Überwachen Sie den Modellaufruf mithilfe von Protokollen CloudWatch - Amazon Bedrock
Einrichten eines Amazon-S3-ZielsRichten Sie ein Logs-Ziel ein CloudWatch Modellieren Sie die Protokollierung von Aufrufen mithilfe der KonsoleModellieren Sie die Protokollierung von Aufrufen mithilfe von API

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überwachen Sie den Modellaufruf mithilfe von Protokollen CloudWatch

Sie können die Protokollierung von Modellaufrufen verwenden, um Aufrufprotokolle, Modelleingabedaten und Modellausgabedaten für alle Aufrufe in Ihrem AWS-Konto wird in Amazon Bedrock verwendet.

Mit der Aufrufprotokollierung können Sie die vollständigen Anforderungsdaten, Antwortdaten und Metadaten aller Aufrufe in Ihrem Konto erfassen. Die Protokollierung kann so konfiguriert werden, dass sie die Zielressourcen bereitstellt, in denen die Protokolldaten veröffentlicht werden. Zu den unterstützten Zielen gehören Amazon CloudWatch Logs und Amazon Simple Storage Service (Amazon S3). Es werden nur Ziele aus demselben Konto und derselben Region unterstützt.

Die Protokollierung von Modellaufrufen ist standardmäßig deaktiviert.

Die folgenden Operationen können Modellaufrufen protokollieren.

Wenn Sie Converse verwenden API, werden alle Bild- oder Dokumentdaten, die Sie weitergeben, in Amazon S3 protokolliert (sofern Sie Versand und Bildprotokollierung in Amazon S3 aktiviert haben).

Bevor Sie die Aufrufprotokollierung aktivieren können, müssen Sie ein Amazon S3- oder CloudWatch Logs-Ziel einrichten. Sie können die Aufrufprotokollierung entweder über die Konsole oder über aktivieren. API

Einrichten eines Amazon-S3-Ziels

Mit folgenden Schritten können Sie ein S3-Ziel für die Protokollierung in Amazon Bedrock einrichten:

  1. Erstellen Sie einen S3-Bucket, in dem die Protokolle gespeichert werden.

  2. Fügen Sie eine Bucket-Richtlinie wie die unten stehende hinzu (Ersetzen Sie Werte für accountId, region, bucketName, und optional prefix):

    Anmerkung

    Eine Bucket-Richtlinie wird in Ihrem Namen automatisch an den Bucket angehängt, wenn Sie die Protokollierung mit den Berechtigungen S3:GetBucketPolicy und S3:PutBucketPolicy konfigurieren.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonBedrockLogsWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/prefix/AWSLogs/accountId/BedrockModelInvocationLogs/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

  3. (Optional) Fügen Sie KMS bei der Konfiguration SSE — für den Bucket die folgende Richtlinie für den KMS Schlüssel hinzu:

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Weitere Informationen zu SSE KMS S3-Konfigurationen finden Sie unter KMSVerschlüsselung angeben.

Anmerkung

Der Bucket ACL muss deaktiviert werden, damit die Bucket-Richtlinie wirksam wird. Weitere Informationen finden Sie unter Deaktivierung ACLs für alle neuen Buckets und Durchsetzung des Objektbesitzes.

Richten Sie ein Logs-Ziel ein CloudWatch

Mit den folgenden Schritten können Sie ein Amazon CloudWatch Logs-Ziel für die Anmeldung bei Amazon Bedrock einrichten:

  1. Erstellen Sie eine CloudWatch Protokollgruppe, in der die Protokolle veröffentlicht werden.

  2. Erstellen Sie eine IAM Rolle mit den folgenden Berechtigungen für CloudWatch Logs.

    Vertrauenswürdige Entität:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

    Rollenrichtlinie:

    {
    "Version": "2012-10-17", 
    "Statement": [ 
        {
            "Effect": "Allow", 
            "Action": [ 
                "logs:CreateLogStream", 
                "logs:PutLogEvents" 
            ], 
            "Resource": "arn:aws:logs:region:accountId:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations" 
         } 
    ]
}

Weitere Informationen SSE zur Einrichtung von CloudWatch Logs finden Sie unter Verschlüsseln von Protokolldaten in CloudWatch Logs mit AWS Key Management Service.

Modellieren Sie die Protokollierung von Aufrufen mithilfe der Konsole

Wenn Sie die Protokollierung von Modellaufrufen aktivieren möchten, ziehen Sie auf der Seite Einstellungen den Schieberegler neben dem Umschalter Protokollierung. Zusätzliche Konfigurationseinstellungen für die Protokollierung werden im Bereich angezeigt.

Wählen Sie aus, welche Datenanfragen und Antworten Sie in den Protokollen veröffentlichen möchten. Sie können eine beliebige Kombination aus den folgenden Ausgabeoptionen auswählen:

  • Text

  • Image

  • Einbettung

Wählen Sie aus, wo die Protokolle veröffentlicht werden sollen:

  • Nur Amazon S3

  • CloudWatch Nur Protokolle

  • Sowohl Amazon S3 als auch CloudWatch Logs

Amazon S3- und CloudWatch Logs-Ziele werden für Aufrufprotokolle und kleine Eingabe- und Ausgabedaten unterstützt. Für große Ein- und Ausgabedatenmengen oder binäre Bildausgaben wird nur Amazon S3 unterstützt. Die folgenden Details fassen zusammen, wie die Daten am Zielort dargestellt werden.

  • S3-Ziel — JSON Gzip-Dateien, die jeweils einen Stapel von Aufruf-Log-Einträgen enthalten, werden an den angegebenen S3-Bucket übermittelt. Ähnlich wie bei einem CloudWatch Logs-Ereignis enthält jeder Datensatz die Aufruf-Metadaten sowie Eingabe- und Ausgabetexte mit einer JSON Größe von bis zu 100 KB. Binärdaten oder JSON Körper, die größer als 100 KB sind, werden als einzelne Objekte in den angegebenen Amazon S3 S3-Bucket unter dem Datenpräfix hochgeladen. Die Daten können mit Amazon S3 Select und Amazon Athena abgefragt und für die Verwendung katalogisiert werden ETL AWS Glue. Die Daten können in den OpenSearch Service geladen oder von beliebigen EventBridge Amazon-Zielen verarbeitet werden.

  • CloudWatch Protokollziel — JSON Aufruf-Protokollereignisse werden an eine angegebene Protokollgruppe in CloudWatch Logs übermittelt. Das Protokollereignis enthält die Metadaten des Aufrufs sowie Eingabe- und JSON Ausgabetexte mit einer Größe von bis zu 100 KB. Wenn ein Amazon S3 S3-Standort für die Lieferung großer Datenmengen bereitgestellt wird, werden stattdessen Binärdaten oder JSON Textkörper, die größer als 100 KB sind, unter dem Datenpräfix in den Amazon S3 S3-Bucket hochgeladen. Daten können mit CloudWatch Logs Insights abgefragt und mithilfe von Logs in Echtzeit an verschiedene Dienste gestreamt werden. CloudWatch

Modellieren Sie die Protokollierung von Aufrufen mithilfe von API

Die Protokollierung von Modellaufrufen kann wie folgt konfiguriert werden: APIs