Configurazione di un gruppo di indagine - Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di un gruppo di indagine

Per impostare CloudWatch indagini nel tuo account da utilizzare con un'indagine avanzata, crei un gruppo investigativo. La creazione di un gruppo di indagine è un'operazione di configurazione che si effettua una sola volta; una volta creato, viene utilizzato per condurre altre indagini. Le impostazioni nel gruppo di indagine consentono di gestire centralmente le proprietà comuni delle indagini, come le seguenti:

  • Chi può accedere alle indagini

  • Supporto alle indagini tra account per accedere alle risorse in altri account durante l'indagine

  • Se i dati delle indagini sono crittografati con una chiave AWS Key Management Service gestita dal cliente.

  • Per quanto tempo le indagini e i relativi dati vengono conservati per impostazione predefinita.

È possibile avere un solo gruppo di indagine per account. Ogni indagine all'interno del tuo account farà parte di questo gruppo di indagine.

Per creare un gruppo di indagine devi accedere a un responsabile IAM a cui è associata la AIOpsConsoleAdminPolicyo la politica AdministratorAccessIAM oppure a un account con autorizzazioni simili.

Nota

Per poter scegliere l'opzione consigliata di creare un nuovo ruolo IAM per le indagini ( CloudWatch indagini operative), devi avere effettuato l'accesso a un responsabile IAM che disponga delle autorizzazioniiam:CreateRole,iam:AttachRolePolicy, e. iam:PutRolePolicy

Importante

CloudWatch le indagini utilizzano l'inferenza interregionale per distribuire il traffico tra diverse regioni. AWS Per ulteriori informazioni, consulta Inferenza tra regioni.

Per creare un gruppo di indagine nel tuo account

  1. Apri la console all' CloudWatch indirizzo. https://console.aws.amazon.com/cloudwatch/

  2. Nel pannello di navigazione a sinistra, scegli Operazioni di IA, Configurazione.

  3. Scegli Configura per questo account.

  4. Facoltativamente, modifica il periodo di conservazione per le indagini. Per ulteriori informazioni sugli elementi soggetti al periodo di conservazione, consulta CloudWatch indagini (conservazione dei dati).

  5. (Facoltativo) Per crittografare i dati delle indagini con una chiave gestita dal cliente AWS KMS , scegli Personalizza le impostazioni di crittografia e segui i passaggi per creare o specificare una chiave da utilizzare. Se non specifichi una chiave gestita dal cliente, CloudWatch Investigations utilizza una chiave AWS proprietaria per la crittografia. Per ulteriori informazioni, consulta Crittografia dei dati di indagine.

  6. Scegli come concedere alle CloudWatch indagini le autorizzazioni per accedere alle risorse. Per poter scegliere una delle prime due opzioni, devi aver effettuato l'accesso a un principale IAM che disponga delle autorizzazioni iam:CreateRole, iam:AttachRolePolicy e iam:PutRolePolicy.

    1. (Consigliato) Seleziona Crea automaticamente un nuovo ruolo con autorizzazioni di indagine predefinite. A questo ruolo verranno concesse le autorizzazioni utilizzando le politiche AWS gestite per le operazioni di intelligenza artificiale. Per ulteriori informazioni, vedere. Autorizzazioni utente per il tuo gruppo di CloudWatch indagine

    2. Crea un nuovo ruolo e poi assegna i modelli di policy.

    3. Scegli Assegna un ruolo esistente se disponi già di un ruolo con le autorizzazioni che desideri utilizzare.

      Se scegli questa opzione, devi assicurarti che il ruolo includa una policy di attendibilità che indichi aiops.amazonaws.com come principale del servizio. Per ulteriori informazioni sull'utilizzo dei principali del servizio nelle policy di attendibilità, consulta Principiali dei servizi AWS.

      Ti consigliamo inoltre di includere una sezione Condition con il numero di account per evitare una situazione di “confused deputy”. L'esempio seguente di policy di attendibilità illustra sia il principale del servizio sia la sezione Condition.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  7. Scegli Crea gruppo di indagine: ora puoi creare un'indagine sulla base di un allarme, di una metrica o di un approfondimento sui log.

Facoltativamente, puoi impostare le configurazioni aggiuntive consigliate per migliorare la tua esperienza.

  1. Nel pannello di navigazione a sinistra, scegli Operazioni di IA, Configurazione.

  2. Nella scheda Configurazione opzionale, scegli i miglioramenti che desideri aggiungere alle indagini. CloudWatch

  3. In Configura l'accesso multi-account puoi impostare questo account come account di monitoraggio che raccoglie dati da altri account di origine della tua organizzazione. Per ulteriori informazioni, consulta Indagini tra account.

  4. Per le integrazioni avanzate, scegli di consentire alle CloudWatch indagini l'accesso a servizi aggiuntivi del tuo sistema, per consentirgli di raccogliere più dati ed essere più utile.

    1. Nella sezione Tag per il rilevamento dei limiti delle applicazioni, inserisci le chiavi dei tag personalizzate esistenti per le applicazioni personalizzate nel tuo sistema. I tag delle risorse aiutano CloudWatch le indagini a restringere lo spazio di ricerca quando non sono in grado di scoprire relazioni definite tra le risorse. Ad esempio, per scoprire che un servizio Amazon ECS dipende da un database Amazon RDS, le CloudWatch indagini possono scoprire questa relazione utilizzando fonti di dati come X-Ray e Application Signals. CloudWatch Tuttavia, se non hai implementato queste funzionalità, le CloudWatch indagini cercheranno di identificare possibili relazioni. I limiti dei tag possono essere utilizzati per restringere le risorse che verranno scoperte dalle CloudWatch indagini in questi casi.

      Non è necessario inserire i tag creati da myApplications o perché CloudFormation le CloudWatch indagini possono rilevare automaticamente tali tag.

    2. CloudTrail registra gli eventi relativi alle modifiche del sistema, inclusi gli eventi di distribuzione. Questi eventi possono spesso essere utili per CloudWatch le indagini volte a creare ipotesi sulle cause principali dei problemi del sistema. Nella sezione CloudTrailrelativa al rilevamento degli eventi da modificare, è possibile concedere alle CloudWatch indagini un certo accesso agli eventi registrati AWS CloudTrail abilitando Consenti all'assistente l'accesso alla CloudTrail modifica degli eventi tramite la cronologia degli eventi. CloudTrail Per ulteriori informazioni, consulta Lavorare con la cronologia CloudTrail degli eventi.

    3. Le sezioni X-Ray for topology mapping e Application Signals for health assessment indicano altri AWS servizi che possono aiutare CloudWatch le indagini a trovare informazioni. Se li hai implementati e hai concesso la policy AIOpsAssistantPolicyIAM alle CloudWatch indagini, sarà in grado di accedere alla telemetria X-Ray e Application Signals.

      Per ulteriori informazioni su come questi servizi aiutano le indagini, consulta e. CloudWatch X-Ray CloudWatch Segnali applicativi

    4. Se utilizzi Amazon EKS, il tuo gruppo CloudWatch investigativo per le indagini può utilizzare le informazioni direttamente dal tuo cluster Amazon EKS dopo aver impostato le voci di accesso. Per ulteriori informazioni, consulta Integrazione con Amazon EKS.

    5. Se utilizzi Amazon RDS, abilita la modalità avanzata di Database Insights sulle istanze di database. Database Insights monitora il carico del database e fornisce un'analisi dettagliata delle prestazioni che aiuta le indagini a identificare i problemi relativi al database CloudWatch durante le indagini. Quando Advanced Database Insights è abilitato, CloudWatch le indagini possono generare automaticamente report di analisi delle prestazioni che includono osservazioni dettagliate, anomalie metriche, analisi delle cause principali e consigli specifici per il carico di lavoro del database. Per ulteriori informazioni su Database Insights e su come abilitare la modalità Advanced, consulta Monitoraggio dei database Amazon RDS con CloudWatch Database Insights.

  5. Puoi integrare CloudWatch le indagini con un canale di chat. In questo modo è possibile ricevere notifiche relative a un'indagine tramite il canale di chat. CloudWatch le indagini supportano i canali di chat nelle seguenti applicazioni:

    • Slack

    • Microsoft Teams

    Se desideri eseguire l'integrazione con un canale di chat, ti consigliamo di completare alcuni passaggi aggiuntivi prima di abilitare questa miglioria nel gruppo di indagine. Per ulteriori informazioni, consulta Integrazione di con sistemi di chat di terze parti.

    Quindi, esegui i seguenti passaggi per l'integrazione con un canale di chat nelle applicazioni di chat:

    • Nella sezione Integrazione del client di chat, scegli Seleziona l'argomento SNS.

    • Seleziona l'argomento SNS da utilizzare per l'invio di notifiche sulle tue indagini.