Verwenden von CloudWatch in zentralen oder verteilten Konten - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von CloudWatch in zentralen oder verteilten Konten

Obwohl für die Überwachung von AWS Services oder Ressourcen in einem Konto und einer Region konzipiert CloudWatch ist, können Sie ein zentrales Konto verwenden, um Protokolle und Metriken aus mehreren Konten und Regionen zu erfassen. Wenn Sie mehr als ein Konto oder eine Region verwenden, sollten Sie prüfen, ob Sie den zentralisierten Kontoansatz oder ein einzelnes Konto verwenden möchten, um Protokolle und Metriken zu erfassen. In der Regel ist ein hybrider Ansatz für Bereitstellungen mit mehreren Konten und Regionen erforderlich, um die Anforderungen von Sicherheits-, Analyse-, Betriebs- und Workload-Besitzern zu erfüllen.

Die folgende Tabelle enthält Bereiche, die Sie bei der Auswahl eines zentralen, verteilten oder hybriden Ansatzes berücksichtigen sollten.

Kontostrukturen Ihre Organisation verfügt möglicherweise über mehrere separate Konten (z. B. Konten für Nicht-Produktions- und Produktions-Workloads) oder Tausende von Konten für einzelne Anwendungen in bestimmten Umgebungen. Wir empfehlen Ihnen, Anwendungsprotokolle und Metriken in dem Konto zu verwalten, in dem der Workload ausgeführt wird, wodurch Workload-Eigentümer Zugriff auf die Protokolle und Metriken erhalten. Auf diese Weise können sie eine aktive Rolle bei der Protokollierung und Überwachung haben. Wir empfehlen außerdem, ein separates Protokollierungskonto zu verwenden, um alle Workload-Protokolle für Analysen, Aggregation, Trends und zentralisierte Vorgänge zu aggregieren. Separate Protokollierungskonten können auch für Sicherheit, Archivierung und Überwachung sowie Analysen verwendet werden.

Zugriffsanforderungen Teammitglieder (z. B. Workload-Besitzer oder Entwickler) benötigen Zugriff auf Protokolle und Metriken, um Fehler zu beheben und Verbesserungen vorzunehmen. Protokolle sollten im Konto des Workloads verwaltet werden, um den Zugriff und die Fehlerbehebung zu erleichtern. Wenn Protokolle und Metriken in einem vom Workload getrennten Konto verwaltet werden, müssen Benutzer möglicherweise regelmäßig zwischen Konten wechseln.

Die Verwendung eines zentralen Kontos stellt Protokollinformationen für autorisierte Benutzer bereit, ohne Zugriff auf das Workload-Konto zu gewähren. Dies kann die Zugriffsanforderungen für analytische Workloads vereinfachen, bei denen eine Aggregation von Workloads erforderlich ist, die in mehreren Konten ausgeführt werden. Das zentrale Protokollierungskonto kann auch alternative Such- und Aggregationsoptionen haben, z. B. einen Amazon- OpenSearch Service-Cluster. Amazon OpenSearch Service bietet eine differenzierte Zugriffskontrolle bis auf Feldebene für Ihre Protokolle. Eine differenzierte Zugriffskontrolle ist wichtig, wenn Sie über sensible oder vertrauliche Daten verfügen, die einen speziellen Zugriff und spezielle Berechtigungen erfordern.
Operationen Viele Organisationen verfügen über ein zentrales Betriebs- und Sicherheitsteam oder eine externe Organisation für operative Unterstützung, die Zugriff auf Protokolle für die Überwachung erfordert. Zentralisierte Protokollierung und Überwachung kann es einfacher machen, Trends zu identifizieren, zu suchen, zu aggregieren und Analysen für alle Konten und Workloads durchzuführen. Wenn Ihre Organisation den Ansatz „Sie erstellen es, führen es aus“ für verwendet DevOps, benötigen Workload-Besitzer Protokollierungs- und Überwachungsinformationen in ihrem Konto. Ein hybrider Ansatz kann erforderlich sein, um zusätzlich zur Eigentümerschaft verteilter Workloads zentrale Abläufe und Analysen zu erfüllen.
Umgebung

Sie können wählen, ob Protokolle und Metriken an einem zentralen Ort für Produktionskonten gehostet und Protokolle und Metriken für andere Umgebungen (z. B. Entwicklung oder Tests) in denselben oder separaten Konten aufbewahrt werden sollen, je nach Sicherheitsanforderungen und Kontoarchitektur. Dadurch wird verhindert, dass vertrauliche Daten, die während der Produktion erstellt wurden, von einem breiteren Publikum abgerufen werden.

CloudWatch bietet mehrere Optionen zur Verarbeitung von Protokollen in Echtzeit mit CloudWatch Abonnementfiltern. Sie können Abonnementfilter verwenden, um Protokolle in Echtzeit zur benutzerdefinierten Verarbeitung, Analyse und zum Laden in andere Systeme an - AWS Services zu streamen. Dies kann besonders hilfreich sein, wenn Sie einen hybriden Ansatz wählen, bei dem Ihre Protokolle und Metriken zusätzlich zu einem zentralen Konto und einer Region in einzelnen Konten und Regionen verfügbar sind. Die folgende Liste enthält Beispiele für - AWS Services, die dafür verwendet werden können:

  • Amazon Data Firehose – Firehose bietet eine Streaming-Lösung, die basierend auf dem erzeugten Datenvolumen automatisch skaliert und in der Größe geändert wird. Sie müssen die Anzahl der Shards in einem Amazon Kinesis Data Stream nicht verwalten und können sich ohne zusätzliche Codierung direkt mit Amazon Simple Storage Service (Amazon S3), Amazon OpenSearch Service oder Amazon Redshift verbinden. Firehose ist eine effektive Lösung, wenn Sie Ihre Protokolle in diesen AWS Services zentralisieren möchten.

  • Amazon Kinesis Data Streams – Kinesis Data Streams ist eine geeignete Lösung, wenn Sie in einen Service integrieren müssen, den Firehose nicht unterstützt, und zusätzliche Verarbeitungslogik implementieren. Sie können ein Amazon- CloudWatch Logs-Ziel in Ihren Konten und Regionen erstellen, das einen Kinesis-Datenstrom in einem zentralen Konto und eine AWS Identity and Access Management (IAM)-Rolle angibt, die ihm die Berechtigung erteilt, Datensätze in den Stream zu platzieren. Kinesis Data Streams bietet eine flexible, offene Landing Zone für Ihre Protokolldaten, die dann von verschiedenen Optionen genutzt werden können. Sie können die Protokolldaten von Kinesis Data Streams in Ihrem Konto lesen, eine Vorverarbeitung durchführen und die Daten an das von Ihnen gewählte Ziel senden.

    Sie müssen jedoch die Shards für den Stream so konfigurieren, dass er für die erzeugten Protokolldaten angemessen dimensioniert ist. Kinesis Data Streams fungiert als temporärer Zwischen- oder Warteschlange für Ihre Protokolldaten, und Sie können die Daten zwischen einem und 365 Tagen im Kinesis-Stream speichern. Kinesis Data Streams unterstützt auch Wiedergabefunktionen, was bedeutet, dass Sie Daten wiedergeben können, die nicht verbraucht wurden.

  • Amazon OpenSearch Service – CloudWatch Protokolle können Protokolle in einer Protokollgruppe an einen - OpenSearch Cluster in einem einzelnen oder zentralisierten Konto streamen. Wenn Sie eine Protokollgruppe zum Streamen von Daten an einen - OpenSearch Cluster konfigurieren, wird eine Lambda-Funktion im selben Konto und in derselben Region wie Ihre Protokollgruppe erstellt. Die Lambda-Funktion muss über eine Netzwerkverbindung mit dem OpenSearch Cluster verfügen. Sie können die Lambda-Funktion anpassen, um eine zusätzliche Vorverarbeitung durchzuführen, zusätzlich zur Anpassung der Aufnahme in Amazon OpenSearch Service. Die zentralisierte Protokollierung mit Amazon OpenSearch Service erleichtert die Analyse, Suche und Behebung von Problemen über mehrere Komponenten in Ihrer Cloud-Architektur hinweg.

  • Lambda – Wenn Sie Kinesis Data Streams verwenden, müssen Sie Rechenressourcen bereitstellen und verwalten, die Daten aus Ihrem Stream verbrauchen. Um dies zu vermeiden, können Sie Protokolldaten direkt zur Verarbeitung an Lambda streamen und basierend auf Ihrer Logik an ein Ziel senden. Das bedeutet, dass Sie keine Rechenressourcen bereitstellen und verwalten müssen, um eingehende Daten zu verarbeiten. Wenn Sie Lambda verwenden möchten, stellen Sie sicher, dass Ihre Lösung mit den Lambda-Kontingenten kompatibel ist.

Möglicherweise müssen Sie Protokolldaten, die in - CloudWatch Protokollen gespeichert sind, im Dateiformat verarbeiten oder freigeben. Sie können eine Exportaufgabe erstellen, um eine Protokollgruppe für ein bestimmtes Datum oder einen bestimmten Zeitraum nach Amazon S3 zu exportieren. Sie können beispielsweise festlegen, dass Protokolle täglich zu Analyse- und Prüfungszwecken nach Amazon S3 exportiert werden sollen. Lambda kann verwendet werden, um diese Lösung zu automatisieren. Sie können diese Lösung auch mit der Amazon S3-Replikation kombinieren, um Ihre Protokolle von mehreren Konten und Regionen an ein zentrales Konto und eine zentrale Region zu senden und zu zentralisieren.

Die CloudWatch Agentenkonfiguration kann auch ein credentials Feld im agent Abschnitt angeben. Dies gibt eine IAM-Rolle an, die beim Senden von Metriken und Protokollen an ein anderes Konto verwendet werden soll. Falls angegeben, enthält dieses Feld den role_arn Parameter . Dieses Feld kann nur verwendet werden, wenn Sie eine zentrale Protokollierung und Überwachung in einem bestimmten zentralen Konto und einer bestimmten Region benötigen.

Sie können AWS SDK auch verwenden, um Ihre eigene benutzerdefinierte Verarbeitungsanwendung in einer Sprache Ihrer Wahl zu schreiben, Protokolle und Metriken aus Ihren Konten zu lesen und Daten zur weiteren Verarbeitung und Überwachung an ein zentrales Konto oder ein anderes Ziel zu senden.