Erstellen von Amazon CloudWatch-Alarmen zur Überwachung von AWS Trusted Advisor-Metriken - AWS -Support
VoraussetzungenCloudWatch-Metriken für Trusted AdvisorTrusted Advisor-Metriken und -Dimensionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Amazon CloudWatch-Alarmen zur Überwachung von AWS Trusted Advisor-Metriken

Wenn AWS Trusted Advisor Ihre Prüfungen aktualisiert, veröffentlicht Trusted Advisor Metriken über Ihre Prüfungsergebnisse in CloudWatch. Sie können die Metriken in CloudWatch anzeigen. Sie können auch Alarme erstellen, um Statusänderungen bei Trusted Advisor-Prüfungen und Statusänderungen für Ressourcen und die Nutzung von Servicekontingenten (früher als Limits bezeichnet) zu erkennen. So können Sie beispielsweise einen Alarm erstellen, um Statusänderungen für Prüfungen in der Kategorie Service Limits zu verfolgen. Der Alarm benachrichtigt Sie dann, wenn Sie ein Dienstleistungskontingent für Ihr AWS-Konto erreichen oder überschreiten.

Folgen Sie diesem Verfahren, um einen CloudWatch-Alarm für eine bestimmte Trusted Advisor-Metrik zu erstellen.

Voraussetzungen

Bevor Sie CloudWatch-Alarme für Trusted Advisor-Metriken erstellen, lesen Sie die folgenden Informationen:

  • Verstehen, wie CloudWatch Metriken und Alarme verwendet. Weitere Informationen finden Sie unter Funktionsweise von CloudWatch im Amazon CloudWatch Benutzerhandbuch.

  • Verwenden Sie die Trusted Advisor-Konsole oder die AWS -Support-API, um Ihre Prüfungen zu aktualisieren und die neuesten Prüfergebnisse zu erhalten. Weitere Informationen finden Sie unter Ergebnisse der Prüfung aktualisieren.

So erstellen Sie einen CloudWatch-Alarm für Trusted Advisor-Metriken

  1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Verwenden Sie die Regionenauswahl und wählen Sie die AWS-Region US East (N. Virginia).

  3. Klicken Sie im Navigationsbereich auf Alarms (Alarme).

  4. Wählen Sie Create alarm (Alarm erstellen) aus.

  5. Wählen Sie Select metric (Metrik auswählen) aus.

  6. Geben Sie für Metriken einen oder mehrere Dimensionswerte ein, um die Liste der Metriken zu filtern. Sie können z. B. den Metriknamen ServiceLimitUsage oder die Dimension, z. B. den Namen der Trusted Advisor-Prüfung, eingeben.

    Tipp

  7. Aktivieren Sie in der Ergebnistabelle das Kontrollkästchen für die Metrik.

    Im folgenden Beispiel lautet der Name der Prüfung IAM Access Key Rotation und der Name der Metrik YellowResources.

    Screenshot der Prüfung der IAM-Passwortrichtlinie für Trusted Advisor in der CloudWatch-Konsole.

  8. Wählen Sie Select metric (Metrik auswählen) aus.

  9. Vergewissern Sie sich auf der Seite Metrik und Bedingungen angeben, dass der Name der Metrik und der Name der Prüfung, die Sie ausgewählt haben, auf der Seite erscheinen.

  10. Unter Zeitraum können Sie den Zeitraum angeben, in dem der Alarm ausgelöst werden soll, wenn sich der Status der Prüfung ändert, z. B. 5 Minuten.

  11. Wählen Sie unter Bedingungen die Option Statisch, und geben Sie dann die Alarmbedingung an, unter der der Alarm ausgelöst werden soll.

    Wenn Sie beispielsweise Größer/Gleich >= Schwellenwert wählen und 1 für den Schwellenwert eingeben, bedeutet dies, dass der Alarm ausgelöst wird, wenn Trusted Advisor mindestens ein IAM-Zugangsschlüssel entdeckt, der in den letzten 90 Tagen nicht gedreht wurde.

    Hinweise

    • Für die Metriken GreenChecks, RedChecks, YellowChecks, RedResources, und YellowResources kann dieser von Ihnen angegebene Schwellenwert jede beliebige Ganzzahl sein, die größer oder gleich Null ist.

    • Trusted Advisor sendet keine Metriken für GreenResources, d. h. Ressourcen, für die Trusted Advisor keine Probleme festgestellt hat.

  12. Wählen Sie Next (Weiter).

  13. Wählen Sie auf der Seite Aktionen konfigurieren für Alarmzustandsauslöser die Option In Alarm.

  14. Wählen Sie für Ein SNS-Thema auswählen ein bestehendes Amazon Simple Notification Service (Amazon SNS)-Thema oder erstellen Sie eines.

    Screenshot der Benachrichtigungseinstellungen für einen Alarm zur Überwachung einer Trusted Advisor-Metrik in der CloudWatch-Konsole.

  15. Wählen Sie Next (Weiter).

  16. Geben Sie unter Name und Beschreibung einen Namen und eine Beschreibung für Ihren Alarm ein.

  17. Wählen Sie Next (Weiter).

  18. Prüfen Sie auf der Seite Vorschau und Erstellen die Details Ihres Alarms und wählen Sie dann Alarm erstellen.

    Wenn der Status für die Prüfung der IAM-Zugangsschlüsselrotation 5 Minuten lang auf Rot wechselt, sendet Ihr Alarm eine Benachrichtigung an Ihr SNS-Thema.

Beispiel : E-Mail-Benachrichtigung für einen CloudWatch-Alarm

Die folgende E-Mail-Nachricht zeigt an, dass ein Alarm eine Änderung bei der Prüfung der IAM-Zugangsschlüsselrotation festgestellt hat.

You are receiving this email because your Amazon CloudWatch Alarm "IAMAcessKeyRotationCheckAlarm" in the US East (N. Virginia) region has entered the ALARM state, 
because "Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition)." at "Friday 26 March, 2021 22:49:42 UTC".

View this alarm in the AWS Management Console:
https://us-east-1.console.aws.amazon.com/cloudwatch/home?region=us-east-1#s=Alarms&alarm=IAMAcessKeyRotationCheckAlarm

Alarm Details:
- Name:                       IAMAcessKeyRotationCheckAlarm
- Description:                This alarm starts when one or more AWS access keys in my AWS account have not been rotated in the last 90 days.
- State Change:               INSUFFICIENT_DATA -> ALARM
- Reason for State Change:    Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition).
- Timestamp:                  Friday 26 March, 2021 22:49:42 UTC
- AWS Account:                123456789012
- Alarm Arn:                  arn:aws:cloudwatch:us-east-1:123456789012:alarm:IAMAcessKeyRotationCheckAlarm

Threshold:
- The alarm is in the ALARM state when the metric is GreaterThanOrEqualToThreshold 1.0 for 300 seconds. 

Monitored Metric:
- MetricNamespace:                     AWS/TrustedAdvisor
- MetricName:                          RedResources
- Dimensions:                          [CheckName = IAM Access Key Rotation]
- Period:                              300 seconds
- Statistic:                           Average
- Unit:                                not specified
- TreatMissingData:                    missing


State Change Actions:
- OK: 
- ALARM: [arn:aws:sns:us-east-1:123456789012:Default_CloudWatch_Alarms_Topic]
- INSUFFICIENT_DATA:

CloudWatch-Metriken für Trusted Advisor

Sie können die CloudWatch-Konsole oder die AWS Command Line Interface (AWS CLI) verwenden, um die Metriken zu finden, die für Trusted Advisor verfügbar sind.

Eine Liste der Namespaces, Metriken und Dimensionen für alle Services, die Metriken veröffentlichen, finden Sie unter AWS Services, die CloudWatch-Metriken veröffentlichen im Amazon CloudWatch-Benutzerhandbuch.

Trusted Advisor-Metriken anzeigen (Konsole)

Sie können sich bei der CloudWatch-Konsole anmelden und die verfügbaren Metriken für Trusted Advisor anzeigen.

So zeigen Sie die verfügbaren Trusted Advisor-Metriken an (Konsole)

  1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Verwenden Sie die Regionenauswahl und wählen Sie die AWS-Region US East (N. Virginia).

  3. Wählen Sie im Navigationsbereich Metriken aus.

  4. Geben Sie einen metrischen Namespace ein, z. B. TrustedAdvisor.

  5. Wählen Sie eine metrische Dimension, z. B. Metriken prüfen.

    Screenshot der verfügbaren Metriken für Trusted Advisor in der CloudWatch-Konsole.

  6. Die Registerkarte All metrics zeigt Metriken für diese Dimension im Namespace an. Sie haben die folgenden Möglichkeiten:

    1. Um die Tabelle sortieren, wählen Sie die Spaltenüberschrift.

    2. Um eine Metrik grafisch darzustellen, müssen Sie das Kontrollkästchen neben der Metrik aktivieren. Um alle Metriken auszuwählen, aktivieren Sie das Kontrollkästchen in der Kopfzeile der Tabelle.

    3. Um nach Metrik zu filtern, müssen Sie den Metriknamen und anschließend Add to search (Zu Suche hinzufügen) wählen.

    Das folgende Beispiel zeigt die Ergebnisse der Prüfung Sicherheitsgruppen - bestimmte Ports unbeschränkt. Die Prüfung identifiziert 13 Ressourcen, die gelb sind. Trusted Advisor empfiehlt, dass Sie Prüfungen, die gelb sind, untersuchen.

    Ein Diagramm, das zwei Ressourcenmetriken für die Prüfung Security Groups - Specific Ports Unrestricted in der CloudWatch-Konsole enthält.

  7. (Optional) Um dieses Diagramm zu einem CloudWatch-Dashboard hinzuzufügen, wählen Sie Aktionen und dann Zu Dashboard hinzufügen.

    Weitere Informationen zur Erstellung eines Diagramms zur Anzeige Ihrer Metriken finden Sie unter Graphische Darstellung einer Metrik im Amazon CloudWatch-Benutzerhandbuch.

Trusted Advisor-Metriken anzeigen (CLI)

Sie können den AWS CLI-Befehl list-metrics verwenden, um die verfügbaren Metriken für Trusted Advisor anzuzeigen.

Beispiel : Alle Metriken fürTrusted Advisor auflisten

Im folgenden Beispiel wird der AWS/TrustedAdvisor-Namespace angegeben, um alle Metriken für Trusted Advisor anzuzeigen.

aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor

Ihre Ausgabe könnte wie folgt aussehen.

{
    "Metrics": [
        {
            "Namespace": "AWS/TrustedAdvisor", 
            "Dimensions": [
                {
                    "Name": "ServiceName", 
                    "Value": "EBS"
                }, 
                {
                    "Name": "ServiceLimit", 
                    "Value": "Magnetic (standard) volume storage (TiB)"
                }, 
                {
                    "Name": "Region", 
                    "Value": "ap-northeast-2"
                }
            ], 
            "MetricName": "ServiceLimitUsage"
        }, 
        {
            "Namespace": "AWS/TrustedAdvisor", 
            "Dimensions": [
                {
                    "Name": "CheckName", 
                    "Value": "Overutilized Amazon EBS Magnetic Volumes"
                }
            ], 
            "MetricName": "YellowResources"
        }, 
        {
            "Namespace": "AWS/TrustedAdvisor", 
            "Dimensions": [
                {
                    "Name": "ServiceName", 
                    "Value": "EBS"
                }, 
                {
                    "Name": "ServiceLimit", 
                    "Value": "Provisioned IOPS"
                }, 
                {
                    "Name": "Region", 
                    "Value": "eu-west-1"
                }
            ], 
            "MetricName": "ServiceLimitUsage"
        }, 
        {
            "Namespace": "AWS/TrustedAdvisor", 
            "Dimensions": [
                {
                    "Name": "ServiceName", 
                    "Value": "EBS"
                }, 
                {
                    "Name": "ServiceLimit", 
                    "Value": "Provisioned IOPS"
                }, 
                {
                    "Name": "Region", 
                    "Value": "ap-south-1"
                }
            ], 
            "MetricName": "ServiceLimitUsage"
        },
    ...
  ]
}
Beispiel : Auflistung aller Metriken für eine Dimension

Im folgenden Beispiel werden der AWS/TrustedAdvisor Namespace und die Region-Dimension angegeben, um die für die angegebene AWS-Region verfügbaren Metriken anzuzeigen.

aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --dimensions Name=Region,Value=us-east-1

Ihre Ausgabe könnte wie folgt aussehen.

{
    "Metrics": [
        {
            "Namespace": "AWS/TrustedAdvisor",
            "Dimensions": [
                {
                    "Name": "ServiceName",
                    "Value": "SES"
                },
                {
                    "Name": "ServiceLimit",
                    "Value": "Daily sending quota"
                },
                {
                    "Name": "Region",
                    "Value": "us-east-1"
                }
            ],
            "MetricName": "ServiceLimitUsage"
        },
        {
            "Namespace": "AWS/TrustedAdvisor",
            "Dimensions": [
                {
                    "Name": "ServiceName",
                    "Value": "AutoScaling"
                },
                {
                    "Name": "ServiceLimit",
                    "Value": "Launch configurations"
                },
                {
                    "Name": "Region",
                    "Value": "us-east-1"
                }
            ],
            "MetricName": "ServiceLimitUsage"
        },
        {
            "Namespace": "AWS/TrustedAdvisor",
            "Dimensions": [
                {
                    "Name": "ServiceName",
                    "Value": "CloudFormation"
                },
                {
                    "Name": "ServiceLimit",
                    "Value": "Stacks"
                },
                {
                    "Name": "Region",
                    "Value": "us-east-1"
                }
            ],
            "MetricName": "ServiceLimitUsage"
        },
    ...
  ]
}
Beispiel : Auflisten der Metriken für einen bestimmten Metriknamen

Das folgende Beispiel gibt den AWS/TrustedAdvisor-Namespace und den RedResources Namen der Metrik an, um die Ergebnisse nur für diese spezifische Metrik anzuzeigen.

aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --metric-name RedResources

Ihre Ausgabe könnte wie folgt aussehen.

{
    "Metrics": [
        {
            "Namespace": "AWS/TrustedAdvisor",
            "Dimensions": [
                {
                    "Name": "CheckName",
                    "Value": "Amazon RDS Security Group Access Risk"
                }
            ],
            "MetricName": "RedResources"
        },
        {
            "Namespace": "AWS/TrustedAdvisor",
            "Dimensions": [
                {
                    "Name": "CheckName",
                    "Value": "Exposed Access Keys"
                }
            ],
            "MetricName": "RedResources"
        },
        {
            "Namespace": "AWS/TrustedAdvisor",
            "Dimensions": [
                {
                    "Name": "CheckName",
                    "Value": "Large Number of Rules in an EC2 Security Group"
                }
            ],
            "MetricName": "RedResources"
        },
        {
            "Namespace": "AWS/TrustedAdvisor",
            "Dimensions": [
                {
                    "Name": "CheckName",
                    "Value": "Auto Scaling Group Health Check"
                }
            ],
            "MetricName": "RedResources"
        },
    ...
  ]
}

Trusted Advisor-Metriken und -Dimensionen

In den folgenden Tabellen finden Sie die Trusted Advisor Metriken und Dimensionen, die Sie für Ihre CloudWatch Alarme und Diagramme verwenden können.

Trusted Advisor-Metriken Prüfungsebene

Sie können die folgenden Metriken für Trusted Advisor-Prüfungen verwenden.

Metrik Beschreibung
RedResources

Die Anzahl der Ressourcen, die sich in einem roten Zustand befinden (Aktion empfohlen).
YellowResources

Die Anzahl der Ressourcen, die sich in einem gelben Zustand befinden (Untersuchung empfohlen).

Trusted Advisor-Metriken auf Kategorieebene

Sie können die folgenden Metriken für Trusted Advisor-Kategorien.

Metrik Beschreibung
GreenChecks

Die Anzahl der Trusted Advisor-Prüfungen, die im grünen Bereich sind (keine Probleme festgestellt).
RedChecks

Die Anzahl der Trusted Advisor-Prüfungen, die sich im roten Bereich befinden (empfohlene Maßnahme).
YellowChecks

Die Anzahl der Trusted Advisor-Prüfungen, die sich im gelben Status befinden (Untersuchung empfohlen).

Trusted Advisor-Metriken auf Service-Kontingentenebene

Sie können die folgenden Metriken für AWS-Service-Quotas verwenden.

Metrik Beschreibung
ServiceLimitUsage

Der Prozentsatz der Ressourcennutzung im Vergleich zu einem Servicekontingent (früher als Limits bezeichnet).

Dimensionen von Metriken auf Prüfungsebene

Sie können die folgende Dimension für Trusted Advisor-Prüfungen verwenden.

Dimension Beschreibung
CheckName

Die Bezeichnung der Trusted Advisor-Prüfung.

Sie finden alle Namen der Prüfungen in der Trusted Advisor Konsole oder im AWS Trusted Advisor Referenz überprüfen.

Dimensionen von Metriken auf Kategorieebene

Sie können die folgende Dimension für Trusted Advisor-Prüfungskategorien verwenden.

Dimension Beschreibung
Category

Der Name einer Trusted Advisor-Prüfungskategorie.

Sie können alle Prüfungskategorien in der Trusted Advisor-Konsole oder auf der Ansicht der Prüfungskategorien-Seite finden.

Dimensionen für Servicekontingent-Metriken

Sie können die folgenden Dimensionen für Trusted Advisor Servicekontingent-Metriken verwenden.

Dimension Beschreibung
Region

Die AWS-Region für eine Service Quota.
ServiceName

Der Name der AWS-Service.
ServiceLimit

Der Name des Dienstkontingents.

Weitere Informationen zu Service Quotas finden Sie unter AWS-Service-Kontingente im Allgemeine AWS-Referenz.