建立 Amazon CloudWatch 警示來監控 AWS Trusted Advisor 指標 - AWS Support

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 Amazon CloudWatch 警示來監控 AWS Trusted Advisor 指標

AWS Trusted Advisor 重新整理檢查時,Trusted Advisor 會將有關檢查結果的指標發佈至 CloudWatch。您可以在 CloudWatch 中檢視這些指標。您也可以建立警示,偵測資源和服務配額使用量 (先前稱為限額) 的 Trusted Advisor 檢查和狀態變更。例如,您可以建立警示,追蹤 Service Limits (服務配額) 類別中檢查的狀態變更。您達到或超過 AWS 帳戶的服務配額時,警示就會通知您。

依照此程序操作,針對特定 Trusted Advisor 指標建立 CloudWatch 警示。

先決條件

為 Trusted Advisor 指標建立 CloudWatch 警示之前,請先檢閱下列資訊:

  • 瞭解 CloudWatch 如何使用指標和警示。如需詳細資訊,請參閱 Amazon CloudWatch 使用者指南中的 CloudWatch 的運作方式

  • 使用 Trusted Advisor 主控台或 AWS Support API 來重新整理檢查並取得最新的檢查結果。如需詳細資訊,請參閱 重新整理檢查結果

為 Trusted Advisor 指標建立 CloudWatch 警示
  1. https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 使用 Region selector (區域選擇器),選擇 US East (N. Virginia)美國東部 (維吉尼亞北部)) AWS 區域。

  3. 在導覽窗格中,選擇 Alarms (警示)。

  4. 選擇建立警示

  5. 選擇 Select metric (選取指標)。

  6. 針對 Metrics (指標),輸入一或多個維度值來篩選指標清單。例如,您可以輸入指標名稱 ServiceLimitUsage,也可輸入維度,例如 Trusted Advisor 檢查名稱。

    提示
  7. 在結果表格中,選取該指標的核取方塊。

    在下列範例中,檢查名稱為 IAM 存取金鑰輪換,而指標名稱為 YellowResources

    螢幕擷取畫面顯示 CloudWatch 主控台中 Trusted Advisor 的 IAM 密碼政策檢查名稱。
  8. 選擇 Select metric (選取指標)。

  9. Specify metric and conditions (指定指標和條件) 頁面上,確認 Metric name (指標名稱)CheckName 有顯示在頁面上。

  10. 針對 Period (期間),您可以指定檢查狀態變更時要啟動警示的期間,例如 5 分鐘。

  11. Conditions (條件) 底下,選擇 Static (靜態),然後指定應啟動警示的警示條件。

    例如,如果您選擇 Greater/Equal >=threshold (大於/等於 >= 閾值),然後輸入 1 閾值,就表示 Trusted Advisor 偵測到至少一個 IAM 存取金鑰在過去 90 天內未輪換時,警示就會啟動。

    備註
    • 對於 GreenChecksRedChecksYellowChecksRedResourcesYellowResources 指標,您指定的閾值可以是大於或等於零的任何整數。

    • Trusted Advisor 不會傳送 GreenResources 的指標,這些是 Trusted Advisor 未偵測到任何問題的資源。

  12. 選擇 Next (下一步)

  13. Configure actions (設定動作) 頁面上,為 Alarm state trigger (警示狀態觸發) 選擇 In alarm (警示中)

  14. Select an SNS topic (選取 SNS 主題) 中,選擇現有的 Amazon Simple Notification Service (Amazon SNS) 主題,或建立一個主題。

    螢幕擷取畫面顯示 CloudWatch 主控台中用於監控 Trusted Advisor 指標的警示之通知設定。
  15. 選擇 Next (下一步)

  16. Name and description (名稱和描述) 中,輸入警示的名稱和描述。

  17. 選擇 Next (下一步)

  18. Preview and create (預覽並建立) 頁面上,檢閱您的警示詳細資訊,然後選擇 Create alarm (建立警示)

    IAM 存取金鑰輪換檢查的狀態變為紅色 5 分鐘,警示會傳送通知至您的 SNS 主題。

範例 :CloudWatch 警示的電子郵件通知

下列電子郵件訊息顯示警示偵測到 IAM 存取金鑰輪換檢查有所變化。

You are receiving this email because your Amazon CloudWatch Alarm "IAMAcessKeyRotationCheckAlarm" in the US East (N. Virginia) region has entered the ALARM state, because "Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition)." at "Friday 26 March, 2021 22:49:42 UTC". View this alarm in the AWS Management Console: https://us-east-1.console.aws.amazon.com/cloudwatch/home?region=us-east-1#s=Alarms&alarm=IAMAcessKeyRotationCheckAlarm Alarm Details: - Name: IAMAcessKeyRotationCheckAlarm - Description: This alarm starts when one or more AWS access keys in my AWS account have not been rotated in the last 90 days. - State Change: INSUFFICIENT_DATA -> ALARM - Reason for State Change: Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition). - Timestamp: Friday 26 March, 2021 22:49:42 UTC - AWS Account: 123456789012 - Alarm Arn: arn:aws:cloudwatch:us-east-1:123456789012:alarm:IAMAcessKeyRotationCheckAlarm Threshold: - The alarm is in the ALARM state when the metric is GreaterThanOrEqualToThreshold 1.0 for 300 seconds. Monitored Metric: - MetricNamespace: AWS/TrustedAdvisor - MetricName: RedResources - Dimensions: [CheckName = IAM Access Key Rotation] - Period: 300 seconds - Statistic: Average - Unit: not specified - TreatMissingData: missing State Change Actions: - OK: - ALARM: [arn:aws:sns:us-east-1:123456789012:Default_CloudWatch_Alarms_Topic] - INSUFFICIENT_DATA:

Trusted Advisor 的 CloudWatch 指標

您可以使用 CloudWatch 主控台或 AWS Command Line Interface(AWS CLI) 尋找 Trusted Advisor 可用的指標。

如需發佈指標的所有服務之命名空間、指標和維度清單,請參閱 Amazon CloudWatch 使用者指南中的發佈 CloudWatch 指標的 AWS 服務

檢視 Trusted Advisor 指標 (主控台)

您可以登入 CloudWatch 主控台並檢視 Trusted Advisor 可用的指標。

檢視可用的 Trusted Advisor 指標 (主控台)
  1. https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 使用 Region selector (區域選擇器),選擇 US East (N. Virginia)美國東部 (維吉尼亞北部)) AWS 區域。

  3. 在導覽窗格中,選擇 Metrics (指標)。

  4. 輸入指標命名空間,例如 TrustedAdvisor

  5. 選擇指標維度,例如 Check Metrics (檢查指標)

    CloudWatch 主控台中 Trusted Advisor 可用指標的螢幕擷取畫面。
  6. All metrics (所有指標) 索引標籤會顯示命名空間中該維度的指標。您可以執行下列作業:

    1. 若要將表格排序,請選擇直欄標題。

    2. 若要將指標圖形化,請勾選指標旁的核取方塊。若要選擇所有指標,請勾選表格標題列中的核取方塊。

    3. 若要依指標篩選,請選擇指標名稱,然後選擇 Add to search (新增至搜尋)。

    下列範例顯示安全性群組 - 不受限制的特定連接埠檢查的結果。這項檢查識別出 13 個黃色的資源。Trusted Advisor 建議您對黃色的檢查進行調查。

    CloudWatch 主控台中的圖表,包含安全性群組 - 不受限制的特定連接埠檢查的兩個資源指標。
  7. (選用) 若要將此圖表新增至 CloudWatch 儀表板,請選擇 Actions (動作),然後選擇 Add to dashboard (新增至儀表板)

    如需建立圖表以檢視指標的詳細資訊,請參閱 Amazon CloudWatch 使用者指南中的建立指標圖表

檢視 Trusted Advisor 指標 (CLI)

您可以使用 list-metrics AWS CLI 命令來檢視 Trusted Advisor 可用的指標。

範例 :列出 Trusted Advisor 的所有指標

以下範例指定 AWS/TrustedAdvisor 命名空間,用於檢視 Trusted Advisor 的所有指標。

aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor

輸出看起來應該類似以下內容。

{ "Metrics": [ { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "EBS" }, { "Name": "ServiceLimit", "Value": "Magnetic (standard) volume storage (TiB)" }, { "Name": "Region", "Value": "ap-northeast-2" } ], "MetricName": "ServiceLimitUsage" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Overutilized Amazon EBS Magnetic Volumes" } ], "MetricName": "YellowResources" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "EBS" }, { "Name": "ServiceLimit", "Value": "Provisioned IOPS" }, { "Name": "Region", "Value": "eu-west-1" } ], "MetricName": "ServiceLimitUsage" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "EBS" }, { "Name": "ServiceLimit", "Value": "Provisioned IOPS" }, { "Name": "Region", "Value": "ap-south-1" } ], "MetricName": "ServiceLimitUsage" }, ... ] }
範例 :列出一個維度的所有指標

以下範例指定 AWS/TrustedAdvisor 命名空間和 Region 維度,用於檢視指定 AWS 區域可用的指標。

aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --dimensions Name=Region,Value=us-east-1

輸出看起來應該類似以下內容。

{ "Metrics": [ { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "SES" }, { "Name": "ServiceLimit", "Value": "Daily sending quota" }, { "Name": "Region", "Value": "us-east-1" } ], "MetricName": "ServiceLimitUsage" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "AutoScaling" }, { "Name": "ServiceLimit", "Value": "Launch configurations" }, { "Name": "Region", "Value": "us-east-1" } ], "MetricName": "ServiceLimitUsage" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "ServiceName", "Value": "CloudFormation" }, { "Name": "ServiceLimit", "Value": "Stacks" }, { "Name": "Region", "Value": "us-east-1" } ], "MetricName": "ServiceLimitUsage" }, ... ] }
範例 :列出特定指標名稱的指標

以下範例指定 AWS/TrustedAdvisor 命名空間和 RedResources 指標名稱,用於僅檢視此指定指標的結果。

aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --metric-name RedResources

輸出看起來應該類似以下內容。

{ "Metrics": [ { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Amazon RDS Security Group Access Risk" } ], "MetricName": "RedResources" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Exposed Access Keys" } ], "MetricName": "RedResources" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Large Number of Rules in an EC2 Security Group" } ], "MetricName": "RedResources" }, { "Namespace": "AWS/TrustedAdvisor", "Dimensions": [ { "Name": "CheckName", "Value": "Auto Scaling Group Health Check" } ], "MetricName": "RedResources" }, ... ] }

Trusted Advisor 指標與維度

請參閱下表,查看可用於 CloudWatch 警示和圖表的 Trusted Advisor 指標和維度。

Trusted Advisor 檢查層級指標

您可以為 Trusted Advisor 檢查使用下列指標。

指標 描述
RedResources

處於紅色狀態的資源數目 (建議採取動作)。

YellowResources

處於黃色狀態的資源數目 (建議進行調查)。

Trusted Advisor 類別層級指標

您可以為 Trusted Advisor 類別使用下列指標。

指標 描述
GreenChecks

處於綠色狀態的 Trusted Advisor 檢查數量 (未偵測到任何問題)。

RedChecks

處於紅色狀態的 Trusted Advisor 檢查數量 (建議採取動作)。

YellowChecks

處於黃色狀態的 Trusted Advisor 檢查數量 (建議進行調查)。

Trusted Advisor 服務配額層級指標

您可以為 AWS 服務 quotas 使用下列指標。

指標 描述
ServiceLimitUsage

針對服務配額 (先前稱為限額) 的資源使用量百分比。

檢查層級指標的維度

您可以為 Trusted Advisor 檢查使用下列維度。

維度 描述
CheckName

Trusted Advisor 檢查的名稱。

您可以在 Trusted Advisor主控台AWS Trusted Advisor 檢查參考 中查看所有檢查名稱。

類別層級指標的維度

您可以為 Trusted Advisor 檢查類別使用下列維度。

維度 描述
Category

Trusted Advisor 檢查類別的名稱。

您可以在 Trusted Advisor主控台檢視檢查類別 頁面上查看所有檢查類別。

服務配額指標的維度

您可以為 Trusted Advisor 服務配額指標使用下列維度。

維度 描述
Region

Service quotas 的 AWS 區域。

ServiceName

AWS 服務 的名稱。

ServiceLimit

服務配額的名稱。

如需有關服務配額的詳細資訊,請參閱《AWS 一般參考》中的 AWS 服務 配額