Como funcionam as regras Criar uma regra de habilitação de telemetria Gerenciamento de regras de telemetria Fontes de dados compatíveis

Regras de habilitação de telemetria

Você pode criar regras de habilitação de telemetria para configurar automaticamente a coleta de telemetria para seus recursos da AWS. As regras ajudam você a padronizar a coleta de telemetria em sua organização ou contas e a garantir uma cobertura de monitoramento consistente.

Tópicos

Como funcionam as regras
Criar uma regra de habilitação de telemetria
Gerenciamento de regras de telemetria
Fontes de dados compatíveis

Como funcionam as regras

A configuração da telemetria segue padrões específicos ao avaliar e aplicar regras.

Hierarquia de avaliação das regras

As regras de habilitação são avaliadas de acordo com um padrão hierárquico. As regras organizacionais são avaliadas primeiro, depois as regras que se aplicam às unidades organizacionais (UOs) e, finalmente, as regras que se aplicam às contas individuais. As regras no nível organizacional fornecem a telemetria básica necessária para sua organização. As regras no nível da UO e da conta podem coletar dados adicionais de telemetria, mas não podem coletar menos dados de telemetria. Se essa regra for criada, ela criará um conflito de regras.

Dentro de cada escopo (organização, UO ou conta), as regras devem manter a exclusividade com base em seu tipo de recurso, tipo de telemetria e configuração de destino. Regras duplicadas acionam uma exceção de conflito. Se a mesma regra existir em diferentes escopos, como uma regra de nível organizacional para os logs de fluxos da Amazon VPC para o CloudWatch, e uma regra de nível de UO para os logs de fluxos da Amazon VPC, a regra mais alta na hierarquia será aplicada. Porém, se houver várias regras conflitantes, nenhuma delas será aplicada.

Quando várias regras se aplicam ao mesmo recurso, a configuração de telemetria resolve os conflitos usando estas prioridades:

As regras em nível organizacional têm precedência sobre as regras em nível de conta
Correspondências de tags mais específicas têm precedência sobre as regras gerais
Se houver várias regras conflitantes, nenhuma delas será aplicada. Será necessário resolver os conflitos primeiro.

Comportamento das regras em atualizações

Se você atualizar uma regra de habilitação, somente os recursos novos que atenderem à regra adotarão a configuração atualizada. As configurações de telemetria existentes permanecerão inalteradas nos recursos existentes. Se um recurso não estiver em conformidade com uma regra existente devido à exclusão manual dos dados de telemetria, a nova regra de habilitação será adotada quando o recurso voltar à conformidade.

Para os logs de fluxo da VPC, a configuração de telemetria cria novos logs de fluxos somente para os recursos que estiverem dentro do escopo da regra. Ela não exclui nem afeta os logs de fluxos da VPC estabelecidos antes, mesmo se eles diferirem dos parâmetros da regra atual. Para o CloudWatch Logs, os grupos de logs existentes são mantidos, desde que correspondam ao padrão do recurso.

Integração com AWS Config

A auditoria e a configuração de telemetria do CloudWatch se integram com o AWS Config para descobrir automaticamente os recursos que correspondem à sua regra de habilitação e aplicá-los à sua coleta de dados de telemetria. Quando você cria uma regra de habilitação, a configuração de telemetria cria um gravador do AWS Config correspondente. Esse gravador inclui itens de configuração para os tipos de recursos específicos que você define na regra de habilitação.

O Amazon CloudWatch usa o gravador vinculado ao serviço AWS Config Internal. Os CIs que o CloudWatch usa como parte dos gravadores vinculados ao serviço Internal não são cobrados.

nota

Quando você cria uma regra de habilitação, descobrimos os recursos não compatíveis (os que não tem telemetria habilitada) por meio dos itens de configuração (CIs) do AWS Config antes de ativá-los com base no escopo da regra de habilitação. A descoberta inicial dos recursos, em alguns casos, pode levar até 24 horas.

A configuração de telemetria usa o AWS Config para:

Descobrir recursos em toda a sua organização ou contas
Rastrear as alterações de configuração de telemetria

Regras para várias regiões

Quando você cria uma regra com regiões de destino, a região atual se torna a região primária dessa regra. A regra é replicada automaticamente nas regiões secundárias que você seleciona.

Conceitos-chave para regras multirregionais:

As regras replicadas não podem ser editadas nem excluídas nas regiões secundárias. Você deve navegar até a região primária para modificá-las ou removê-las.
Se você selecionar Todas as regiões, as novas regiões serão incluídas automaticamente quando você optar por elas.
O sistema reconcilia periodicamente as regras entre as regiões para corrigir qualquer desvio entre a região primária e as regiões secundárias.
As etiquetas aplicadas às regras da região primária são replicadas nas regiões secundárias.

Quando uma regra replicada é criada, atualizada ou excluída em uma região secundária, o AWS CloudTrail registra um AwsServiceEvent na região secundária. Esses eventos são registrados em log com observabilityadmin.amazonaws.com como o serviço invocador e incluem o ARN da regra na região secundária. Você pode usar esses eventos para auditar as atividades de replicação de regras em várias regiões.

O seguinte exemplo é de um evento do AWS CloudTrail registrado quando uma regra replicada é criada em uma região secundária:


{
    "eventVersion": "1.11",
    "userIdentity": {
        "accountId": "123456789012",
        "invokedBy": "observabilityadmin.amazonaws.com"
    },
    "eventTime": "2026-04-06T19:50:37Z",
    "eventSource": "observabilityadmin.amazonaws.com",
    "eventName": "CreateTelemetryRule",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "observabilityadmin.amazonaws.com",
    "userAgent": "observabilityadmin.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "eventID": "435d6da2-d099-4775-8944-1e039418de6f",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::ObservabilityAdmin::TelemetryRule",
            "ARN": "arn:aws:observabilityadmin:us-east-1:123456789012:telemetry-rule/my-multi-region-rule"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

O campo eventName reflete a operação realizada na regra replicada: CreateTelemetryRule, UpdateTelemetryRule ou DeleteTelemetryRule. O eventType é sempre AwsServiceEvent porque a operação é realizada pelo serviço ObservabilityAdmin em nome do cliente, não por uma chamada de API direta do cliente.

Criar uma regra de habilitação de telemetria

Ao criar uma regra de habilitação de telemetria, especifique:

O escopo da regra (organização, unidade organizacional ou conta)
Os tipos de recurso aos quais a regra se aplica
Os tipos de telemetria a serem habilitados (métricas, logs ou rastreamentos)
Tags opcionais para filtrar quais recursos a regra afeta
Regiões de destino opcionais para replicar a regra em várias regiões

Para criar uma regra de habilitação de telemetria

Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.
No painel de navegação, escolha Ingestão.
Escolha a guia Regras de habilitação.
Escolha Adicionar regra.
Em Nome da regra, insira um nome para a regra.
Em Escopo da regra, escolha uma das seguintes opções:
- Organização: a regra se aplica a todas as AWS Organizations
- Unidade organizacional: a regra se aplica a uma UO específica
- Conta: a regra se aplica a uma única conta
Em Fonte de dados, selecione o serviço da AWS a ser configurado.
Em Tipo de telemetria, selecione os tipos de telemetria a serem habilitados.
(Opcional) Adicione tags para filtrar os recursos que a regra afeta.
(Opcional) Em Regiões de destino, selecione as regiões às quais você deseja aplicar essa regra. A região atual é automaticamente designada como a região primária da regra. Se você selecionar Todas as regiões, as novas regiões serão incluídas automaticamente quando você optar por elas.
Escolha Criar regra.

Gerenciamento de regras de telemetria

Depois de criar regras, você pode editá-las ou excluí-las. Você também pode ver quais recursos cada regra afeta e monitorar a conformidade com as regras.

Para gerenciar uma regra existente

Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.
No painel de navegação, escolha Ingestão.
Escolha a guia Regras de habilitação.
Selecione uma regra para ver seus detalhes ou escolha uma das seguintes ações:
- Editar regra: modificar as configurações da regra
- Excluir: remover a regra

Gerenciar as regras replicadas

Quando você visualiza uma regra replicada em uma região secundária, o console exibe um alerta informativo indicando que a regra foi replicada de outra região. As ações Editar regra e Excluir são desabilitadas para regras replicadas nas regiões secundárias.

Para editar ou excluir uma regra replicada, navegue até a região primária em que a regra foi criada. A região primária é exibida no alerta informativo.

Você pode adicionar ou modificar tags em regras replicadas nas regiões secundárias. Alterações de tag feitas nas regiões secundárias se aplicam somente à cópia local da regra, não são replicadas à região primária.

Fontes de dados compatíveis

As seguintes fontes de dados são compatíveis com as regras de habilitação de telemetria. Cada fonte de dados tem considerações específicas de comportamento e configuração.

Logs do Amazon VPC Flow

Ao criar logs de fluxo:

Usa o padrão /aws/vpc/vpc-id se nenhum for especificado
Os logs de fluxo existentes criados pelo cliente são preservados
As atualizações de regras afetam somente os novos logs de fluxo
Você pode usar as macros <vpc-id>, <account-id>macros para dividir grupos de logs.
O CloudWatch não cria logs de fluxos para as VPCs que já ingerem logs no CloudWatch Logs

Logs do ambiente de gerenciamento do Amazon EKS

Ao habilitar o registro em log do ambiente de gerenciamento:

Usa o padrão de grupo de logs padrão do CloudWatch /aws/eks/<cluster-name>/cluster.. O Amazon EKS cria automaticamente um grupo de logs por cluster.
Atualizações de regra afetam apenas novos clusters ou os clusters que não têm os tipos de log no escopo habilitados
Pode habilitar tipos de log específicos: api, auditoria, autenticador, controllerManager, agendador

AWS Logs de ACL da Web do WAF

Ao criar logs do WAF:

Usa o padrão de grupo de logs padrão do CloudWatch e sempre com o prefixo aws-waf-logs-
As atualizações de regra afetam apenas novas ACLs da Web ou ACLs da Web existentes que não têm o registro em log no CloudWatch Logs habilitado
O CloudWatch não habilita logs para as ACLS da Web que já ingerem logs no CloudWatch Logs

Logs do Amazon Route 53 Resolver

Ao habilitar o registro em log de consultas do resolvedor:

Usará o padrão de grupo de log padrão do CloudWatch /aws/route53resolver se nenhum for especificado
Você pode usar as macros <account-id> para dividir os grupos de logs.
O CloudWatch não cria logs de consultas do resolvedor para as VPCs que já ingerem logs no CloudWatch Logs
As regras de habilitação configuram o registro em log das consultas do Route 53 para as VPCs com base no escopo da regra. O CloudWatch não descobre os perfis e as configurações relacionadas do Route 53.

Logs de acesso do NLB

Ao habilitar logs de acesso:

Se nenhum padrão de grupos de logs do CloudWatch for especificado, o padrão será usado com o prefixo /aws/nlb/access-logs
O CloudWatch não habilita a entrega de logs para os NLBs que já ingerem logs no CloudWatch Logs

Logs do CloudTrail usando canal vinculado ao serviço

Ao habilitar logs do CloudTrail usando o caminho do SLC:

Usa grupos de log gerenciados do CloudWatch aws/cloudtrail/ <event-types>
As configurações existentes de encaminhamento do CloudTrail criadas pelo cliente são preservadas
As regras de habilitação do CloudWatch usam apenas canais vinculados ao serviço para ingerir registros
Os eventos usam o período de retenção configurado para o grupo de logs
Em eventos do CloudTrail, como parte do assistente de habilitação, é possível escolher pelo menos um tipo de evento para ingerir no CloudWatch.
Se os eventos forem entregues com atraso (indicado pelo motivo no adendo DELIVERY_DELAY) e você tiver configurado antes um período de retenção mais curto, os eventos atrasados poderão estar disponíveis apenas durante o período de retenção mais curto.

dica

Para configurar os logs do CloudTrail em várias regiões, use o seletor Regiões de destino ao criar a regra de habilitação. Isso replica automaticamente a regra da região primária nas regiões selecionadas.

Métricas detalhadas do Amazon EC2

Ao habilitar o monitoramento detalhado:

Mudanças no estado da instância podem afetar a coleta de métricas

AWS Security Hub

Ao habilitar o registro em log do Security Hub:

Usa o padrão de grupo de logs gerenciado do CloudWatch aws/securityhub_cspm/findings
O CloudWatch não habilita entregas de logs para o Security Hub que já façam a ingestão de logs no CloudWatch Logs gerenciado

Amazon Bedrock AgentCore

Habilite os logs e rastros emitidos por todos os primitivos do Bedrock AgentCore disponíveis, como runtime, ferramentas de navegação, ferramentas de intepretação de código etc. Siga a experiência do console Configurar Telemetria para criar uma regra de entrega de logs e depois crie uma regra de entrega de rastros.
Ao criar uma regra de entrega de rastros, o recurso Transaction Search será habilitado e uma política de permissão adicional será criada para permitir que o CloudWatch X-Ray envie rastros correlacionados ao grupo de logs gerenciado em sua conta. Além disso, uma política de recursos do X-Ray será criada para permitir que os novos primitivos e os primitivos já existentes do Bedrock AgentCore entreguem rastros à sua conta.

Amazon Bedrock AgentCore Gateway

Ao habilitar o registro em log do Bedrock AgentCore Gateway:

Usa o padrão nativo de grupo de logs do CloudWatch /aws/bedrock/agentcor se nenhum for especificado
O CloudWatch não habilita entregas de logs para o Bedrock AgentCore Gateway que já estejam ingerindo logs para o CloudWatch Logs

Amazon Bedrock Agentcore Memory

Ao habilitar o registro em log do Bedrock AgentCore Memory:

Usa o padrão nativo de grupo de logs do CloudWatch /aws/bedrock/agentcor se nenhum for especificado
O CloudWatch não habilita entregas de logs para o Bedrock AgentCore Memory que já estejam ingerindo logs para o CloudWatch Logs

Distribuição do Amazon CloudFront

Ao habilitar o registro em log do CloudFront Distribution:

O CloudWatch não habilita entregas de logs para o CloudFront Distribution que já estejam ingerindo logs para o CloudWatch Logs

Métricas de cluster do Amazon MSK

Ao ativar as métricas do MSK Cluster:

Compatível apenas com telemetria do tipo METRICS
É possível configurar níveis de monitoramento aprimorados (PER_BROKER, PER_TOPIC_PER_BROKER etc.) para controlar a granularidade das métricas coletadas
Regras com diferentes níveis de monitoramento avançado podem coexistir para o mesmo cluster do MSK

Métricas de enriquecimento do OpenTelemetry

Ao ativar as métricas de enriquecimento do OpenTelemetry:

Compatível apenas com telemetria do tipo METRICS
Essa é uma habilitação no nível da conta, sem destino configurável pelo usuário
Critérios de seleção no nível do recurso não são compatíveis

Amazon Bedrock Agentcore Workload Identity

Ao habilitar o registro em log do Bedrock AgentCore Workload Identity:

Usa o padrão nativo de grupo de logs do CloudWatch /aws/bedrock/agentcor se nenhum for especificado
O CloudWatch não habilita entregas de logs para o Bedrock AgentCore Workload Identity que já façam ingestão de logs no CloudWatch Logs

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Descobrir recursos

Solução de problemas de configuração de telemetria