本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用遙測啟用規則
您可以建立遙測啟用規則,以自動設定 AWS 資源的遙測收集。規則可協助您將整個組織或帳戶的遙測收集標準化,並確保一致的監控涵蓋範圍。
啟用規則與 整合 AWS Config
CloudWatch 遙測稽核和組態會與 整合 AWS Config ,以自動探索符合您啟用規則的資源,並將其套用至遙測資料收集。當您建立啟用規則時,遙測組態會建立對應的 AWS Config 記錄器。此記錄器包含您在啟用規則中定義之特定資源類型的組態項目。
您可以啟用遙測組態,無需額外費用。當您使用啟用規則自動管理遙測時,會根據您在啟用規則中指定的資源類型所記錄的組態項目數量 AWS Config 來收取費用。如需詳細資訊,請參閱 AWS Config 定價
注意
如果您 AWS Config 已啟用特定資源類型的組態項目記錄,則不會再次向您收取費用。
遙測組態使用 AWS Config 來:
-
探索整個組織或帳戶的資源
-
追蹤遙測組態變更
了解啟用規則行為
遙測組態在評估和套用規則時遵循特定模式:
啟用規則會根據階層模式進行評估。首先評估組織規則,然後評估適用於組織單位 (OUs規則,最後評估適用於個別帳戶的規則。組織層級的規則為您的組織提供基準所需的遙測。OU 和帳戶層級的規則可以收集其他遙測資料,但無法收集較少的遙測資料。如果建立此類規則,則會建立規則衝突。
在每個範圍內 (組織、OU 或帳戶),規則必須根據其資源類型、遙測類型和目的地組態來維持唯一性。重複規則會觸發衝突例外狀況。如果不同範圍內存在相同的規則,例如 VPC 流程日誌至 CloudWatch 的組織層級規則,以及 VPC 流程日誌的 OU 層級規則,則會套用階層中較高的規則。不過,如果有多個規則發生衝突,則不會套用任何規則。
對於 VPC 流程日誌,遙測組態只會為符合規則範圍的資源建立新的流程日誌。它不會刪除或影響先前建立的 VPC 流程日誌,即使它們與目前的規則參數不同。對於 CloudWatch Logs,只要現有日誌群組符合資源模式,就會予以維護。
如果您更新啟用規則,則只有符合規則的新資源會採用更新的組態,現有資源的遙測設定保持不變。如果資源因為手動刪除遙測資料而不符合現有規則,則一旦資源恢復合規,就會採用新的啟用規則。
建立遙測啟用規則
當您建立遙測啟用規則時,您可以指定:
-
規則的範圍 (組織、組織單位或帳戶)
-
規則套用到的資源類型
-
要啟用的遙測類型 (指標、日誌或追蹤)
-
篩選規則影響哪些資源的選用標籤
建立遙測啟用規則
透過 https://console.aws.amazon.com/cloudwatch/
開啟 CloudWatch 主控台。 -
在導覽窗格中,選擇遙測組態。
-
選擇啟用規則索引標籤。
-
選擇新增規則。
-
針對 規則名稱,輸入您的規則名稱。
-
針對規則範圍,選擇下列其中一項:
-
Organization - 規則適用於您的整個 AWS Organizations
-
組織單位 - 規則適用於特定 OU
-
帳戶 - 規則適用於單一帳戶
-
-
針對資料來源,選取要設定的 AWS 服務。
-
針對遙測類型,選取要啟用的遙測類型。
-
選用:新增標籤以篩選規則影響的資源。
-
選擇建立規則。
管理遙測規則
建立規則之後,您可以編輯或刪除規則。您也可以檢視每個規則影響和監控規則合規的資源。
管理現有規則
透過 https://console.aws.amazon.com/cloudwatch/
開啟 CloudWatch 主控台。 -
在導覽窗格中,選擇遙測組態。
-
選擇啟用規則索引標籤。
-
選取規則以檢視其詳細資訊,或選擇下列其中一個動作:
-
編輯 - 修改規則設定
-
刪除 - 移除規則
-
對遙測組態進行故障診斷
本節說明使用遙測組態時可能遇到的常見問題,以及如何解決這些問題。
規則衝突和解決
當多個規則套用到相同的資源時,遙測組態會使用這些優先順序解決衝突:
-
組織層級規則優先於帳戶層級規則
-
更具體的標籤比對優先於一般規則
-
如果有多個衝突規則,則不會套用任何規則,您必須先解決衝突。
常見問題
- 探索中未顯示的資源
-
請驗證:
-
支援 資源類型
-
AWS 組態記錄器已啟用
-
您擁有適當的 IAM 許可
-
- 規則未自動套用
-
檢查:
-
規則範圍組態
-
標籤篩選條件
-
服務特定的考量事項
- Amazon VPC 流程日誌
-
建立流程日誌時:
-
如果未指定,則使用預設模式 /aws/vpc/
vpc-id -
保留現有客戶建立的流程日誌
-
規則更新只會影響新的流程日誌
-
