Mit Regeln zur Aktivierung der Telemetrie arbeiten - Amazon CloudWatch
Integration von Aktivierungsregeln mit AWS ConfigGrundlegendes zum Verhalten von AktivierungsregelnRegeln zur Aktivierung der Telemetrie erstellenVerwaltung von TelemetrievorschriftenFehlerbehebung bei der Telemetriekonfiguration

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mit Regeln zur Aktivierung der Telemetrie arbeiten

Sie können Regeln zur Aktivierung der Telemetrie erstellen, um die Telemetrieerfassung für Ihre Ressourcen automatisch zu konfigurieren. AWS Regeln helfen Ihnen dabei, die Erfassung von Telemetriedaten in Ihrer Organisation oder Ihren Konten zu standardisieren und eine konsistente Überwachung sicherzustellen.

Integration von Aktivierungsregeln mit AWS Config

CloudWatch Die Telemetrieprüfung und -konfiguration lassen sich integrieren AWS Config , um automatisch Ressourcen zu ermitteln, die Ihrer Aktivierungsregel entsprechen, und sie auf Ihre Telemetriedatenerfassung anzuwenden. Wenn Sie eine Aktivierungsregel erstellen, erstellt die Telemetriekonfiguration einen entsprechenden Rekorder. AWS Config Dieser Rekorder enthält Konfigurationselemente für die spezifischen Ressourcentypen, die Sie in der Aktivierungsregel definieren.

Sie können die Telemetriekonfiguration ohne zusätzliche Kosten aktivieren. Wenn Sie Aktivierungsregeln verwenden, um die Telemetrie automatisch zu verwalten, AWS Config fallen Gebühren an, die auf der Anzahl der Konfigurationselemente basieren, die für die Ressourcentypen aufgezeichnet wurden, die Sie in der Aktivierungsregel angeben. Weitere Informationen finden Sie unter AWS Config Preise.

Anmerkung

Wenn Sie die Aufzeichnung von Konfigurationselementen für den jeweiligen Ressourcentyp AWS Config bereits aktiviert haben, werden Ihnen keine weiteren Gebühren berechnet.

Die Telemetriekonfiguration dient AWS Config zu folgenden Zwecken:

  • Entdecken Sie Ressourcen in Ihrer Organisation oder in Ihren Konten

  • Verfolgen Sie Änderungen der Telemetriekonfiguration

Grundlegendes zum Verhalten von Aktivierungsregeln

Die Telemetriekonfiguration folgt bei der Bewertung und Anwendung von Regeln bestimmten Mustern:

Aktivierungsregeln werden nach einem hierarchischen Muster bewertet. Zuerst werden Organisationsregeln bewertet, dann Regeln, die für Organisationseinheiten (OUs) gelten, und schließlich Regeln, die für einzelne Konten gelten. Regeln auf Organisationsebene stellen die grundlegende Telemetrie bereit, die für Ihre Organisation erforderlich ist. Regeln auf OU- und Kontoebene können zusätzliche Telemetriedaten sammeln, aber sie können nicht weniger Telemetriedaten sammeln. Wenn eine solche Regel erstellt wird, führt dies zu einem Regelkonflikt.

Innerhalb jedes Bereichs (Organisation, Organisationseinheit oder Konto) müssen Regeln je nach Ressourcentyp, Telemetrieart und Zielkonfiguration ihre Einzigartigkeit wahren. Doppelte Regeln lösen eine Konfliktausnahme aus. Wenn dieselbe Regel in unterschiedlichen Bereichen existiert, z. B. eine Regel auf Organisationsebene für VPC-Flow-Logs CloudWatch und eine Regel auf OU-Ebene für VPC-Flow-Logs, wird die Regel auf höherer Ebene in der Hierarchie angewendet. Wenn jedoch mehrere Regeln miteinander in Konflikt stehen, wird keine der Regeln angewendet.

Für VPC-Flow-Logs erstellt Telemetry Config nur neue Flow-Logs für Ressourcen, die dem Regelbereich entsprechen. Zuvor eingerichtete VPC-Flow-Protokolle werden nicht gelöscht oder beeinträchtigt, auch wenn sie sich von den aktuellen Regelparametern unterscheiden. Bei CloudWatch Protokollen werden bestehende Protokollgruppen beibehalten, sofern sie dem Ressourcenmuster entsprechen.

Wenn Sie eine Aktivierungsregel aktualisieren, übernehmen nur neue Ressourcen, die der Regel entsprechen, die aktualisierte Konfiguration. Die vorhandenen Telemetrieeinstellungen bleiben für bestehende Ressourcen unverändert. Wenn eine Ressource aufgrund des manuellen Löschens von Telemetriedaten nicht mehr mit einer bestehenden Regel konform ist, wird die neue Aktivierungsregel übernommen, sobald die Ressource wieder den Richtlinien entspricht.

Regeln zur Aktivierung der Telemetrie erstellen

Wenn Sie eine Regel zur Aktivierung der Telemetrie erstellen, geben Sie Folgendes an:

  • Der Geltungsbereich der Regel (Organisation, Organisationseinheit oder Konto)

  • Die Ressourcentypen, für die die Regel gilt

  • Die Telemetriearten, die aktiviert werden sollen (Metriken, Protokolle oder Traces)

  • Optionale Tags, um zu filtern, auf welche Ressourcen sich die Regel auswirkt

Um eine Regel zur Aktivierung der Telemetrie zu erstellen

  1. Öffnen Sie die Konsole unter CloudWatch . https://console.aws.amazon.com/cloudwatch/

  2. Wählen Sie im Navigationsbereich Telemetrie-Konfiguration aus.

  3. Wählen Sie die Registerkarte Aktivierungsregeln aus.

  4. Wählen Sie Regel hinzufügen aus.

  5. Geben Sie unter Regelname einen Namen für Ihre Regel ein.

  6. Wählen Sie unter Regelbereich eine der folgenden Optionen aus:

    • Organisation — Die Regel gilt für Ihr gesamtes AWS Organizations

    • Organisationseinheit — Die Regel gilt für eine bestimmte Organisationseinheit

    • Konto — Die Regel gilt für ein einzelnes Konto

  7. Wählen Sie unter Datenquelle den AWS Dienst aus, den Sie konfigurieren möchten.

  8. Wählen Sie unter Telemetrietyp die Telemetriearten aus, die aktiviert werden sollen.

  9. Optional: Fügen Sie Tags hinzu, um zu filtern, auf welche Ressourcen sich die Regel auswirkt.

  10. Wählen Sie Regel erstellen aus.

Verwaltung von Telemetrievorschriften

Nachdem Sie Regeln erstellt haben, können Sie sie bearbeiten oder löschen. Sie können auch sehen, auf welche Ressourcen sich jede Regel auswirkt, und die Einhaltung der Regeln überwachen.

Um eine bestehende Regel zu verwalten

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Telemetrie-Konfiguration aus.

  3. Wählen Sie die Registerkarte Aktivierungsregeln aus.

  4. Wählen Sie eine Regel aus, um ihre Details anzuzeigen, oder wählen Sie eine der folgenden Aktionen:

    • Bearbeiten — Regeleinstellungen ändern

    • Löschen — Die Regel entfernen

Fehlerbehebung bei der Telemetriekonfiguration

In diesem Abschnitt werden häufig auftretende Probleme beschrieben, die bei der Verwendung der Telemetriekonfiguration auftreten können, und deren Behebung.

Regelkonflikte und deren Lösung

Wenn mehrere Regeln für dieselbe Ressource gelten, löst die Telemetriekonfiguration Konflikte anhand der folgenden Prioritäten:

  1. Regeln auf Organisationsebene haben Vorrang vor Regeln auf Kontoebene

  2. Spezifischere Stichwortübereinstimmungen haben Vorrang vor allgemeinen Regeln

  3. Wenn es mehrere widersprüchliche Regeln gibt, wird keine der Regeln angewendet. Sie müssen die Konflikte zuerst lösen.

Häufige Probleme

Ressourcen werden bei Discovery nicht angezeigt

Vergewissern Sie sich, dass folgende Bedingungen erfüllt sind:

  • Der Ressourcentyp wird unterstützt

  • AWS Config Recorder ist aktiviert

  • Sie verfügen über die entsprechenden IAM-Berechtigungen

Regeln gelten nicht automatisch

Prüfen Sie:

  • Konfiguration des Regelbereichs

  • Tag-Filter

Servicespezifische Überlegungen

Amazon VPC-Flussprotokolle

Bei der Erstellung von Flow-Protokollen:

  • Verwendet das Standardmuster vpc-id /aws/vpc/, falls keines angegeben ist

  • Bestehende, vom Kunden erstellte Flow-Logs werden beibehalten

  • Regelaktualisierungen wirken sich nur auf neue Flow-Logs aus