Utilizzo delle regole di abilitazione della telemetria - Amazon CloudWatch
Integrazione delle regole di abilitazione con AWS ConfigComprensione del comportamento delle regole di abilitazioneCreazione di regole di abilitazione della telemetriaGestione delle regole di telemetriaRisoluzione dei problemi di configurazione della telemetria

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo delle regole di abilitazione della telemetria

Puoi creare regole di abilitazione della telemetria per configurare automaticamente la raccolta di telemetria per le tue risorse. AWS Le regole ti aiutano a standardizzare la raccolta di telemetria in tutta l'organizzazione o negli account e a garantire una copertura di monitoraggio coerente.

Integrazione delle regole di abilitazione con AWS Config

CloudWatch Il controllo e la configurazione della telemetria si integrano per scoprire automaticamente le risorse che corrispondono alla regola di abilitazione e applicarle AWS Config alla raccolta dei dati di telemetria. Quando si crea una regola di abilitazione, la configurazione di telemetria crea un registratore corrispondente. AWS Config Questo registratore include elementi di configurazione per i tipi di risorse specifici definiti nella regola di abilitazione.

È possibile abilitare la configurazione di telemetria senza costi aggiuntivi. Quando si utilizzano le regole di abilitazione per gestire automaticamente la telemetria, i AWS Config costi vengono applicati in base al numero di elementi di configurazione registrati per i tipi di risorse specificati nella regola di abilitazione. Per ulteriori informazioni, consulta Prezzi di AWS Config.

Nota

Se hai AWS Config già abilitato la registrazione degli elementi di configurazione per il tipo di risorsa specifico, non ti verrà addebitato nuovamente alcun costo.

La configurazione di telemetria consente di: AWS Config

  • Scopri le risorse della tua organizzazione o dei tuoi account

  • Tieni traccia delle modifiche alla configurazione della telemetria

Comprensione del comportamento delle regole di abilitazione

La configurazione della telemetria segue schemi specifici durante la valutazione e l'applicazione delle regole:

Le regole di abilitazione vengono valutate secondo uno schema gerarchico. Vengono valutate prima le regole organizzative, poi le regole che si applicano alle unità organizzative (OUs) e infine le regole che si applicano ai singoli account. Le regole a livello organizzativo forniscono la telemetria di base richiesta per l'organizzazione. Le regole a livello di unità organizzativa e di account possono raccogliere dati di telemetria aggiuntivi, ma non possono raccogliere meno dati di telemetria. Se viene creata una regola di questo tipo, si creerà un conflitto di regole.

All'interno di ogni ambito (organizzazione, unità organizzativa o account), le regole devono mantenere l'unicità in base al tipo di risorsa, al tipo di telemetria e alla configurazione di destinazione. Le regole duplicate attivano un'eccezione di conflitto. Se la stessa regola esiste in ambiti diversi, ad esempio una regola a livello di organizzazione per i log del flusso VPC e una regola CloudWatch a livello di unità organizzativa per i log del flusso VPC, viene applicata la regola più in alto nella gerarchia. Tuttavia, se ci sono più regole in conflitto, nessuna di esse viene applicata.

Per i log di flusso VPC, Telemetry Config crea solo nuovi log di flusso per le risorse che corrispondono all'ambito della regola. Non elimina né influisce sui log di flusso VPC precedentemente stabiliti, anche se differiscono dai parametri delle regole correnti. Per CloudWatch i log, i gruppi di log esistenti vengono mantenuti a condizione che corrispondano al modello di risorse.

Se si aggiorna una regola di abilitazione, solo le nuove risorse che corrispondono alla regola adottano la configurazione aggiornata, mentre le impostazioni di telemetria esistenti rimangono invariate per le risorse esistenti. Se una risorsa non è conforme a una regola esistente a causa dell'eliminazione manuale dei dati di telemetria, la nuova regola di abilitazione viene adottata una volta che la risorsa viene ripristinata la conformità.

Creazione di regole di abilitazione della telemetria

Quando si crea una regola di abilitazione della telemetria, si specifica:

  • L'ambito della regola (organizzazione, unità organizzativa o account)

  • I tipi di risorse a cui si applica la regola

  • I tipi di telemetria da abilitare (metriche, log o tracce)

  • Tag opzionali per filtrare le risorse interessate dalla regola

Per creare una regola di abilitazione della telemetria

  1. Apri la console all'indirizzo. CloudWatch https://console.aws.amazon.com/cloudwatch/

  2. Nel riquadro di navigazione, scegli Configurazione di telemetria.

  3. Scegli la scheda Regole di abilitazione.

  4. Scegli Aggiungi regola.

  5. In Nome regola, inserisci un nome per la regola.

  6. Per Ambito della regola, scegli una delle seguenti opzioni:

    • Organizzazione: la regola si applica a tutta l'organizzazione AWS Organizations

    • Unità organizzativa: la regola si applica a un'unità organizzativa specifica

    • Account: la regola si applica a un singolo account

  7. Per Origine dati, seleziona il AWS servizio da configurare.

  8. Per Tipo di telemetria, seleziona i tipi di telemetria da abilitare.

  9. Facoltativo: aggiungi tag per filtrare le risorse interessate dalla regola.

  10. Scegli Crea regola.

Gestione delle regole di telemetria

Dopo aver creato le regole, puoi modificarle o eliminarle. È inoltre possibile visualizzare le risorse interessate da ciascuna regola e monitorare la conformità delle regole.

Per gestire una regola esistente

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel riquadro di navigazione, scegli Configurazione di telemetria.

  3. Scegli la scheda Regole di abilitazione.

  4. Seleziona una regola per visualizzarne i dettagli o scegli una di queste azioni:

    • Modifica: modifica le impostazioni delle regole

    • Elimina: rimuove la regola

Risoluzione dei problemi di configurazione della telemetria

Questa sezione descrive i problemi più comuni che potrebbero verificarsi durante l'utilizzo della configurazione di telemetria e come risolverli.

Conflitti e risoluzione delle regole

Quando più regole si applicano alla stessa risorsa, la configurazione di telemetria risolve i conflitti utilizzando queste priorità:

  1. Le regole a livello organizzativo hanno la precedenza sulle regole a livello di account

  2. Le corrispondenze di tag più specifiche hanno la precedenza sulle regole generali

  3. Se esistono più regole in conflitto, nessuna delle regole viene applicata, è necessario prima risolvere i conflitti.

Problemi comuni

Risorse non presenti in Discovery

Verificare che:

  • Il tipo di risorsa è supportato

  • AWS Il registratore Config è abilitato

  • Disponi delle autorizzazioni IAM appropriate

Le regole non si applicano automaticamente

Controlla:

  • Configurazione dell'ambito delle regole

  • Filtri per i tag

Considerazioni specifiche sul servizio

Registri di flusso di Amazon VPC

Durante la creazione di log di flusso:

  • Utilizza il pattern predefinito vpc-id /aws/vpc/ se non è specificato

  • I log di flusso esistenti creati dal cliente vengono conservati

  • Gli aggiornamenti delle regole influiscono solo sui nuovi registri di flusso