Utilisation des règles d’activation de la télémétrie - Amazon CloudWatch
Intégration des règles d'activation avec AWS ConfigComprendre le comportement des règles d’activationCréation de règles d’activation de télémétrieGestion des règles de télémétrieRésolution des problèmes de configuration de la télémétrie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des règles d’activation de la télémétrie

Vous pouvez créer des règles d'activation de la télémétrie afin de configurer automatiquement la collecte de données télémétriques pour vos ressources. AWS Les règles vous aident à normaliser la collecte de données de télémétrie au sein de votre organisation ou de vos comptes et à garantir une couverture de surveillance cohérente.

Intégration des règles d'activation avec AWS Config

CloudWatch l'audit et la configuration de la télémétrie s'intègrent AWS Config pour découvrir automatiquement les ressources qui correspondent à votre règle d'activation et les appliquer à votre collecte de données de télémétrie. Lorsque vous créez une règle d’activation, la configuration de télémétrie crée un enregistreur AWS Config correspondant. Cet enregistreur comprend des éléments de configuration pour les types de ressources spécifiques que vous définissez dans la règle d’activation.

Amazon CloudWatch utilise un enregistreur lié au service AWS Config Internal. Ces CloudWatch utilisations ne vous sont pas CIs facturées dans le cadre des enregistreurs liés au service interne.

Note

Lorsque vous créez une règle d'activation, nous découvrons les ressources non conformes (celles pour lesquelles la télémétrie n'est pas activée) via les éléments de configuration de AWS configuration (CIs) avant de les activer en fonction de l'étendue de votre règle d'activation. La découverte initiale des ressources peut prendre jusqu'à 24 heures dans certains cas.

La configuration de télémétrie permet de : AWS Config

  • Détecter les ressources au sein de votre organisation ou de vos comptes

  • Suivre les modifications de configuration de télémétrie

Comprendre le comportement des règles d’activation

La configuration de la télémétrie suit des modèles spécifiques lors de l’évaluation et de l’application des règles :

Les règles d’activation sont évaluées selon un modèle hiérarchique. Les règles organisationnelles sont d'abord évaluées, puis les règles qui s'appliquent aux unités organisationnelles (OUs), et enfin les règles qui s'appliquent aux comptes individuels. Les règles au niveau organisationnel fournissent les données de télémétrie de base requises pour votre organisation. Les règles au niveau de l’unité organisationnelle et des comptes peuvent collecter des données de télémétrie supplémentaires, mais elles ne peuvent pas collecter moins de données de télémétrie. Si une telle règle est créée, elle entraînera un conflit de règles.

Dans chaque portée (organisation, unité organisationnelle ou compte), les règles doivent conserver leur caractère unique en fonction de leur type de ressource, de leur type de télémétrie et de leur configuration de destination. Les règles en double déclenchent une exception de conflit. Si la même règle existe dans des domaines différents, par exemple une règle au niveau de l'organisation pour les journaux de flux VPC et une règle CloudWatch au niveau de l'unité d'organisation pour les journaux de flux VPC, la règle située au niveau supérieur de la hiérarchie est appliquée. Toutefois, s’il existe plusieurs règles en conflit, aucune des règles n’est appliquée.

Pour les journaux de flux VPC, Configuration de la télémétrie crée uniquement de nouveaux journaux de flux pour les ressources qui correspondent à la portée de la règle. Il ne supprime pas et n’affecte pas les journaux de flux VPC précédemment établis, même s’ils diffèrent des paramètres de règle actuels. Pour les CloudWatch journaux, les groupes de journaux existants sont conservés à condition qu'ils correspondent au modèle de ressources.

Si vous mettez à jour une règle d’activation, seules les nouvelles ressources qui correspondent à la règle adoptent la configuration mise à jour, les paramètres de télémétrie existants restent inchangés pour les ressources existantes. Si une ressource devient non conforme à une règle existante en raison de la suppression manuelle de données de télémétrie, la nouvelle règle d’activation est adoptée une fois que la ressource est remise en conformité.

Création de règles d’activation de télémétrie

Lorsque vous créez une règle d’activation de télémétrie, vous spécifiez :

  • La portée de la règle (organisation, unité organisationnelle ou compte)

  • Les types de ressources auxquels la règle s’applique

  • Les types de télémétrie à activer (métriques, journaux ou traces)

  • Les balises facultatives pour filtrer les ressources concernées par la règle

Pour créer une règle d’activation de télémétrie

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, sélectionnez Configuration de la télémétrie.

  3. Sélectionnez l’onglet Règles d’activation.

  4. Choisissez Ajouter une règle.

  5. Pour Nom de la règle, entrez un nom pour votre règle.

  6. Pour Portée de la règle, sélectionnez l’une des options suivantes :

    • Organisation - La règle s'applique à l'ensemble de votre organisation AWS Organizations

    • Unité organisationnelle : la règle s’applique à une unité organisationnelle spécifique

    • Compte : la règle s’applique à un seul compte

  7. Pour Source de données, sélectionnez le AWS service à configurer.

  8. Pour Type de télémétrie, sélectionnez les types de télémétrie à activer.

  9. Facultatif : ajoutez des balises pour filtrer les ressources concernées par la règle.

  10. Choisissez Créer une règle.

Gestion des règles de télémétrie

Après avoir créé des règles, vous pouvez les modifier ou les supprimer. Vous pouvez également afficher les ressources concernées par chaque règle et surveiller la conformité aux règles.

Pour gérer une règle existante

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, sélectionnez Configuration de la télémétrie.

  3. Sélectionnez l’onglet Règles d’activation.

  4. Sélectionnez une règle pour afficher ses détails ou choisissez l’une des actions suivantes :

    • Modifier : modifier les paramètres de la règle

    • Supprimer : supprimer la règle

Résolution des problèmes de configuration de la télémétrie

Cette section décrit les problèmes courants que vous pouvez rencontrer lors de l’utilisation de la configuration de télémétrie et explique comment les résoudre.

Conflits de règles et résolution

Lorsque plusieurs règles s’appliquent à la même ressource, la configuration de télémétrie résout les conflits en utilisant les priorités suivantes :

  1. Les règles au niveau de l’organisation ont priorité sur les règles au niveau du compte

  2. Les correspondances de balises plus spécifiques ont priorité sur les règles générales

  3. S’il existe plusieurs règles en conflit, aucune des règles n’est appliquée. Vous devez d’abord résoudre les conflits.

Problèmes courants

Ressources n’apparaissant pas dans la découverte

Vérifiez que :

  • Le type de ressource est pris en charge

  • AWS L'enregistreur de configuration est activé

  • Vous disposez des autorisations IAM appropriées

Règles ne s’appliquant pas automatiquement

Vérifier :

  • Configuration de la portée des règles

  • Filtres de balises

Note

Lorsque vous créez une règle d'activation, nous découvrons les ressources non conformes (celles pour lesquelles la télémétrie n'est pas activée) via les éléments de configuration de AWS configuration (CIs) avant de les activer en fonction de l'étendue de votre règle d'activation. La découverte initiale des ressources peut prendre jusqu'à 24 heures dans certains cas.

Considérations spécifiques à un service

Journaux de flux Amazon VPC

Lors de la création de journaux de flux :

  • Utilise le modèle par défaut/aws/vpc/vpc-id si aucun n'est spécifié

  • Les journaux de flux existants créés par le client sont conservés

  • Les mises à jour des règles n’affectent que les nouveaux journaux de flux

  • Vous pouvez utiliser <vpc-id>des <account-id>macros pour diviser les groupes de journaux.

  • CloudWatch ne crée pas de journaux de flux pour ceux VPCs qui ingèrent déjà des journaux dans Logs CloudWatch

Journalisation du plan de contrôle Amazon EKS

Lorsque vous activez la journalisation du plan de contrôle :

  • <cluster-name>Utilise le modèle de groupe de CloudWatch journaux par défaut /aws/eks/ /cluster. Amazon EKS crée automatiquement un groupe de journaux par cluster.

  • Les mises à jour des règles concernent uniquement les nouveaux clusters ou uniquement les clusters pour lesquels les types de journaux délimités ne sont pas activés.

  • Peut activer des types de journaux spécifiques : api, audit, authentificateur, ControllerManager, planificateur

AWS Journaux ACL Web WAF

Lors de la création de journaux WAF :

  • Utilise le modèle de groupe de CloudWatch journaux par défaut et est toujours préfixé par - aws-waf-logs

  • Les mises à jour des règles concernent uniquement les nouveaux sites Web ACLs ou les sites Web existants ACLs dont la journalisation dans les CloudWatch journaux n'est pas activée

  • CloudWatch n'active pas les journaux pour le Web ACLs qui ingèrent déjà des journaux dans Logs CloudWatch

Journaux d'Amazon Route 53 Resolver

Lorsque vous activez la journalisation des requêtes du résolveur :

  • Utilise le modèle de groupe de CloudWatch journaux par défaut /aws/route53resolver si aucun n'est spécifié

  • CloudWatch ne crée pas de journaux de requêtes de résolution pour ceux VPCs qui ingèrent déjà des journaux dans Logs CloudWatch

  • Les règles d'activation configurent la journalisation des requêtes Route 53 pour votre compte VPCs en fonction de l'étendue des règles. CloudWatch ne détecte pas les profils Route 53 et les configurations associées.

Journaux d'accès NLB

Lorsque vous activez les journaux d'accès :

  • Utilise le modèle de groupe de CloudWatch journaux par défaut avec le préfixe/aws/nlb/access-logs si aucun n'est spécifié

  • CloudWatch n'active pas les livraisons de journaux pour ceux NLBs qui ingèrent déjà des journaux dans Logs CloudWatch

Télémétrie Amazon Bedrock AgentCore

  • Activez à la fois les journaux et les traces émis par toutes les AgentCore primitives Bedrock disponibles telles que Runtime, les outils de navigateur, les outils d'interprétation de code, etc. Suivez l'expérience de la console de configuration de la télémétrie pour créer une règle de livraison de journaux, puis créez une règle de livraison de traces.

  • Lors de la création d'une règle de livraison de traces, Transaction Search sera activée et une politique d'autorisation supplémentaire sera créée pour permettre à CloudWatch X-Ray d'envoyer un suivi corrélé au groupe de journaux géré de votre compte. En outre, une politique de ressources X-Ray sera créée pour permettre aux AgentCore primitives Bedrock actuelles et nouvelles de fournir des traces à votre compte.

CloudTrail Journaux utilisant un canal lié au service

Lorsque vous activez CloudTrail les journaux à l'aide du chemin SLC :

  • Utilise les groupes de CloudWatch journaux gérés aws/cloudtrail/ <event-types>

  • Les configurations existantes de transfert de CloudTrail traces créées par le client sont préservées

  • CloudWatch Les règles d'activation utilisent uniquement le canal lié au service pour ingérer les journaux

  • Les événements utilisent la période de rétention configurée pour le groupe de journaux

  • Pour les CloudTrail événements, dans le cadre de l'assistant d'activation, vous pouvez choisir au moins un type d'événement auquel l'ingestion doit être effectuée. CloudWatch

  • Si les événements sont transmis avec un retard (indiqué par le motif de l'addendum DELIVERY_DELAY) et que vous avez préalablement configuré une période de conservation plus courte, les événements différés ne seront peut-être disponibles que pendant la durée de la période de conservation plus courte.

  • Important : pour les déploiements multirégionaux : les règles CloudWatch d'activation nécessitent une configuration distincte dans chaque AWS région et ne sont pas encore disponibles dans toutes les régions. Pour une couverture multirégionale complète, envisagez de continuer à utiliser les CloudTrail sentiers où se déroulent les événements CloudWatch jusqu'à ce que la disponibilité régionale augmente.