# 开始使用
<a name="AgentCore-GettingStarted"></a>

Amazon Bedrock AgentCore 提供内置指标、日志与跟踪数据，用于监控 AgentCore 模块化服务的运行性能。您可在 Amazon CloudWatch 中查看此类数据。若需获取所有 AgentCore 模块服务的完整可观测性数据，需通过适用于 OpenTelemetry 的 AWS Distro（ADOT）SDK 对代码进行埋点配置。

## 为代理资源添加可观测性功能
<a name="add-observability-agentic-resources"></a>

开始操作前，需先启用 CloudWatch Transaction Search 功能。有关更多信息，请参阅[启用 Transaction Search](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Enable-TransactionSearch.html)。

### 为 AgentCore 运行时托管代理启用可观测性
<a name="enable-observability-agentcore-runtime"></a>

您可将代理托管在 AgentCore 运行时环境中，该环境是为动态人工智能代理及工具的部署与弹性扩缩量身打造的安全无服务器运行时。AgentCore 运行时兼容各类开源框架（包括 LangGraph、CrewAI、Strands Agents）、所有协议及所有模型。

如需为 AgentCore 运行时托管代理启用可观测性，请参阅[配置自定义可观测性](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/observability-configure.html#observability-configure-custom)。

有关分步操作教程，请参阅 [Enabling observability for AgentCore Runtime hosted agents](https://aws.github.io/bedrock-agentcore-starter-toolkit/user-guide/observability/quickstart.html#enabling-observability-for-agentcore-runtime-hosted-agents)。

### 为非 AgentCore 托管代理启用可观测性
<a name="enable-observability-non-agentcore"></a>

您可将代理托管在 AgentCore 外部，并将其可观测性数据接入 CloudWatch，实现一站式端到端监控。

如需为非 AgentCore 运行时托管代理启用可观测性，请参阅[配置第三方可观测性](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/observability-configure.html#observability-configure-3p)。

有关分步操作教程，请参阅 [Enabling observability for non-AgentCore hosted agents](https://aws.github.io/bedrock-agentcore-starter-toolkit/user-guide/observability/quickstart.html#enabling-observability-for-non-agentcore-hosted-agents)。

### 为 AgentCore 内存、网关及内置工具资源启用可观测性
<a name="enable-observability-agentcore-resources"></a>

您可全面掌握 AgentCore 模块化服务的指标与跟踪数据。有关更多信息，请参阅[配置 CloudWatch 可观测性](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/observability-configure.html#observability-configure-cloudwatch)。

### 启用 AgentCore 评估功能
<a name="enable-observability-agentcore-evaluations"></a>

您可全面掌握 AgentCore 评估功能的运行情况。AgentCore 评估功能可提供相关能力，对人工智能代理的性能、质量及可靠性进行监控与评估。如需为 AgentCore 评估功能启用可观测性，请参阅 [AgentCore 评估功能](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/evaluations.html)。

# 在 CloudWatch 中查看可观测性数据
<a name="view-observability-data-cloudwatch"></a>

为代理资源启用可观测性后，即可在 CloudWatch 中查看收集到的相关数据。

## 查看生成式人工智能可观测性控制面板
<a name="view-genai-observability-dashboard"></a>

1. 打开 CloudWatch 控制台。

1. 在生成式人工智能可观测性控制面板下，查看与 Amazon Bedrock AgentCore 上的模型调用及代理相关的各类数据。

1. 在 Amazon Bedrock AgentCore 子菜单中，可选择以下视图：
   + **代理视图** – 列出所有代理（包含运行时及非运行时状态）。选择某一代理，即可查看该代理专属的运行时指标、会话、跟踪数据及评估结果
   + **会话视图** – 可浏览与代理关联的所有会话信息
   + **跟踪视图** – 查看代理的跟踪数据及跨度信息。选择某一跟踪数据，即可查看跟踪轨迹与时间线

## 查看日志
<a name="view-logs"></a>

1. 打开 CloudWatch 控制台。

1. 在导航窗格中，选择**日志**，再选择**日志组**。

1. 搜索代理的日志组：
   + 标准日志（stdout/stderr）– `/aws/bedrock-agentcore/runtimes/<agent_id>-<endpoint_name>/[runtime-logs] <UUID>`
   + OTEL 结构化日志 – `/aws/bedrock-agentcore/runtimes/<agent_id>-<endpoint_name>/runtime-logs`

## 查看跟踪数据与跨度信息
<a name="view-traces-spans"></a>

1. 打开 CloudWatch 控制台。

1. 在导航窗格中，选择 **Transaction Search**。

1. 导航到 `/aws/spans/default`。

1. 按服务名称或其他条件进行筛选。

1. 选择某一项跟踪数据，即可查看详细的执行图谱。

## 查看指标
<a name="view-metrics"></a>

1. 打开 CloudWatch 控制台。

1. 在导航窗格中，选择**指标**。

1. 导航到 **bedrock-agentcore** 命名空间。

1. 查看各类可用指标。

# 保护敏感数据
<a name="mask-sensitive-data"></a>

Amazon CloudWatch Logs 通过数据保护策略识别敏感数据，并制定相应的数据防护操作。要选择感兴趣的敏感数据，您可以使用数据标识符。随后 Amazon CloudWatch Logs 将通过机器学习与模式匹配技术检测敏感数据。您可定义审计和掩蔽操作，以便对敏感数据调查发现进行日志记录，并在查看日志事件时对敏感数据进行掩蔽。

有关更多信息，请参阅[使用掩蔽保护敏感日志数据](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-data-protection-policies.html)。

您可在**账户层级**或**日志组层级**为 Amazon Bedrock AgentCore 配置数据保护功能。在账户层级数据保护模式下，数据保护规则将应用于账户内的所有日志。在日志层级数据保护模式下，数据保护规则将应用于账户内的指定日志组。通过该配置，可对账户内 PII 数据的脱敏方式实现精细化管控。

**在账户层级配置数据保护功能**

1. 打开 Amazon CloudWatch 控制台。

1. 在导航窗格中，选择**设置**。

1. 选择**日志**选项卡。

1. 选择**配置数据保护账户策略**。

1. 指定与数据相关的数据标识符。
   + 若使用预定义数据标识符，在**托管数据标识符**下拉菜单中，选择与数据相关的数据标识符。
   + 若使用自定义数据标识符，选择**添加自定义数据标识符**，然后为该标识符指定名称，并为待保护数据设置正则表达式（Regex）匹配规则。

1. （*可选*）为审计调查发现指定接收目标。
   + 要将审计调查发现发送到 CloudWatch 日志，请选择 **Amazon CloudWatch Logs**，然后选择目标日志组。
   + 要将审计调查发现发送到 Firehose 数据流，请选择 **Amazon Data Firehose**，然后选择目标 Firehose 数据流。
   + 要将审计调查发现发送到 Amazon S3 存储桶，请选择 **Amazon S3**，然后选择目标 Amazon S3 存储桶。

1. 选择 **Activate data protection**（激活数据保护）。

**在日志组层级配置数据保护功能**

1. 打开 Amazon CloudWatch 控制台。

1. 在导航窗格中，依次选择**日志**、**日志管理**。

1. 选择**日志组**选项卡，选取要启用数据保护的日志组，然后选择**创建数据保护策略**。

1. 指定与数据相关的数据标识符。
   + 若使用预定义数据标识符，在**托管数据标识符**下拉菜单中，选择与数据相关的数据标识符。
   + 若使用自定义数据标识符，选择**添加自定义数据标识符**，然后为该标识符指定名称，并为待保护数据设置正则表达式（Regex）匹配规则。

1. （*可选*）为审计调查发现指定接收目标。
   + 要将审计调查发现发送到 CloudWatch 日志，请选择 **Amazon CloudWatch Logs**，然后选择目标日志组。
   + 要将审计调查发现发送到 Firehose 数据流，请选择 **Amazon Data Firehose**，然后选择目标 Firehose 数据流。
   + 要将审计调查发现发送到 Amazon S3 存储桶，请选择 **Amazon S3**，然后选择目标 Amazon S3 存储桶。

1. 选择 **Activate data protection**（激活数据保护）。