Membuat integrasi sumber data Amazon CloudWatch Logs di OpenSearch Layanan - OpenSearch Layanan Amazon
PrasyaratProsedurLangkah selanjutnyaSumber daya tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat integrasi sumber data Amazon CloudWatch Logs di OpenSearch Layanan

Jika Anda menggunakan Amazon OpenSearch Tanpa Server untuk kebutuhan observabilitas, kini Anda dapat menganalisis CloudWatch Log Amazon tanpa menyalin atau memasukkan data ke dalam Layanan. OpenSearch Kemampuan ini memanfaatkan kueri langsung untuk kueri data, mirip dengan menganalisis data di Amazon OpenSearch S3 dari Layanan. Anda dapat memulai dengan membuat sumber data baru yang terhubung dari AWS Management Console.

Anda dapat membuat sumber data baru untuk menganalisis data CloudWatch Log tanpa harus membuat Amazon OpenSearch Tanpa Server untuk secara langsung menanyakan log operasional di CloudWatch Log. Hal ini memungkinkan Anda untuk menganalisis data operasional yang diakses yang berada di luar OpenSearch Layanan. Dengan melakukan kueri di seluruh OpenSearch Layanan dan CloudWatch Log, Anda dapat mulai menganalisis CloudWatch log di Log dan kemudian kembali ke pemantauan sumber data OpenSearch tanpa harus beralih alat.

Untuk menggunakan fitur ini, Anda membuat sumber data kueri langsung CloudWatch Log untuk OpenSearch Layanan melalui Konsol AWS Manajemen.

Prasyarat

Sebelum memulai, pastikan Anda telah meninjau dokumentasi berikut:

Sebelum Anda dapat membuat sumber data, Anda harus memiliki sumber daya berikut di Akun AWS:

  • Aktifkan CloudWatch Log. Konfigurasikan CloudWatch Log untuk mengumpulkan log yang Akun AWS sama dengan OpenSearch sumber daya Anda. Untuk petunjuknya, lihat Memulai CloudWatch Log di panduan pengguna Amazon CloudWatch Logs.

  • Satu atau lebih grup CloudWatch log.Anda dapat menentukan grup log yang berisi data yang ingin Anda kueri. Untuk petunjuk cara membuat grup log, lihat Membuat grup CloudWatch log di Log di panduan pengguna Amazon CloudWatch Logs.

  • (Opsional) Peran IAM yang dibuat secara manual.Anda dapat menggunakan peran ini untuk mengelola akses ke sumber data Anda. Atau, Anda dapat meminta OpenSearch Layanan membuat peran untuk Anda secara otomatis dengan izin yang diperlukan. Jika Anda memilih untuk menggunakan peran IAM yang dibuat secara manual, ikuti panduan diIzin yang diperlukan untuk peran IAM yang dibuat secara manual.

Prosedur

Anda dapat mengatur sumber data kueri tingkat koleksi dengan file. AWS Management Console

Untuk menyiapkan sumber data tingkat pengumpulan menggunakan AWS Management Console

  1. Arahkan ke konsol OpenSearch Layanan Amazon dihttps://console.aws.amazon.com/aos/.

  2. Di panel navigasi kiri, buka Manajemen pusat dan pilih Sumber data yang terhubung.

  3. Pilih Hubungkan.

  4. Pilih CloudWatchsebagai tipe sumber data.

  5. Pilih Berikutnya.

  6. Di bawah Rincian koneksi data, masukkan nama dan deskripsi opsional.

  7. Di bawah peran IAM, pilih cara mengelola akses ke grup log.

    1. Jika Anda ingin secara otomatis membuat peran untuk sumber data ini, ikuti langkah-langkah berikut:

      1. Pilih Buat peran baru.

      2. Masukkan Nama IAM role.

      3. Pilih satu atau beberapa grup log untuk menentukan data mana yang dapat ditanyakan.

    2. Jika Anda ingin menggunakan peran yang sudah ada yang Anda kelola sendiri, ikuti langkah-langkah berikut:

      1. Pilih Gunakan peran yang ada.

      2. Pilih peran yang ada dari menu tarik-turun.

    catatan

    Saat menggunakan peran Anda sendiri, Anda harus memastikannya memiliki semua izin yang diperlukan dengan melampirkan kebijakan yang diperlukan dari konsol IAM. Untuk informasi selengkapnya, lihat Izin yang diperlukan untuk peran IAM yang dibuat secara manual.

  8. (Opsional) Di bawah Tag, tambahkan tag ke sumber data Anda.

  9. Pilih Berikutnya.

  10. Di bawah Mengatur OpenSearch, pilih cara mengatur OpenSearch.

    1. Gunakan pengaturan default:

      1. Tinjau nama sumber daya default dan pengaturan penyimpanan data. Kami sarankan Anda menggunakan nama khusus.

        Saat Anda menggunakan pengaturan default, OpenSearch aplikasi baru dan ruang kerja Essentials dibuat untuk Anda tanpa biaya tambahan. OpenSearch memungkinkan Anda untuk menganalisis beberapa sumber data. Ini termasuk ruang kerja, yang memberikan pengalaman yang disesuaikan untuk kasus penggunaan populer. Ruang kerja mendukung kontrol akses, memungkinkan Anda membuat ruang pribadi untuk kasus penggunaan dan membagikannya hanya dengan kolaborator Anda.

    2. Gunakan pengaturan yang disesuaikan:

      1. Pilih Sesuaikan.

      2. Edit nama koleksi dan pengaturan penyimpanan data sesuai kebutuhan.

      3. Pilih OpenSearch aplikasi dan ruang kerja yang ingin Anda gunakan.

  11. Pilih Berikutnya.

  12. Tinjau pilihan Anda dan pilih Edit jika Anda perlu melakukan perubahan.

  13. Pilih Connect untuk mengatur sumber data. Tetap di halaman ini saat sumber data Anda dibuat. Jika sudah siap, Anda akan dibawa ke halaman detail sumber data.

Langkah selanjutnya

Kunjungi OpenSearch Dasbor

Setelah Anda membuat sumber data, OpenSearch Layanan memberi Anda URL OpenSearch Dasbor. Anda menggunakan ini untuk mengonfigurasi kontrol akses, menentukan tabel, mengatur dasbor berbasis tipe log untuk jenis log populer, dan menanyakan data Anda menggunakan SQL atau PPL.

Untuk informasi selengkapnya, lihat Mengkonfigurasi dan menanyakan sumber data CloudWatch Log di Dasbor OpenSearch .

Sumber daya tambahan

Izin yang diperlukan untuk peran IAM yang dibuat secara manual

Saat membuat sumber data, Anda memilih peran IAM untuk mengelola akses ke data Anda. Anda memiliki dua opsi:

  1. Buat peran IAM baru secara otomatis

  2. Gunakan peran IAM yang sudah ada yang Anda buat secara manual

Jika Anda menggunakan peran yang dibuat secara manual, Anda harus melampirkan izin yang benar ke peran tersebut. Izin harus mengizinkan akses ke sumber data tertentu, dan memungkinkan OpenSearch Layanan untuk mengambil peran. Hal ini diperlukan agar OpenSearch Layanan dapat mengakses dan berinteraksi dengan data Anda dengan aman.

Kebijakan contoh berikut menunjukkan izin hak istimewa terkecil yang diperlukan untuk membuat dan mengelola sumber data. Jika Anda memiliki izin yang lebih luas, seperti logs:* atau AdminstratorAccess kebijakan, izin ini mencakup izin hak istimewa terkecil dalam kebijakan sampel.

Dalam contoh kebijakan berikut, ganti placeholder text dengan informasi Anda sendiri.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonOpenSearchDirectQueryAllLogsAccess",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups",
                "logs:StartQuery",
                "logs:GetLogGroupFields"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "accountId"
                }
            },
            "Resource": [
                "arn:aws:logs:region:accountId:log-group:*"
            ]
        }
    ]
}

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonOpenSearchDirectQueryServerlessAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:APIAccessAll",
                "aoss:DashboardsAccessAll"
            ],
            "Resource": [
                "arn:aws:aoss:region:accountId:collection/ARN/*",
                "arn:aws:aoss:region:accountId:collection/ARN"
            ]
        }
    ]
}

Peran juga harus memiliki kebijakan kepercayaan berikut, yang menentukan ID target.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TrustPolicyForAmazonOpenSearchDirectQueryService",
            "Effect": "Allow",
            "Principal": {
                "Service": "directquery.opensearchservice.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:opensearch:region:accountId:datasource/rolename"
                }
            }
        }
    ]
}

Untuk petunjuk cara membuat peran, lihat Membuat peran menggunakan kebijakan kepercayaan kustom.

Secara default, peran memiliki akses ke indeks sumber data kueri langsung saja. Meskipun Anda dapat mengonfigurasi peran untuk membatasi atau memberikan akses ke sumber data Anda, sebaiknya Anda tidak menyesuaikan akses peran ini. Jika Anda menghapus sumber data, peran ini akan dihapus. Ini akan menghapus akses untuk pengguna lain jika mereka dipetakan ke peran tersebut.