CloudWatch

CloudWatch zbiera dane monitorujące i operacyjne w postaci logów/metryk/zdarzeń, zapewniając jednolite widoki zasobów AWS, aplikacji i usług. Zdarzenia CloudWatch Log mają ograniczenie rozmiaru 256 KB na każdą linię logu. Może ustawiać alarmy o wysokiej rozdzielczości, wizualizować logi i metryki obok siebie, podejmować automatyczne działania, rozwiązywać problemy i odkrywać wskazówki do optymalizacji aplikacji.

Można monitorować na przykład logi z CloudTrail. Monitorowane są następujące zdarzenia:

• Zmiany w grupach zabezpieczeń i NACL

• Uruchamianie, zatrzymywanie, restartowanie i usuwanie instancji EC2

• Zmiany w politykach zabezpieczeń w IAM i S3

• Nieudane próby logowania do konsoli zarządzania AWS

• Wywołania interfejsu API, które zakończyły się nieudaną autoryzacją

• Filtry do wyszukiwania w CloudWatch: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

CloudWatch Logs

Pozwala na agregację i monitorowanie logów z aplikacji i systemów z usług AWS (w tym CloudTrail) oraz z aplikacji/systemów (na hoście można zainstalować agenta CloudWatch). Logi mogą być przechowywane czas nieokreślony (w zależności od ustawień grupy logów) i mogą być eksportowane.

Elementy:

CloudWatch Monitoring & Events

CloudWatch podstawowy agreguje dane co 5 minut (szczegółowy robi to co 1 minutę). Po agregacji sprawdza progi alarmów, w przypadku potrzeby ich wywołania. W takim przypadku CloudWatch może być przygotowany do wysłania zdarzenia i wykonania pewnych automatycznych działań (funkcje AWS Lambda, tematy SNS, kolejki SQS, strumienie Kinesis)

Instalacja agenta

Możesz zainstalować agenty wewnątrz swoich maszyn/kontenerów, aby automatycznie wysyłać logi z powrotem do CloudWatch.

• Utwórz rolę i przypisz ją do instancji z uprawnieniami umożliwiającymi CloudWatch zbieranie danych z instancji oraz interakcję z menedżerem systemu AWS SSM (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)

• Pobierz i zainstaluj agenta na instancji EC2 (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Możesz go pobrać z wnętrza EC2 lub zainstalować automatycznie za pomocą AWS System Manager, wybierając pakiet AWS-ConfigureAWSPackage

• Skonfiguruj i uruchom agenta CloudWatch

Grupa logów ma wiele strumieni. Strumień ma wiele zdarzeń. A wewnątrz każdego strumienia zdarzenia są gwarantowane w kolejności.

Działania

Wyliczanie

# Dashboards
aws cloudwatch list-dashboards
aws cloudwatch get-dashboard --dashboard-name <dashboard_name>

# Alarms
aws cloudwatch describe-alarms
aws cloudwatch describe-alarm-history
aws cloudwatch describe-alarms-for-metric --metric-name <metric_name> --namespace <namespace>
aws cloudwatch describe-alarms-for-metric --metric-name IncomingLogEvents --namespace AWS/Logs

# Anomaly Detections
aws cloudwatch describe-anomaly-detectors
aws cloudwatch describe-insight-rules

# Logs
aws logs tail "<log_group_name>" --follow
aws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# Events enumeration
aws events list-rules
aws events describe-rule --name <name>
aws events list-targets-by-rule --rule <name>
aws events list-archives
aws events describe-archive --archive-name <name>
aws events list-connections
aws events describe-connection --name <name>
aws events list-endpoints
aws events describe-endpoint --name <name>
aws events list-event-sources
aws events describe-event-source --name <name>
aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Odwołania

• https://cloudsecdocs.com/aws/services/logging/cloudwatch/