Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 1: Erstellen Sie die Integration mit Service OpenSearch
Der erste Schritt besteht darin, die Integration mit OpenSearch Service zu erstellen, was Sie nur einmal tun müssen. Durch die Erstellung der Integration werden die folgenden Ressourcen in Ihrem Konto erstellt.
Eine OpenSearch Service Zeitreihensammlung ohne hohe Verfügbarkeit.
Eine Sammlung besteht aus einer Reihe von OpenSearch Dienstindizes, die zusammenarbeiten, um eine Arbeitslast zu unterstützen.
Zwei Sicherheitsrichtlinien für die Sammlung. In der einen wird der Verschlüsselungstyp definiert, der entweder mit einem vom Kunden verwalteten AWS KMS Schlüssel oder mit einem Schlüssel, der dem Dienst gehört. Die andere Richtlinie definiert den Netzwerkzugriff, sodass die OpenSearch Dienstanwendung auf die Sammlung zugreifen kann. Weitere Informationen finden Sie unter Verschlüsselung ruhender Daten für Amazon OpenSearch Service.
Eine Richtlinie für den Zugriff auf OpenSearch Servicedaten, die definiert, wer auf Daten in der Sammlung zugreifen kann.
Eine OpenSearch Service-Direktabfrage-Datenquelle mit als Quelle definierten CloudWatch Protokollen.
Eine OpenSearch Dienstanwendung mit dem Namen
aws-analytics. Die Anwendung wird so konfiguriert, dass sie die Erstellung eines Workspace ermöglicht. Wenn eine Anwendung mit dem Namenaws-analyticsbereits existiert, wird sie aktualisiert, um diese Sammlung als Datenquelle hinzuzufügen.Ein OpenSearch Service-Workspace, der die Dashboards hostet und es allen Benutzern, denen Zugriff gewährt wurde, ermöglicht, aus dem Workspace zu lesen.
Erforderliche Berechtigungen
Um die Integration zu erstellen, müssen Sie mit einem Konto angemeldet sein, das über die CloudWatchOpenSearchDashboardsFullAccessverwaltete IAM Richtlinie oder gleichwertige Berechtigungen verfügt, wie hier gezeigt. Sie benötigen auch diese Berechtigungen, um die Integration zu löschen, Dashboards zu erstellen, zu bearbeiten und zu löschen und das Dashboard manuell zu aktualisieren.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudWatchOpenSearchDashboardsIntegration", "Effect": "Allow", "Action": [ "logs:ListIntegrations", "logs:GetIntegration", "logs:DeleteIntegration", "logs:PutIntegration", "logs:DescribeLogGroups", "opensearch:ApplicationAccessAll", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "CloudWatchLogsOpensearchReadAPIs", "Effect": "Allow", "Action": [ "aoss:BatchGetCollection", "aoss:BatchGetLifecyclePolicy", "es:ListApplications" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsOpensearchCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService", "Condition": { "StringEquals": { "iam:AWSServiceName": "opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsObservabilityCreateServiceLinkedAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/observability.aoss.amazonaws.com/AWSServiceRoleForAmazonOpenSearchServerless", "Condition": { "StringEquals": { "iam:AWSServiceName": "observability.aoss.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsCollectionRequestAccess", "Effect": "Allow", "Action": [ "aoss:CreateCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsApplicationRequestAccess", "Effect": "Allow", "Action": [ "es:CreateApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/OpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsCollectionResourceAccess", "Effect": "Allow", "Action": [ "aoss:DeleteCollection" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsApplicationResourceAccess", "Effect": "Allow", "Action": [ "es:UpdateApplication", "es:GetApplication" ], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsCollectionPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateSecurityPolicy", "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:DeleteSecurityPolicy", "aoss:GetAccessPolicy", "aoss:GetSecurityPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAPIAccessAll", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": "*", "Condition": { "StringLike": { "aoss:collection": "cloudwatch-logs-*" } } }, { "Sid": "CloudWatchLogsIndexPolicyAccess", "Effect": "Allow", "Action": [ "aoss:CreateAccessPolicy", "aoss:DeleteAccessPolicy", "aoss:GetAccessPolicy", "aoss:CreateLifecyclePolicy", "aoss:DeleteLifecyclePolicy" ], "Resource": "*", "Condition": { "StringLike": { "aoss:index": "cloudwatch-logs-*", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsDQSRequestQueryAccess", "Effect": "Allow", "Action": [ "es:AddDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:RequestTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsStartDirectQueryAccess", "Effect": "Allow", "Action": [ "opensearch:StartDirectQuery", "opensearch:GetDirectQuery" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*" }, { "Sid": "CloudWatchLogsDQSResourceQueryAccess", "Effect": "Allow", "Action": [ "es:GetDirectQueryDataSource", "es:DeleteDirectQueryDataSource" ], "Resource": "arn:aws:opensearch:*:*:datasource/cloudwatch_logs_*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] } } }, { "Sid": "CloudWatchLogsPassRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "directquery.opensearchservice.amazonaws.com", "aws:CalledViaFirst": "logs.amazonaws.com" } } }, { "Sid": "CloudWatchLogsAossTagsAccess", "Effect": "Allow", "Action": [ "aoss:TagResource" ], "Resource": "arn:aws:aoss:*:*:collection/*", "Condition": { "StringEquals": { "aws:CalledViaFirst": "logs.amazonaws.com", "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsApplicationTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:application/*", "Condition": { "StringEquals": { "aws:ResourceTag/OpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "OpenSearchIntegration" } } }, { "Sid": "CloudWatchLogsEsDataSourceTagsAccess", "Effect": "Allow", "Action": [ "es:AddTags" ], "Resource": "arn:aws:opensearch:*:*:datasource/*", "Condition": { "StringEquals": { "aws:ResourceTag/CloudWatchOpenSearchIntegration": [ "Dashboards" ], "aws:CalledViaFirst": "logs.amazonaws.com" }, "ForAllValues:StringEquals": { "aws:TagKeys": "CloudWatchOpenSearchIntegration" } } } ] }
Erstellen Sie die Integration
Gehen Sie wie folgt vor, um die Integration zu erstellen.
Um CloudWatch Logs zu integrieren mit Amazon OpenSearch Service
Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/
. Wählen Sie im linken Navigationsbereich Logs Insights und dann den OpenSearch Tab Analysieren mit aus.
Wählen Sie „Integration erstellen“.
Geben Sie für Integrationsname einen Namen für die Integration ein.
(Optional) Um die in OpenSearch Service Serverless geschriebenen Daten zu verschlüsseln, geben Sie den ARN AWS KMS Schlüssel, den Sie verwenden möchten, im KMS Feld Schlüssel ein. ARN Weitere Informationen finden Sie unter Verschlüsselung im Ruhezustand im Amazon OpenSearch Service Developer Guide.
Geben Sie für die Datenaufbewahrung den Zeitraum ein, für den die OpenSearch Service-Datenindizes aufbewahrt werden sollen. Dies definiert auch den maximalen Zeitraum, für den Sie Daten in den Dashboards anzeigen können. Wenn Sie eine längere Datenaufbewahrungsdauer wählen, fallen zusätzliche Such- und Indexierungskosten an. Weitere Informationen finden Sie unter OpenSearch Service Serverless Pricing
. Die maximale Aufbewahrungsfrist beträgt 30 Tage.
Die Dauer der Datenspeicherung wird auch zur Erstellung der Lebenszyklusrichtlinie für die OpenSearch Servicesammlung verwendet.
Erstellen Sie für die IAM Rolle beim Schreiben in die OpenSearch Sammlung eine neue IAM Rolle oder wählen Sie eine vorhandene IAM Rolle aus, die zum Schreiben in die OpenSearch Servicesammlung verwendet werden soll.
Das Erstellen einer neuen Rolle ist die einfachste Methode, und die Rolle wird mit den erforderlichen Berechtigungen erstellt.
Anmerkung
Wenn Sie eine Rolle erstellen, verfügt sie über Leserechte aus allen Protokollgruppen im Konto.
Wenn Sie eine bestehende Rolle auswählen möchten, sollte sie über die unter aufgeführten Berechtigungen verfügenBerechtigungen, die für die Integration erforderlich sind. Alternativ können Sie „Bestehende Rolle verwenden“ und dann im Abschnitt „Zugriffsberechtigungen der ausgewählten Rolle überprüfen“ die Option „Rolle erstellen“ auswählen. Auf diese Weise können Sie die unter aufgeführten Berechtigungen Berechtigungen, die für die Integration erforderlich sind als Vorlage verwenden und diese ändern. Dies ist beispielsweise der Fall, wenn Sie eine genauere Steuerung der Protokollgruppen angeben möchten.
Für IAMRollen und Benutzer, die Dashboards einsehen können, wählen Sie aus, wie Sie IAM Rollen und IAM Benutzern Zugriff auf das Dashboard mit verkauften Protokollen gewähren möchten:
Um den Zugriff auf das Dashboard auf einige Benutzer zu beschränken, wählen Sie IAM Rollen und Benutzer auswählen aus, die Dashboards anzeigen können. Suchen Sie dann im Textfeld nach den IAM Rollen und IAM Benutzern, denen Sie Zugriff gewähren möchten, und wählen Sie diese aus.
Um allen Benutzern Zugriff auf das Dashboard zu gewähren, wählen Sie Allen Rollen und Benutzern in diesem Konto das Anzeigen von Dashboards erlauben aus.
Wichtig
Wenn Sie Rollen oder Benutzer oder alle Benutzer auswählen, werden diese nur der Datenzugriffsrichtlinie hinzugefügt, die für den Zugriff auf die OpenSearch Service-Sammlung erforderlich ist, in der die Dashboard-Daten gespeichert werden. Damit sie die Dashboards der verkauften Logs einsehen können, müssen Sie diesen Rollen und Benutzern auch die CloudWatchOpenSearchDashboardAccess verwaltete IAM Richtlinie zuweisen.
Wählen Sie „Integration erstellen“
Das Erstellen der Integration dauert einige Minuten.
