本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立 Amazon CloudWatch 警示來監控 AWS Trusted Advisor 指標
AWS Trusted Advisor 重新整理檢查時, 會將檢查結果的相關指標 Trusted Advisor 發佈至 CloudWatch。您可以在 CloudWatch 中檢視這些指標。您也可以建立警示,以偵測資源的 Trusted Advisor 檢查狀態變更和狀態變更,以及服務配額用量 (先前稱為限制)。
依照此程序來為特定指標建立 CloudWatch Trusted Advisor 警示。
先決條件
為 Trusted Advisor 指標建立 CloudWatch 警示之前,請檢閱下列資訊:
-
瞭解 CloudWatch 如何使用指標和警示。如需詳細資訊,請參閱 Amazon CloudWatch 使用者指南中的 CloudWatch 的運作方式。
-
使用 Trusted Advisor 主控台或 AWS Support API 重新整理您的檢查,並取得最新的檢查結果。如需詳細資訊,請參閱重新整理檢查結果。
為 Trusted Advisor 指標建立 CloudWatch 警示
透過 https://console.aws.amazon.com/cloudwatch/
開啟 CloudWatch 主控台。 -
使用區域選擇器,然後選擇美國東部 (維吉尼亞北部)區域。 AWS
-
在導覽窗格中,選擇 Alarms (警示)。
-
選擇建立警示。
-
選擇 Select metric (選取指標)。
-
針對 Metrics (指標),輸入一或多個維度值來篩選指標清單。例如,您可以輸入指標名稱 ServiceLimitUsage 或維度,例如 Trusted Advisor 檢查名稱。
提示
-
您可以搜尋
Trusted Advisor以列出服務的所有指標。 -
如需指標及維度的清單,請參閱「Trusted Advisor 指標和維度」。
-
-
在結果表格中,選取該指標的核取方塊。
在下列範例中,檢查名稱為 IAM 存取金鑰輪換,而指標名稱為 YellowResources。
-
選擇選取指標。
-
在 Specify metric and conditions (指定指標和條件) 頁面上,確認 Metric name (指標名稱) 和 CheckName 有顯示在頁面上。
-
針對 Period (期間),您可以指定檢查狀態變更時要啟動警示的期間,例如 5 分鐘。
-
在 Conditions (條件) 底下,選擇 Static (靜態),然後指定應啟動警示的警示條件。
例如,如果您選擇 Greater/Equal >=threshold (大於/等於 >= 閾值),然後輸入
1閾值,就表示 Trusted Advisor 偵測到至少一個 IAM 存取金鑰在過去 90 天內未輪換時,警示就會啟動。備註
-
對於 GreenChecks、RedChecks、YellowChecks、RedResources 和 YellowResources 指標,您指定的閾值可以是大於或等於零的任何整數。
-
Trusted Advisor 不會傳送 GreenResources 的指標,GreenResources 是 Trusted Advisor 未偵測到任何問題的資源。
-
-
選擇 Next (下一步)。
-
在 Configure actions (設定動作) 頁面上,為 Alarm state trigger (警示狀態觸發) 選擇 In alarm (警示中)。
-
在 Select an SNS topic (選取 SNS 主題) 中,選擇現有的 Amazon Simple Notification Service (Amazon SNS) 主題,或建立一個主題。
-
選擇 Next (下一步)。
-
在 Name and description (名稱和描述) 中,輸入警示的名稱和描述。
-
選擇 Next (下一步)。
-
在 Preview and create (預覽並建立) 頁面上,檢閱您的警示詳細資訊,然後選擇 Create alarm (建立警示)。
當 IAM 存取金鑰輪換檢查的狀態變為紅色 5 分鐘,警示會傳送通知至您的 SNS 主題。
範例 :CloudWatch 警示的電子郵件通知
下列電子郵件訊息顯示警示偵測到 IAM 存取金鑰輪換檢查有所變化。
You are receiving this email because your Amazon CloudWatch Alarm "IAMAcessKeyRotationCheckAlarm" in the US East (N. Virginia) region has entered the ALARM state, because "Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition)." at "Friday 26 March, 2021 22:49:42 UTC". View this alarm in the AWS Management Console: https://us-east-1.console.aws.amazon.com/cloudwatch/home?region=us-east-1#s=Alarms&alarm=IAMAcessKeyRotationCheckAlarm Alarm Details: - Name: IAMAcessKeyRotationCheckAlarm - Description: This alarm starts when one or more AWS access keys in my AWS account have not been rotated in the last 90 days. - State Change: INSUFFICIENT_DATA -> ALARM - Reason for State Change: Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition). - Timestamp: Friday 26 March, 2021 22:49:42 UTC - AWS Account: 123456789012 - Alarm Arn: arn:aws:cloudwatch:us-east-1:123456789012:alarm:IAMAcessKeyRotationCheckAlarm Threshold: - The alarm is in the ALARM state when the metric is GreaterThanOrEqualToThreshold 1.0 for 300 seconds. Monitored Metric: - MetricNamespace: AWS/TrustedAdvisor - MetricName: RedResources - Dimensions: [CheckName = IAM Access Key Rotation] - Period: 300 seconds - Statistic: Average - Unit: not specified - TreatMissingData: missing State Change Actions: - OK: - ALARM: [arn:aws:sns:us-east-1:123456789012:Default_CloudWatch_Alarms_Topic] - INSUFFICIENT_DATA:
Trusted Advisor的 CloudWatch 指標
您可以使用 CloudWatch 主控台或 AWS Command Line Interface (AWS CLI) 來尋找 可用的指標 Trusted Advisor。
如需發佈指標的所有服務之命名空間、指標和維度清單,請參閱 Amazon CloudWatch 使用者指南中的發佈 CloudWatch 指標的AWS 服務。
檢視 Trusted Advisor 指標 (主控台)
您可以登入 CloudWatch 主控台並檢視 的可用指標 Trusted Advisor。
檢視可用的 Trusted Advisor 指標 (主控台)
透過 https://console.aws.amazon.com/cloudwatch/
開啟 CloudWatch 主控台。 -
使用區域選擇器,然後選擇美國東部 (維吉尼亞北部)區域。 AWS
-
在導覽窗格中,選擇 指標。
-
輸入指標命名空間,例如
TrustedAdvisor。 -
選擇指標維度,例如 Check Metrics (檢查指標)。
-
All metrics (所有指標) 索引標籤會顯示命名空間中該維度的指標。您可以執行下列作業:
-
若要將表格排序,請選擇直欄標題。
-
若要將指標圖形化,請勾選指標旁的核取方塊。若要選擇所有指標,請勾選表格標題列中的核取方塊。
-
若要依指標篩選,請選擇指標名稱,然後選擇 Add to search (新增至搜尋)。
下列範例顯示安全性群組 - 不受限制的特定連接埠檢查的結果。檢查會識別 13 個黃色資源。 Trusted Advisor 建議您調查黃色的檢查。
-
-
(選用) 若要將此圖表新增至 CloudWatch 儀表板,請選擇 Actions (動作),然後選擇 Add to dashboard (新增至儀表板)。
如需建立圖表以檢視指標的詳細資訊,請參閱 Amazon CloudWatch 使用者指南中的建立指標圖表。
檢視 Trusted Advisor 指標 (CLI)
您可以使用 list-metrics AWS CLI 命令來檢視 的可用指標 Trusted Advisor。
範例 :列出 的所有指標 Trusted Advisor
下列範例指定要檢視所有指標的AWS/TrustedAdvisor命名空間 Trusted Advisor。
aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor
輸出看起來應該類似以下內容。
{ "Metrics": [ { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "EBS" }, { "Name": "ServiceLimit", "Value": "Magnetic (standard) volume storage (TiB)" }, { "Name": "Region", "Value": "ap-northeast-2" } ], "MetricName": "ServiceLimitUsage" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Overutilized Amazon EBS Magnetic Volumes" } ], "MetricName": "YellowResources" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "EBS" }, { "Name": "ServiceLimit", "Value": "Provisioned IOPS" }, { "Name": "Region", "Value": "eu-west-1" } ], "MetricName": "ServiceLimitUsage" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "EBS" }, { "Name": "ServiceLimit", "Value": "Provisioned IOPS" }, { "Name": "Region", "Value": "ap-south-1" } ], "MetricName": "ServiceLimitUsage" }, ... ] }
範例 :列出一個維度的所有指標
以下範例指定 AWS/TrustedAdvisor 命名空間和 Region 維度,用於檢視指定 AWS
區域可用的指標。
aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --dimensions Name=Region,Value=us-east-1
輸出看起來應該類似以下內容。
{ "Metrics": [ { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "SES" }, { "Name": "ServiceLimit", "Value": "Daily sending quota" }, { "Name": "Region", "Value": "us-east-1" } ], "MetricName": "ServiceLimitUsage" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "AutoScaling" }, { "Name": "ServiceLimit", "Value": "Launch configurations" }, { "Name": "Region", "Value": "us-east-1" } ], "MetricName": "ServiceLimitUsage" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "CloudFormation" }, { "Name": "ServiceLimit", "Value": "Stacks" }, { "Name": "Region", "Value": "us-east-1" } ], "MetricName": "ServiceLimitUsage" }, ... ] }
範例 :列出特定指標名稱的指標
以下範例指定 AWS/TrustedAdvisor 命名空間和 RedResources 指標名稱,用於僅檢視此指定指標的結果。
aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --metric-nameRedResources
輸出看起來應該類似以下內容。
{ "Metrics": [ { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Amazon RDS Security Group Access Risk" } ], "MetricName": "RedResources" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Exposed Access Keys" } ], "MetricName": "RedResources" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Large Number of Rules in an EC2 Security Group" } ], "MetricName": "RedResources" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Auto Scaling Group Health Check" } ], "MetricName": "RedResources" }, ... ] }
Trusted Advisor 指標和維度
如需可用於 CloudWatch 警示和圖形的 Trusted Advisor 指標和維度,請參閱下表。
Trusted Advisor 檢查層級指標
您可以使用下列指標進行 Trusted Advisor 檢查。
| 指標 | 描述 |
|---|---|
RedResources |
處於紅色狀態的資源數目 (建議採取動作)。 |
YellowResources |
處於黃色狀態的資源數目 (建議進行調查)。 |
Trusted Advisor 服務配額層級指標
您可以使用下列 指標進行 AWS 服務 配額。
| 指標 | 描述 |
|---|---|
ServiceLimitUsage |
針對服務配額 (先前稱為限額) 的資源使用量百分比。 |
檢查層級指標的維度
您可以使用下列維度進行 Trusted Advisor 檢查。
| 維度 | 描述 |
|---|---|
CheckName |
Trusted Advisor 檢查的名稱。 您可以在 Trusted Advisor 主控台 |
服務配額指標的維度
您可以針對 Trusted Advisor 服務配額指標使用下列維度。
| 維度 | 描述 |
|---|---|
Region |
服務配額 AWS 區域 的 。 |
ServiceName |
AWS 服務的名稱。 |
ServiceLimit |
服務配額的名稱。 如需有關服務配額的詳細資訊,請參閱《AWS 一般參考》中的 AWS 服務 配額。 |
