralisation que nous vendons à CloudWatch Metrics. Cette surveillance proactive vous aide à détecter les problèmes à un stade précoce et à maintenir une centralisation fiable des journaux au sein de votre organisation.

Les principaux indicateurs à surveiller sont les suivants :

  • IncomingCopiedBytes: Surveillez le volume de données de journal répliquées avec succès sur votre compte de destination. Une baisse soudaine ou l'absence de cette métrique peut indiquer des problèmes de centralisation.

  • CentralizationError: Configurez des alarmes en cas d'erreur dans le processus de centralisation afin d'identifier et de résoudre rapidement les problèmes.

  • CentralizationThrottled: surveillez les événements de limitation susceptibles d'avoir un impact sur les performances de réplication des journaux.

Pour une liste complète des mesures de centralisation disponibles et de leurs dimensions, voirMesures et dimensions de centralisation.

Si les journaux ne sont pas centralisés comme prévu, passez en revue les scénarios courants suivants qui peuvent empêcher la centralisation des journaux.

Données du journal historique

La fonctionnalité de centralisation CloudWatch des journaux traite uniquement les nouvelles données de journal qui arrivent dans les comptes sources une fois que vous avez créé la règle de centralisation. Les données des journaux historiques (journaux qui existaient avant la création des règles) ne sont pas centralisées.

Autorisations clés KMS

Les règles de centralisation ne parviennent pas à transmettre les journaux du compte source aux groupes de journaux de destination si la clé KMS fournie dans la règle de centralisation n'autorise pas CloudWatch Logs à l'utiliser. Assurez-vous que la politique des clés KMS accorde les autorisations nécessaires aux CloudWatch journaux. Pour de plus amples informations, veuillez consulter Étape 2 : Définition des autorisations sur la clé KMS.

Configuration des clés KMS gérées par le client

Si vous avez sélectionné Ne pas centraliser les groupes de journaux chiffrés avec des clés KMS gérées par le client lors de la création des règles, les événements de journal provenant des groupes de journaux source chiffrés à l'aide de clés KMS gérées par le client seront ignorés et non centralisés.

Non-concordance du chiffrement de destination

Si le groupe de journaux de destination existe déjà avec une configuration de chiffrement KMS différente de celle spécifiée par la règle de centralisation et que la résolution du conflit est définie sur SKIP, les enregistrements seront supprimés et une DestinationEncryptionMismatch erreur sera émise. Par exemple, cela se produit lorsque la destination dispose d'un chiffrement par défaut mais que la règle spécifie une clé KMS gérée par le client.

Accès sécurisé non activé

L'accès sécurisé doit être activé AWS Organizations pour CloudWatch le compte de gestion et le compte de destination afin de fournir un accès aux données du journal.

Critères de sélection de la source

Vérifiez que les critères de sélection des sources de votre règle de centralisation sont correctement configurés :

  • Comptes et régions : assurez-vous que les comptes sources et les régions d'où proviennent les journaux sont inclus dans la règle. Les groupes de journaux provenant de comptes ou de régions non spécifiés dans la règle ne seront pas centralisés.

  • Filtres de groupes de journaux : si vous avez configuré des filtres de groupes de journaux, seuls les groupes de journaux correspondant aux critères spécifiés seront centralisés. Vérifiez que vos critères de sélection des groupes de journaux incluent les groupes de journaux que vous souhaitez centraliser.

  • Appartenance à l'organisation : les comptes source et de destination doivent appartenir à la même AWS Organizations organisation. Les comptes extérieurs à l'organisation ne peuvent pas participer à la centralisation.

Limite de quota de groupes de journaux atteinte

Si le compte de destination a atteint son quota de groupes de journaux, il est impossible de créer de nouveaux groupes de journaux à des fins de centralisation. Vérifiez que le compte de destination dispose d'un quota suffisant pour accueillir les groupes de journaux centralisés provenant de tous les comptes sources. Vous pouvez demander une augmentation de quota si nécessaire.

La limite de longueur du nom du flux de log est dépassée

Les noms de flux de journaux sont soumis à des restrictions de longueur maximale. Lorsque la centralisation réplique les flux de journal vers le compte de destination, un suffixe est ajouté au nom du flux de journal. Si le nom du flux de journal obtenu dépasse la longueur maximale autorisée, les enregistrements seront supprimés et une InvalidLogStream erreur sera envoyée au compte client.

État de santé des règles

Vérifiez l'état de santé de la règle de centralisation dans la console ou à l'aide de l'GetCentralizationRuleForOrganizationAPI. Si la règle est marquée comme étant INSTABLE, consultez le FailureReason champ pour obtenir des informations spécifiques sur le problème.

Pour diagnostiquer les problèmes de centralisation, vérifiez l'état de santé des règles de centralisation dans la console, vérifiez les CloudWatch métriques pour détecter les erreurs et les limitations, et examinez les AWS CloudTrail journaux pour détecter les échecs d'appels d'API. Pour plus d'informations sur les métriques de centralisation, consultezMesures et dimensions de centralisation.