View a markdown version of this page

Regeln zur Aktivierung der Telemetrie - Amazon CloudWatch
So funktionieren RegelnEine Regel zur Aktivierung der Telemetrie erstellenVerwalten der TelemetrieregelnUnterstützte Datenquellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regeln zur Aktivierung der Telemetrie

Sie können Regeln zur Aktivierung der Telemetrie erstellen, um die Telemetrieerfassung für Ihre Ressourcen automatisch zu konfigurieren. AWS Mithilfe von Regeln können Sie die Telemetrieerfassung übergreifend in Ihrer Organisation oder Ihren Konten standardisieren und konsistent überwachen.

So funktionieren Regeln

Die Telemetriekonfiguration folgt bei der Bewertung und Anwendung von Regeln bestimmten Mustern.

Hierarchie der Regelauswertung

Aktivierungsregeln werden nach einem Hierarchiemuster bewertet. Zuerst werden Organisationsregeln bewertet, dann Regeln, die für Organisationseinheiten (OUs) gelten, und schließlich Regeln, die für einzelne Konten gelten. Regeln auf Organisationsebene stellen die Telemetriegrundlage bereit, die für Ihre Organisation erforderlich ist. Regeln auf OU- und Kontoebene können zusätzliche Telemetriedaten, aber nicht weniger Telemetriedaten erfassen. Wird eine solche Regel erstellt, führt das zu einem Regelkonflikt.

Innerhalb jedes Bereichs (Organisation, Organisationseinheit oder Konto) müssen Regeln je nach Ressourcentyp, Telemetrietyp und Zielkonfiguration einzigartig bleiben. Duplizierte Regeln lösen eine Konfliktausnahme aus. Wenn dieselbe Regel in verschiedenen Bereichen existiert, z. B. eine Regel auf Organisationsebene für Amazon VPC Flow-Logs CloudWatch und eine Regel auf OU-Ebene für Amazon VPC Flow-Logs, wird die Regel auf höherer Ebene in der Hierarchie angewendet. Wenn es jedoch mehrere widersprüchliche Regeln gibt, wird keine der Regeln angewendet.

Wenn mehrere Regeln für dieselbe Ressource gelten, löst die Telemetriekonfiguration Konflikte basierend auf den folgenden Prioritäten:

  1. Regeln auf Organisationsebene haben Vorrang vor Regeln auf Kontoebene

  2. Spezifischere Tag-Übereinstimmungen genießen Vorrang vor allgemeinen Regeln

  3. Wenn es mehrere widersprüchliche Regeln gibt, wird keine der Regeln angewendet. Sie müssen die Konflikte zuerst lösen.

Verhalten der Regeln bei Updates

Wenn Sie eine Aktivierungsregel aktualisieren, übernehmen nur neue Ressourcen, die der Regel entsprechen, die aktualisierte Konfiguration. Die vorhandenen Telemetrieeinstellungen bleiben für bestehende Ressourcen unverändert. Wenn eine Ressource aufgrund des manuellen Löschens von Telemetriedaten nicht mehr einer bestehenden Regel entspricht, wird die neue Aktivierungsregel übernommen, sobald die Ressource wieder mit den Richtlinien übereinstimmt.

Für Amazon VPC Flow-Protokolle erstellt die Telemetriekonfiguration nur neue Flow-Protokolle für Ressourcen, die dem Regelbereich entsprechen. Zuvor erstellte Amazon VPC Flow-Protokolle werden nicht gelöscht oder beeinträchtigt, auch wenn sie sich von den aktuellen Regelparametern unterscheiden. Bei CloudWatch Protokollen werden bestehende Protokollgruppen beibehalten, sofern sie dem Ressourcenmuster entsprechen.

Integration mit AWS Config

CloudWatch Die Telemetrieprüfung und -konfiguration lassen sich integrieren AWS Config , um automatisch Ressourcen zu ermitteln, die Ihrer Aktivierungsregel entsprechen, und sie auf Ihre Telemetriedatenerfassung anzuwenden. Wenn Sie eine Aktivierungsregel erstellen, erstellt die Telemetriekonfiguration einen entsprechenden Rekorder. AWS Config Dieser Recorder enthält Konfigurationselemente für die spezifischen Ressourcentypen, die Sie in der Aktivierungsregel definieren.

Amazon CloudWatch verwendet den AWS Config Internal Service Linked Recorder. CIs Diese CloudWatch Nutzung im Rahmen der Internal Service Linked Recorders wird Ihnen nicht in Rechnung gestellt.

Anmerkung

Wenn Sie eine Aktivierungsregel erstellen, erkennen wir nicht konforme Ressourcen (solche ohne aktivierte Telemetrie) über AWS Config Configuration Items (CIs), bevor wir sie basierend auf dem Geltungsbereich Ihrer Aktivierungsregel aktivieren. In einigen Fällen kann es bis zu 24 Stunden dauern, bis die erste Erkennung der Ressourcen abgeschlossen ist.

Die Telemetriekonfiguration verwendet AWS Config :

  • Entdecken von Ressourcen übergreifend in Ihrer Organisation oder in Ihren Konten

  • Verfolgen von Telemetriekonfigurationsänderungen

Regeln für alle Regionen

Wenn Sie eine Regel mit Zielregionen erstellen, wird die aktuelle Region zur Hauptregion für diese Regel. Die Regel wird automatisch auf die ausgewählten Spoke-Regionen repliziert.

Die wichtigsten Konzepte für Regeln für mehrere Regionen:

  • Replizierte Regeln können in Spoke-Regionen nicht bearbeitet oder gelöscht werden. Sie müssen zur Heimatregion navigieren, um sie zu ändern oder zu entfernen.

  • Wenn Sie Alle Regionen auswählen, werden neue Regionen automatisch aufgenommen, wenn Sie sich für sie anmelden.

  • Das System gleicht die Regeln der Regionen in regelmäßigen Abständen ab, um Abweichungen zwischen der Heimatregion und den Regionen, in denen die Sprache gesprochen wird, zu korrigieren.

  • Stichwörter, die auf Regeln in der Heimatregion angewendet wurden, werden in die Sprachregionen repliziert.

Wenn eine replizierte Regel in einer Spoke-Region erstellt, aktualisiert oder gelöscht wird, wird eine AwsServiceEvent in der Spoke-Region AWS CloudTrail aufgezeichnet. Diese Ereignisse werden observabilityadmin.amazonaws.com als aufrufender Dienst protokolliert und enthalten die Regel ARN in der Spoke-Region. Sie können diese Ereignisse verwenden, um die Aktivität der Regelreplikation in mehreren Regionen zu überwachen.

Im Folgenden finden Sie ein Beispiel für ein AWS CloudTrail Ereignis, das aufgezeichnet wurde, wenn eine replizierte Regel in einer Spoke-Region erstellt wird:

{
    "eventVersion": "1.11",
    "userIdentity": {
        "accountId": "123456789012",
        "invokedBy": "observabilityadmin.amazonaws.com"
    },
    "eventTime": "2026-04-06T19:50:37Z",
    "eventSource": "observabilityadmin.amazonaws.com",
    "eventName": "CreateTelemetryRule",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "observabilityadmin.amazonaws.com",
    "userAgent": "observabilityadmin.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "eventID": "435d6da2-d099-4775-8944-1e039418de6f",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::ObservabilityAdmin::TelemetryRule",
            "ARN": "arn:aws:observabilityadmin:us-east-1:123456789012:telemetry-rule/my-multi-region-rule"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

Das eventName Feld gibt den Vorgang an, der mit der replizierten Regel ausgeführt wurde: CreateTelemetryRuleUpdateTelemetryRule, oder. DeleteTelemetryRule Das eventType liegt immer AwsServiceEvent daran, dass der Vorgang vom ObservabilityAdmin Service im Namen des Kunden ausgeführt wird, nicht durch einen direkten API-Aufruf des Kunden.

Eine Regel zur Aktivierung der Telemetrie erstellen

Beim Erstellen einer Regel zu Aktivierung der Telemetrie geben Sie Folgendes an:

  • Der Geltungsbereich der Regel (die Organisation, Organisationseinheit oder das Konto)

  • Die Ressourcentypen, auf welche die Regel angewendet werden

  • Die Telemetrietypen, die aktiviert werden sollen (Metriken, Protokolle oder Ablaufverfolgungen)

  • Optionale Tags für die Filterung, auf welche Ressourcen sich die Regel auswirkt

  • Optionale Zielregionen, um die Regel über mehrere Regionen hinweg zu replizieren

Um eine Regel zur Aktivierung von Telemetrie zu erstellen

  1. Öffnen Sie die CloudWatch Konsole unter. https://console.aws.amazon.com/cloudwatch/

  2. Wählen Sie im Navigationsbereich Ingestion aus.

  3. Wählen Sie die Registerkarte Aktivierungsregeln aus.

  4. Wählen Sie Regel hinzufügen aus.

  5. Geben Sie unter Regelname einen Namen für Ihre Regel ein.

  6. Wählen Sie für Regelumfang eine der folgenden Optionen aus:

    • Organisation — Die Regel gilt für Ihr gesamtes Unternehmen AWS Organizations

    • Organisationseinheit — Die Regel gilt für eine bestimmte Organisationseinheit

    • Konto — Die Regel gilt für ein einzelnes Konto

  7. Wählen Sie unter Datenquelle den AWS Dienst aus, den Sie konfigurieren möchten.

  8. Wählen Sie Telemetrietyp die Telemetrietypen aus, die aktiviert werden sollen.

  9. (Optional) Fügen Sie Tags hinzu, um zu filtern, auf welche Ressourcen sich die Regel auswirkt.

  10. (Optional) Wählen Sie unter Zielregionen die Regionen aus, für die diese Regel gelten soll. Die aktuelle Region wird automatisch als Heimatregion für die Regel bestimmt. Wenn Sie Alle Regionen auswählen, werden neue Regionen automatisch aufgenommen, wenn Sie sich für sie anmelden.

  11. Wählen Sie Regel erstellen aus.

Verwalten der Telemetrieregeln

Nach dem Erstellen von Regeln können Sie diese bearbeiten oder löschen. Sie können auch sehen, auf welche Ressourcen sich jede Regel auswirkt, und die Einhaltung der Regeln überwachen.

Um eine bestehende Regel zu verwalten

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Ingestion aus.

  3. Wählen Sie die Registerkarte Aktivierungsregeln aus.

  4. Wählen Sie eine Regel aus, um ihre Details anzusehen, oder wählen Sie eine der folgenden Aktionen aus:

    • Regel bearbeiten — Regeleinstellungen ändern

    • Löschen — Die Regel entfernen

Verwaltung replizierter Regeln

Wenn Sie eine replizierte Regel in einer Spoke-Region anzeigen, zeigt die Konsole eine Informationswarnung an, die darauf hinweist, dass die Regel aus einer anderen Region repliziert wurde. Die Aktionen Regel bearbeiten und Löschen sind für replizierte Regeln in Spoke-Regionen deaktiviert.

Um eine replizierte Regel zu bearbeiten oder zu löschen, navigieren Sie zu der Heimatregion, in der die Regel ursprünglich erstellt wurde. Die Heimatregion wird in der Informationswarnung angezeigt.

Sie können Tags zu replizierten Regeln in Spoke-Regionen hinzufügen oder ändern. In Spoke-Regionen vorgenommene Tag-Änderungen gelten nur für die lokale Kopie der Regel und werden nicht zurück in die Heimatregion repliziert.

Unterstützte Datenquellen

Die folgenden Datenquellen werden durch Regeln zur Aktivierung der Telemetrie unterstützt. Für jede Datenquelle gelten spezifische Verhaltens- und Konfigurationsaspekte.

Amazon VPC-Flussprotokolle

Beim Erstellen der Flow-Protokolle:

  • Verwendet das Standardmuster/aws/vpc/vpc-id, falls keines angegeben ist

  • Bestehende, vom Kunden erstellte Flow-Protokolle werden beibehalten

  • Regelaktualisierungen wirken sich nur auf neue Flow-Protokolle aus

  • Sie können <vpc-id><account-id>Makros verwenden, um Protokollgruppen aufzuteilen.

  • CloudWatch erstellt keine Flow-Logs für solche VPCs , die bereits Logs in Logs aufnehmen CloudWatch

Protokolle der Amazon EKS-Kontrollebene

Wenn Sie die Protokollierung der Kontrollebene aktivieren:

  • <cluster-name>Verwendet das CloudWatch Standard-Protokollgruppenmuster /aws/eks/ /cluster. Amazon EKS erstellt automatisch Protokollgruppen pro Cluster.

  • Regelaktualisierungen wirken sich nur auf neue Cluster oder nur auf Cluster aus, für die die jeweiligen Protokolltypen nicht aktiviert sind

  • Kann bestimmte Protokolltypen aktivieren: API, Audit, Authenticator, ControllerManager, Scheduler

AWS WAF-Web-ACL-Protokolle

Beim Erstellen von WAF-Protokollen:

  • Verwendet das Standardmuster für CloudWatch Protokollgruppen und hat immer das Präfix - aws-waf-logs

  • Regelaktualisierungen wirken sich nur auf neue Websites ACLs oder bestehende Websites aus ACLs , für die die Protokollierung nicht aktiviert ist CloudWatch

  • CloudWatch aktiviert keine Protokolle für Websites ACLs , die bereits Protokolle in Logs aufnehmen CloudWatch

Amazon Route 53 Resolver Resolver-Protokolle

Wenn Sie die Protokollierung von Resolver-Abfragen aktivieren:

  • Verwendet das CloudWatch Standard-Protokollgruppenmuster /aws/route53resolver, falls keines angegeben ist

  • <account-id>Sie können Makros verwenden, um Protokollgruppen aufzuteilen.

  • CloudWatch erstellt keine Resolver-Abfrageprotokolle für solche VPCs , die bereits Protokolle in Logs aufnehmen CloudWatch

  • Aktivierungsregeln konfigurieren die Route 53 53-Abfrageprotokollierung für Sie auf der VPCs Grundlage des Regelbereichs. CloudWatch erkennt Route 53-Profile und zugehörige Konfigurationen nicht.

NLB-Zugriffsprotokolle

Bei der Aktivierung von Zugriffsprotokollen:

  • Verwendet das standardmäßige CloudWatch Protokollgruppenmuster mit dem Präfix/aws/nlb/access-logs, falls keines angegeben ist

  • CloudWatch aktiviert keine Protokollzustellungen für solche NLBs , die bereits Protokolle in Logs aufnehmen CloudWatch

CloudTrail Protokolle, die einen dienstverknüpften Kanal verwenden

Bei der Aktivierung von CloudTrail Protokollen über den SLC-Pfad:

  • Verwendet verwaltete CloudWatch Protokollgruppen aws/cloudtrail/ <event-types>

  • Bestehende, vom Kunden erstellte Trail-Forwarding-Konfigurationen werden beibehalten CloudTrail

  • CloudWatch In den Aktivierungsregeln wird nur ein mit dem Service verbundener Kanal zum Erfassen von Protokollen verwendet

  • Ereignisse verwenden den für die Protokollgruppe konfigurierten Aufbewahrungszeitraum

  • Für CloudTrail Ereignisse können Sie im Rahmen des Aktivierungsassistenten mindestens einen Ereignistyp auswählen, in den die Daten aufgenommen werden sollen. CloudWatch

  • Wenn Ereignisse verzögert übermittelt werden (angegeben durch den Zusatzgrund DELIVERY_DELAY) und Sie zuvor einen kürzeren Aufbewahrungszeitraum konfiguriert haben, sind verzögerte Ereignisse möglicherweise nur für die Dauer des kürzeren Aufbewahrungszeitraums verfügbar.

Tipp

Um CloudTrail Protokolle für mehrere Regionen zu konfigurieren, verwenden Sie bei der Erstellung Ihrer Aktivierungsregel die Auswahl für Zielregionen. Dadurch wird die Regel automatisch aus der Heimatregion auf Ihre ausgewählten Regionen repliziert.

Detaillierte Kennzahlen zu Amazon Amazon EC2

Wenn Sie die detaillierte Überwachung aktivieren:

  • Änderungen des Instanzstatus können sich auf die Erfassung von Metriken auswirken

AWS Security Hub

Wenn Sie die Security Hub Hub-Protokollierung aktivieren:

  • Verwendet das Muster für verwaltete CloudWatch Protokollgruppen aws/securityhub_cspm/findings

  • CloudWatch aktiviert keine Protokollzustellungen für Security Hub, die bereits Protokolle in verwaltete CloudWatch Logs aufnehmen

Amazon Bedrock AgentCore

  • Aktiviert sowohl Logs als auch Traces, die von allen verfügbaren AgentCore Bedrock-Primitiven wie Runtime, Browser Tools, Code Interpreter Tools usw. ausgegeben werden. Folgen Sie der Anleitung zur Telemetrie Configure-Konsole, um eine Regel für die Übermittlung von Protokollen zu erstellen und anschließend eine Regel für die Übermittlung von Traces zu erstellen.

  • Wenn Sie eine Trace-Zustellungsregel erstellen, wird die Transaktionssuche aktiviert und es wird eine zusätzliche Berechtigungsrichtlinie erstellt, die es CloudWatch X-Ray ermöglicht, korrelierte Traces an die verwaltete Protokollgruppe in Ihrem Konto zu senden. Darüber hinaus wird eine X-Ray-Ressourcenrichtlinie eingeführt, die es aktuellen und neuen AgentCore Bedrock-Primitiven ermöglicht, Spuren an Ihr Konto zu senden.

Amazon Bedrock Agentcore-Gateway

Wenn Sie die Bedrock Agentcore Gateway-Protokollierung aktivieren:

  • Verwendet das CloudWatch Standard-Protokollgruppenmuster/, aws/bedrock/agentcore falls keines angegeben ist

  • CloudWatch aktiviert keine Protokollzustellungen für Bedrock Agentcore Gateway, die bereits Protokolle in Logs aufnehmen CloudWatch

Amazon Bedrock Agentcore Arbeitsspeicher

Wenn Sie die Bedrock Agentcore-Speicherprotokollierung aktivieren:

  • Verwendet das standardmäßige CloudWatch Protokollgruppenmuster/, aws/bedrock/agentcore falls keines angegeben ist

  • CloudWatch aktiviert keine Protokollzustellungen für Bedrock Agentcore Memory, die bereits Protokolle in Logs aufnehmen CloudWatch

CloudFront Amazon-Vertrieb

Wenn Sie die CloudFront Distributionsprotokollierung aktivieren:

  • CloudWatch aktiviert keine Protokollzustellungen für CloudFront Distributionen, die bereits Protokolle in Logs aufnehmen CloudWatch

Amazon MSK-Cluster-Metriken

Bei der Aktivierung von MSK-Cluster-Metriken:

  • Unterstützt nur den Telemetrietyp METRICS

  • Sie können erweiterte Überwachungsebenen (PER_BROKER, PER_TOPIC_PER_BROKER usw.) konfigurieren, um die Granularität der gesammelten Metriken zu kontrollieren

  • Regeln mit unterschiedlichen erweiterten Überwachungsebenen können für denselben MSK-Cluster gleichzeitig existieren

OpenTelemetry Metriken zur Anreicherung

Bei der Aktivierung von OpenTelemetry Anreicherungsmetriken:

  • Unterstützt nur den Telemetrietyp METRICS

  • Dies ist eine Aktivierung auf Kontoebene ohne vom Benutzer konfigurierbares Ziel

  • Auswahlkriterien auf Ressourcenebene werden nicht unterstützt

Identität der Amazon Bedrock Agentcore-Arbeitslast

Wenn Sie die Bedrock Agentcore Workload Identity-Protokollierung aktivieren:

  • Verwendet das CloudWatch Standard-Protokollgruppenmuster/, aws/bedrock/agentcore falls keines angegeben ist

  • CloudWatch aktiviert keine Protokollzustellungen für Bedrock Agentcore Workload Identity, die bereits Protokolle in Logs aufnehmen CloudWatch