Verwendung CloudWatch in zentralisierten oder verteilten Konten - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung CloudWatch in zentralisierten oder verteilten Konten

Obwohl CloudWatch es für die Überwachung von AWS Diensten oder Ressourcen in einem Konto und einer Region konzipiert ist, können Sie ein zentrales Konto verwenden, um Protokolle und Metriken aus mehreren Konten und Regionen zu erfassen. Wenn Sie mehr als ein Konto oder eine Region verwenden, sollten Sie abwägen, ob Sie den zentralisierten Kontoansatz oder ein einzelnes Konto zur Erfassung von Protokollen und Metriken verwenden möchten. In der Regel ist für Bereitstellungen mit mehreren Konten und mehreren Regionen ein hybrider Ansatz erforderlich, um die Anforderungen von Sicherheits-, Analyse-, Betriebs- und Workload-Eigentümern zu erfüllen.

Die folgende Tabelle enthält Bereiche, die Sie bei der Wahl eines zentralisierten, verteilten oder hybriden Ansatzes berücksichtigen sollten.

Kontostrukturen Ihr Unternehmen verfügt möglicherweise über mehrere separate Konten (z. B. Konten für Nicht-Produktions- und Produktionsworkloads) oder Tausende von Konten für einzelne Anwendungen in bestimmten Umgebungen. Wir empfehlen, dass Sie Anwendungsprotokolle und Metriken in dem Konto verwalten, auf dem der Workload ausgeführt wird, sodass Workload-Besitzer auf die Protokolle und Metriken zugreifen können. Dadurch können sie eine aktive Rolle bei der Protokollierung und Überwachung spielen. Wir empfehlen außerdem, ein separates Protokollierungskonto zu verwenden, um alle Workload-Protokolle für Analysen, Aggregation, Trends und zentralisierte Operationen zu aggregieren. Separate Protokollierungskonten können auch für Sicherheit, Archivierung und Überwachung sowie für Analysen verwendet werden.

Anforderungen für den Zugriff Teammitglieder (z. B. Workload-Besitzer oder Entwickler) benötigen Zugriff auf Protokolle und Metriken, um Fehler zu beheben und Verbesserungen vorzunehmen. Die Protokolle sollten im Konto des Workloads gespeichert werden, um den Zugriff und die Fehlerbehebung zu erleichtern. Wenn Protokolle und Metriken in einem vom Workload getrennten Konto verwaltet werden, müssen Benutzer möglicherweise regelmäßig zwischen den Konten wechseln.

Durch die Verwendung eines zentralen Kontos werden Protokollinformationen für autorisierte Benutzer bereitgestellt, ohne dass Zugriff auf das Workload-Konto gewährt wird. Dies kann die Zugriffsanforderungen für analytische Workloads vereinfachen, bei denen eine Aggregation von Workloads erforderlich ist, die in mehreren Konten ausgeführt werden. Das zentralisierte Logging-Konto kann auch über alternative Such- und Aggregationsoptionen verfügen, z. B. einen Amazon OpenSearch Service-Cluster. Amazon OpenSearch Service bietet eine detaillierte Zugriffskontrolle bis auf Feldebene für Ihre Protokolle. Eine detaillierte Zugriffskontrolle ist wichtig, wenn Sie über sensible oder vertrauliche Daten verfügen, für die spezielle Zugriffs- und Genehmigungen erforderlich sind.
Operationen Viele Unternehmen verfügen über ein zentrales Betriebs- und Sicherheitsteam oder eine externe Organisation für den operativen Support, die zur Überwachung Zugriff auf Protokolle benötigt. Zentralisierte Protokollierung und Überwachung können es einfacher machen, Trends zu erkennen, zu suchen, zu aggregieren und Analysen für alle Konten und Workloads durchzuführen. Wenn Ihre Organisation den Ansatz „Sie erstellen, Sie führen es aus“ verwendet DevOps, benötigen Workload-Besitzer Protokollierungs- und Überwachungsinformationen in ihrem Konto. Neben der Verantwortung für verteilte Workloads kann ein hybrider Ansatz erforderlich sein, um zentralen Abläufen und Analysen gerecht zu werden.
Umgebung

Je nach Sicherheitsanforderungen und Kontoarchitektur können Sie Protokolle und Messwerte für Produktionskonten an einem zentralen Ort hosten und Protokolle und Metriken für andere Umgebungen (z. B. Entwicklungs- oder Testumgebungen) in denselben oder separaten Konten speichern. Auf diese Weise wird verhindert, dass sensible Daten, die während der Produktion erstellt wurden, von einem breiteren Publikum abgerufen werden.

CloudWatch bietet mehrere Optionen zur Verarbeitung von Protokollen in Echtzeit mit CloudWatch Abonnementfiltern. Sie können Abonnementfilter verwenden, um Protokolle in Echtzeit an AWS Dienste zu streamen, um sie dort individuell zu verarbeiten, zu analysieren und in andere Systeme zu laden. Dies kann besonders hilfreich sein, wenn Sie einen hybriden Ansatz verfolgen, bei dem Ihre Protokolle und Metriken zusätzlich zu einem zentralisierten Konto und einer Region auch in einzelnen Konten und Regionen verfügbar sind. Die folgende Liste enthält Beispiele für AWS Dienste, die dafür verwendet werden können:

  • Amazon Data Firehose — Firehose bietet eine Streaming-Lösung, die automatisch auf der Grundlage des produzierten Datenvolumens skaliert und in der Größe angepasst wird. Sie müssen die Anzahl der Shards in einem Amazon Kinesis Kinesis-Datenstream nicht verwalten und können sich ohne zusätzliche Codierung direkt mit Amazon Simple Storage Service (Amazon S3), Amazon OpenSearch Service oder Amazon Redshift verbinden. Firehose ist eine effektive Lösung, wenn Sie Ihre Protokolle in diesen AWS Diensten zentralisieren möchten.

  • Amazon Kinesis Data Streams — Kinesis Data Streams ist eine geeignete Lösung, wenn Sie eine Integration in einen Service benötigen, den Firehose nicht unterstützt, und zusätzliche Verarbeitungslogik implementieren müssen. Sie können in Ihren Konten und Regionen ein Amazon CloudWatch Logs-Ziel erstellen, das einen Kinesis-Datenstream in einem zentralen Konto und eine AWS Identity and Access Management (IAM) -Rolle angibt, die ihm die Erlaubnis erteilt, Datensätze im Stream zu platzieren. Kinesis Data Streams bietet eine flexible, offene landing zone für Ihre Protokolldaten, die dann von verschiedenen Optionen genutzt werden können. Sie können die Kinesis Data Streams Streams-Protokolldaten in Ihr Konto einlesen, eine Vorverarbeitung durchführen und die Daten an das von Ihnen gewählte Ziel senden.

    Sie müssen die Shards für den Stream jedoch so konfigurieren, dass er die richtige Größe für die erzeugten Protokolldaten hat. Kinesis Data Streams fungiert als temporärer Vermittler oder als Warteschlange für Ihre Protokolldaten, und Sie können die Daten zwischen einem und 365 Tagen im Kinesis-Stream speichern. Kinesis Data Streams unterstützt auch die Wiedergabefunktion, d. h. Sie können Daten wiedergeben, die nicht verbraucht wurden.

  • Amazon OpenSearch Service — CloudWatch Logs können Protokolle in einer Protokollgruppe in einen OpenSearch Cluster in einem individuellen oder zentralen Konto streamen. Wenn Sie eine Protokollgruppe so konfigurieren, dass sie Daten in einen OpenSearch Cluster streamt, wird eine Lambda-Funktion in demselben Konto und derselben Region wie Ihre Protokollgruppe erstellt. Die Lambda-Funktion muss über eine Netzwerkverbindung mit dem OpenSearch Cluster verfügen. Sie können die Lambda-Funktion so anpassen, dass sie zusätzlich zur Anpassung der Aufnahme in Amazon Service zusätzliche Vorverarbeitung durchführt. OpenSearch Die zentrale Protokollierung mit Amazon OpenSearch Service erleichtert die Analyse, Suche und Behebung von Problemen in mehreren Komponenten Ihrer Cloud-Architektur.

  • Lambda — Wenn Sie Kinesis Data Streams verwenden, müssen Sie Rechenressourcen bereitstellen und verwalten, die Daten aus Ihrem Stream verbrauchen. Um dies zu vermeiden, können Sie Protokolldaten zur Verarbeitung direkt an Lambda streamen und sie an ein Ziel senden, das Ihrer Logik entspricht. Das bedeutet, dass Sie keine Rechenressourcen bereitstellen und verwalten müssen, um eingehende Daten zu verarbeiten. Wenn Sie Lambda verwenden möchten, stellen Sie sicher, dass Ihre Lösung mit Lambda-Kontingenten kompatibel ist.

Möglicherweise müssen Sie Protokolldaten verarbeiten oder weitergeben, die in CloudWatch Logs im Dateiformat gespeichert sind. Sie können eine Exportaufgabe erstellen, um eine Protokollgruppe für ein bestimmtes Datum oder einen bestimmten Zeitraum nach Amazon S3 zu exportieren. Sie können sich beispielsweise dafür entscheiden, Protokolle täglich zur Analyse und Prüfung nach Amazon S3 zu exportieren. Lambda kann verwendet werden, um diese Lösung zu automatisieren. Sie können diese Lösung auch mit der Amazon S3 S3-Replikation kombinieren, um Ihre Protokolle aus mehreren Konten und Regionen zu versenden und zu einem zentralen Konto und einer Region zu zentralisieren.

In der CloudWatch Agentenkonfiguration kann auch ein credentials Feld im agentAbschnitt angegeben werden. Dies gibt eine IAM Rolle an, die beim Senden von Metriken und Protokollen an ein anderes Konto verwendet werden soll. Falls angegeben, enthält dieses Feld den role_arn Parameter. Dieses Feld kann verwendet werden, wenn Sie nur eine zentrale Protokollierung und Überwachung für ein bestimmtes zentralisiertes Konto und eine bestimmte Region benötigen.

Sie können es auch verwenden AWS SDK, um Ihre eigene benutzerdefinierte Verarbeitungsanwendung in einer Sprache Ihrer Wahl zu schreiben, Protokolle und Kennzahlen aus Ihren Konten zu lesen und Daten zur weiteren Verarbeitung und Überwachung an ein zentrales Konto oder ein anderes Ziel zu senden.