Centralizzazione dei log per tutti gli account e tutte le Regioni - CloudWatch Registri Amazon
Concetti di centralizzazione dei datiConfigurazione della centralizzazione dei logMonitoraggio e risoluzione dei problemi delle regole di centralizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Centralizzazione dei log per tutti gli account e tutte le Regioni

La centralizzazione dei dati di Amazon CloudWatch Logs consente di AWS Organizations raccogliere dati di log da più account membri in un unico repository di dati utilizzando regole di centralizzazione tra account e regioni. È l'utente a definire le regole che replicano automaticamente i dati di log da più account e Regioni AWS in un account centralizzato all'interno dell'organizzazione. Questa funzionalità semplifica il consolidamento dei log per migliorare il monitoraggio, l'analisi e la conformità centralizzati sull'intera infrastruttura. AWS

CloudWatch La centralizzazione dei dati dei registri offre flessibilità di configurazione per soddisfare i requisiti operativi e di sicurezza, come la possibilità di configurare un'area di backup durante l'impostazione delle regole all'interno dell'account di destinazione per garantire una maggiore resilienza. Inoltre, hai il pieno controllo sul comportamento di crittografia dei gruppi di log copiati dagli account di origine per gestire i dati originariamente crittografati con chiavi KMS gestite dal cliente.

Nota

La funzionalità di centralizzazione dei CloudWatch registri elabora solo i nuovi dati di registro che arrivano negli account di origine dopo la creazione della regola di centralizzazione. I dati di log storici (registri che esistevano prima della creazione delle regole) non sono centralizzati.

Concetti di centralizzazione dei dati

Prima di iniziare a utilizzare la centralizzazione dei dati di CloudWatch Logs, acquisisci familiarità con i seguenti concetti:

Regola di centralizzazione

Una configurazione che definisce in che modo i dati di registro provenienti dagli account e dalle regioni di origine vengono replicati su un account e una regione di destinazione. Le regole specificano i criteri di origine e le impostazioni di destinazione.

Account di origine

L' AWS account da cui provengono i dati di registro. Gli eventi di registro degli account di origine vengono replicati nell'account di destinazione in base alle regole di centralizzazione definite dall'utente.

Account di destinazione

L' AWS account di destinazione in cui vengono archiviati i dati di registro replicati. Questo account funge da posizione centralizzata per l'analisi e il monitoraggio dei log.

Regione di Backup

Un'area secondaria opzionale all'interno dell'account di destinazione in cui è possibile replicare i dati di registro per una maggiore resilienza e scopi di disaster recovery.

Crittografia nei registri CloudWatch

I dati dei gruppi di log sono sempre crittografati nei CloudWatch registri. Per impostazione predefinita, CloudWatch Logs utilizza la crittografia lato server con la Galois/Counter modalità Advanced Encryption Standard Mode (AES-GCM) a 256 bit per crittografare i dati di registro inattivi. In alternativa, è possibile utilizzare il servizio di gestione delle chiavi per questa crittografia. AWS In tal caso, la crittografia viene eseguita utilizzando una chiave KMS AWS di proprietà o una chiave KMS gestita dal cliente. La crittografia con chiave KMS tramite AWS KMS è abilitata a livello di gruppo di log, associando una chiave KMS a un gruppo di log, al momento della creazione del gruppo di log o dopo che esiste. Dopo aver associato una chiave KMS a un gruppo di log, tutti i nuovi dati importati per il gruppo di log saranno crittografati tramite questa chiave. Questi dati vengono archiviati in formato crittografato per tutto il periodo di conservazione. CloudWatch I registri decrittografano questi dati ogni volta che vengono richiesti. CloudWatch I log devono disporre delle autorizzazioni per la chiave KMS ogni volta che vengono richiesti dati crittografati, ad esempio quando una regola di centralizzazione dei log viene eseguita su un account di origine. Se utilizzi chiavi KMS gestite dal cliente, aggiorna le chiavi KMS associate ai gruppi di log di origine e destinazione con il tag. LogsManaged = true Per ulteriori informazioni, consulta le chiavi AWS KMS nella Guida per gli sviluppatori del servizio di gestione delle AWS chiavi

Configurazione della centralizzazione dei log

Per configurare CloudWatch Logs Centralization, è necessario configurare le regole di centralizzazione che definiscono il modo in cui i dati di log fluiscono dai gruppi di log negli account di origine ai gruppi di log nell'account di destinazione.

Una volta abilitata la regola di centralizzazione e replicati gli eventi di registro sull'account di destinazione, è possibile creare filtri di metriche, sottoscrizioni e account su gruppi di log centralizzati con funzionalità di filtraggio avanzate. Questi filtri possono indirizzare gli eventi di registro provenienti da account e regioni di origine specifici e possono emettere informazioni sull'account di origine e sulla regione come dimensioni metriche. Per ulteriori informazioni, consulta Creazione di parametri da log eventi mediante filtri.

Prerequisiti

  • AWS Organizations devono essere configurati e gli account di origine e di destinazione devono appartenere entrambi all'organizzazione.

  • L'accesso affidabile deve essere abilitato per CloudWatch l'account di gestione e l'account di destinazione in modo da consentire l'accesso ai dati di registro.

    Nota

    Si consiglia di abilitare l'accesso affidabile tramite la console, che crea automaticamente il ruolo collegato al servizio (SLR) richiesto. Se l'accesso affidabile è abilitato tramite altri metodi, il ruolo collegato al servizio dovrà essere creato separatamente.

Creazione di una regola di centralizzazione

Utilizzare la procedura seguente per creare una regola di centralizzazione che replica i dati di registro dagli account di origine all'account di destinazione.

Per creare una regola di centralizzazione

  1. Accedi alla CloudWatch console nell'account di gestione o amministratore delegato dell'organizzazione.

  2. Seleziona Impostazioni.

  3. Vai alla scheda Organizzazione.

  4. Scegli Configura regola.

  5. Specificate i dettagli della fonte impostando i seguenti campi, quindi scegliete Avanti:

    1. Nome della regola di centralizzazione: inserisci un nome univoco per la regola di centralizzazione.

    2. Account di origine: definisci i criteri di selezione della fonte per scegliere gli account da cui centralizzare i dati di telemetria. I criteri di selezione possono includere:

      • Un elenco degli account dei membri dell'organizzazione

      • Un elenco delle unità organizzative dell'organizzazione

      • L'intera organizzazione

      È possibile fornire i criteri di selezione in due modalità:

      • Builder: un'esperienza basata su un clic per generare i criteri di selezione della fonte

      • Editor: una casella di testo in formato libero per fornire i criteri di selezione della fonte

      Sintassi supportata per i criteri di selezione della fonte:

      • Chiavi supportate: OrganizationId | OrganizationUnitId | AccountId | *

      • Operatori supportati: = | IN | OR

    3. Regioni di origine: seleziona un elenco di regioni per cercare i dati di telemetria da centralizzare.

  6. Specificate i dettagli della destinazione impostando i seguenti campi, quindi scegliete Avanti:

    1. Account di destinazione: seleziona un account nell'organizzazione che funge da destinazione centrale per i dati di telemetria.

    2. Regione di destinazione: seleziona un'area principale che memorizza una copia dei dati di telemetria centralizzati.

    3. Area di backup: seleziona facoltativamente una regione in cui archiviare una seconda copia dei dati di telemetria centralizzati.

  7. Specificate i dati di telemetria impostando i seguenti campi, quindi scegliete Avanti:

    1. Gruppi di log: scegli una delle seguenti opzioni:

      • Tutti i gruppi di log: centralizza i log di tutti i gruppi di log negli account di origine.

      • Filtra gruppo di log: centralizza i log di un sottoinsieme di gruppi di log negli account di origine, in base ai criteri di selezione dei gruppi di log. È possibile fornire i criteri di selezione in due modalità:

        • Builder: un'esperienza basata su clic per generare i criteri di selezione dei gruppi di log

        • Editor: una casella di testo in formato libero per fornire i criteri di selezione dei gruppi di log

        Sintassi supportata per i criteri di selezione dei gruppi di log:

        • Chiavi supportate: LogGroupName | *

        • Operatori supportati: = |! = | IN | NON IN | E | O | MI PIACE | NON MI PIACE

    2. Gruppo di log crittografato KMS

      Importante

      CloudWatch le regole di centralizzazione non riusciranno a consegnare i log dall'account di origine ai gruppi di log di destinazione se la chiave KMS fornita nella regola di centralizzazione non consente CloudWatch a Logs di utilizzarla. Per ulteriori informazioni, consulta Fase 2: Impostazione delle autorizzazioni sulla chiave KMS.

      Scegli una delle seguenti opzioni:

      • Non centralizzate i gruppi di log crittografati con chiavi KMS gestite dal cliente: ignorate la centralizzazione degli eventi di registro dai gruppi di log di origine crittografati con le chiavi KMS gestite dal cliente.

      • Centralizza i gruppi di registro crittografati con chiavi KMS gestite dal cliente nell'account di destinazione con una chiave KMS AWS gestita: centralizza gli eventi di registro dai gruppi di registro di origine crittografati con chiavi KMS gestite dal cliente nei gruppi di registro di destinazione che non sono associati alle chiavi KMS gestite dal cliente, ma utilizza invece una chiave KMS gestita dal cliente. AWS

        Quando questa impostazione è selezionata, è necessario impostare anche quanto segue:

        • Chiave di crittografia della destinazione ARN: ARN della chiave KMS appartenente all'account di destinazione e alla regione di destinazione principale, da associare ai gruppi di log di destinazione appena creati.

        • Chiave di crittografia della destinazione di backup ARN (opzionale): ARN della chiave KMS appartenente all'account di destinazione e alla regione di destinazione del backup, da associare ai gruppi di log di destinazione appena creati.

        Nota

        Tieni presente che questa impostazione si applica solo quando il gruppo di log di origine è crittografato utilizzando le chiavi KMS gestite dal cliente e si applica solo ai gruppi di log appena creati nell'account di destinazione.

  8. Rivedi la regola di centralizzazione, opzionalmente apporta eventuali modifiche dell'ultimo minuto e scegli Crea politica di centralizzazione.

Modifica di una regola di centralizzazione

Utilizzare la procedura seguente per modificare una regola di centralizzazione esistente.

Per modificare una regola di centralizzazione

  1. Accedi alla CloudWatch console nell'account di gestione o amministratore delegato dell'organizzazione.

  2. Seleziona Impostazioni.

  3. Vai alla scheda Organizzazione.

  4. Scegli Gestisci regole.

  5. Seleziona la regola da aggiornare e scegli Modifica.

  6. Aggiorna la configurazione della regola secondo necessità, scegliendo Avanti per procedere con ogni passaggio.

  7. Nel passaggio 4, Revisione e configurazione, scegli Aggiorna politica di centralizzazione.

Visualizzazione di una regola di centralizzazione

Utilizzare la procedura seguente per visualizzare i dettagli di una regola di centralizzazione esistente.

Per visualizzare una regola di centralizzazione

  1. Accedi alla CloudWatch console nell'account di gestione o amministratore delegato dell'organizzazione.

  2. Seleziona Impostazioni.

  3. Vai alla scheda Organizzazione.

  4. Scegli Gestisci regole.

  5. Visualizza un elenco di tutte le regole di centralizzazione esistenti e scegli un nome di regola specifico per visualizzarne i dettagli.

Eliminazione di una regola di centralizzazione

Utilizzare la procedura seguente per eliminare una regola di centralizzazione esistente.

Per eliminare una regola di centralizzazione

  1. Accedi alla CloudWatch console nell'account di gestione o amministratore delegato dell'organizzazione.

  2. Seleziona Impostazioni.

  3. Vai alla scheda Organizzazione.

  4. Scegli Gestisci regole.

  5. Seleziona la regola da eliminare e scegli Elimina.

  6. Per confermare l'eliminazione, scegliere Delete (Elimina).

Monitoraggio e risoluzione dei problemi delle regole di centralizzazione

È possibile monitorare lo stato e le prestazioni delle regole di centralizzazione utilizzando le CloudWatch metriche, la console CloudWatch Logs e i registri. AWS CloudTrail Ciò consente di garantire che i dati di registro vengano replicati correttamente e di identificare eventuali problemi relativi alla configurazione di centralizzazione.

CloudWatch Logs fornisce:

  1. Integrità della regola per regola di centralizzazione

    1. Seleziona Impostazioni.

    2. Vai alla scheda Organizzazione.

    3. Scegli Gestisci regole.

  2. Registra le chiamate API con AWS CloudTrail

  3. CloudWatch pubblica anche metriche per la centralizzazione, inclusi gli eventi di registro replicati, gli errori e la limitazione. Per ulteriori informazioni su queste metriche e sulle relative dimensioni, consulta. Metriche e dimensioni di centralizzazione

Stato di salute della regola di centralizzazione

Ogni regola di centralizzazione ha uno stato di integrità che indica se funziona correttamente. Puoi controllare lo stato delle regole tramite la console o a livello di codice utilizzando l'API.

Gli stati di integrità delle regole includono:

  • HEALTHY: la regola funziona normalmente e replica i dati di registro come configurato

  • UNHEALTHY: La regola ha riscontrato problemi e potrebbe non replicare correttamente i dati

  • PROVISIONING: La centralizzazione per l'organizzazione è in fase di configurazione.

Quando una regola è contrassegnata come NON SALUTARE, il FailureReason campo fornisce dettagli sul problema specifico che deve essere risolto.

Monitoraggio delle chiamate API di centralizzazione con AWS CloudTrail

AWS CloudTrail registra le chiamate API effettuate al servizio di centralizzazione, consentendoti di tenere traccia delle modifiche alla configurazione e risolvere i problemi relativi agli account che sono membri del tuo. AWS Organizations

CloudTrail Gli eventi chiave per la centralizzazione includono:

  • CreateCentralizationRuleForOrganization: quando viene creata una nuova regola di centralizzazione

  • UpdateCentralizationRuleForOrganization: quando viene modificata una regola esistente

  • DeleteCentralizationRuleForOrganization: quando una regola viene eliminata

  • GetCentralizationRuleForOrganization: quando vengono recuperati i dettagli della regola

  • ListCentralizationRulesForOrganization: Quando sono elencate le regole

È possibile utilizzare CloudTrail i log per controllare le modifiche alla configurazione della centralizzazione e correlarle a problemi di prestazioni o errori di replica.

Consigli sul monitoraggio

Per garantire che la centralizzazione funzioni correttamente, consigliamo di impostare CloudWatch allarmi sulle principali metriche di centralizzazione che vendiamo a Metrics. CloudWatch Questo monitoraggio proattivo ti aiuta a rilevare tempestivamente i problemi e a mantenere una centralizzazione affidabile dei log in tutta l'organizzazione.

Le metriche chiave da monitorare includono:

  • IncomingCopiedBytes: monitora il volume dei dati di registro replicati correttamente sull'account di destinazione. Un calo improvviso o l'assenza di questa metrica può indicare problemi di centralizzazione.

  • CentralizationError: imposta allarmi per eventuali errori nel processo di centralizzazione per identificare e risolvere rapidamente i problemi.

  • CentralizationThrottled: monitora gli eventi di limitazione che potrebbero influire sulle prestazioni di replica dei log.

Per un elenco completo delle metriche di centralizzazione disponibili e delle relative dimensioni, consulta. Metriche e dimensioni di centralizzazione

Se i log non vengono centralizzati come previsto, esamina i seguenti scenari comuni che possono impedire la centralizzazione dei log.

Dati di registro storici

La funzionalità di centralizzazione dei CloudWatch registri elabora solo i nuovi dati di registro che arrivano negli account di origine dopo la creazione della regola di centralizzazione. I dati di log storici (registri che esistevano prima della creazione delle regole) non sono centralizzati.

Autorizzazioni chiave KMS

Le regole di centralizzazione non riusciranno a consegnare i log dall'account di origine ai gruppi di log di destinazione se la chiave KMS fornita nella regola di centralizzazione non consente a Logs di utilizzarla. CloudWatch Assicurati che la politica delle chiavi KMS conceda le autorizzazioni necessarie ai registri. CloudWatch Per ulteriori informazioni, consulta Fase 2: Impostazione delle autorizzazioni sulla chiave KMS.

Configurazione delle chiavi KMS gestite dal cliente

Se hai selezionato Non centralizzare i gruppi di log crittografati con chiavi KMS gestite dal cliente durante la creazione delle regole, gli eventi di registro dei gruppi di log di origine crittografati con chiavi KMS gestite dal cliente verranno ignorati e non centralizzati.

Mancata corrispondenza della crittografia della destinazione

Se il gruppo di log di destinazione esiste già con una configurazione di crittografia KMS diversa da quella specificata dalla regola di centralizzazione e la risoluzione dei conflitti è impostata su SKIP, i record verranno eliminati e verrà emesso un DestinationEncryptionMismatch errore. Ad esempio, ciò si verifica quando la destinazione ha una crittografia predefinita ma la regola specifica una chiave KMS gestita dal cliente.

Accesso affidabile non abilitato

L'accesso affidabile deve essere abilitato per CloudWatch l'accesso all'account di gestione e all'account di destinazione per fornire l'accesso ai dati di registro. AWS Organizations

Criteri di selezione della fonte

Verifica che i criteri di selezione della fonte della regola di centralizzazione siano configurati correttamente:

  • Account e aree: assicurati che gli account e le regioni di origine dei log siano inclusi nella regola. I gruppi di log di account o regioni non specificati nella regola non saranno centralizzati.

  • Filtri per gruppi di log: se hai configurato i filtri dei gruppi di log, verranno centralizzati solo i gruppi di log che corrispondono ai criteri specificati. Verifica che i criteri di selezione dei gruppi di log includano i gruppi di log che prevedi di centralizzare.

  • Appartenenza all'organizzazione: sia gli account di origine che quelli di destinazione devono appartenere alla stessa AWS Organizations organizzazione. Gli account esterni all'organizzazione non possono partecipare alla centralizzazione.

È stato raggiunto il limite di quota del gruppo di log

Se l'account di destinazione ha raggiunto il limite di quota per i gruppi di log, non è possibile creare nuovi gruppi di log per la centralizzazione. Verifica che l'account di destinazione disponga di una quota sufficiente per ospitare gruppi di log centralizzati di tutti gli account di origine. Se necessario, puoi richiedere un aumento della quota.

È stato superato il limite di lunghezza del nome del flusso di log

I nomi dei flussi di log hanno limitazioni di lunghezza massima. Quando la centralizzazione replica i flussi di log sull'account di destinazione, viene aggiunto un suffisso al nome del flusso di log. Se il nome del flusso di log risultante supera la lunghezza massima consentita, i record verranno eliminati e verrà emesso un InvalidLogStream errore all'account del cliente.

Stato di salute della regola

Controlla lo stato di integrità della regola di centralizzazione nella console o utilizzando l'GetCentralizationRuleForOrganizationAPI. Se la regola è contrassegnata come NON SALUTARE, consulta il FailureReason campo per dettagli specifici sul problema.

Per diagnosticare i problemi di centralizzazione, esamina lo stato di integrità della regola di centralizzazione nella console, controlla le CloudWatch metriche relative a errori e limitazioni ed esamina i log per individuare eventuali errori nelle chiamate API. AWS CloudTrail Per ulteriori informazioni sulle metriche di centralizzazione, consulta. Metriche e dimensioni di centralizzazione