CloudWatch

CloudWatch збирає моніторингові та операційні дані у вигляді журналів/метрик/подій, надаючи єдиний погляд на ресурси AWS, додатки та сервіси. Події CloudWatch Log мають обмеження розміру 256 КБ на кожний рядок журналу. Це може встановлювати високорозширювані сповіщення, візуалізувати журнали та метрики поруч, виконувати автоматизовані дії, усувати проблеми та виявляти інсайти для оптимізації додатків.

Наприклад, ви можете моніторити журнали з CloudTrail. Події, які моніторяться:

• Зміни в групах безпеки та NACL

• Запуск, зупинка, перезавантаження та припинення екземплярів EC2

• Зміни в політиках безпеки в межах IAM та S3

• Невдачі в спробах входу в консоль управління AWS

• Виклики API, які призвели до невдалих авторизацій

• Фільтри для пошуку в CloudWatch: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

CloudWatch Logs

Дозволяє агрегувати та моніторити журнали з додатків та систем з AWS services (включаючи CloudTrail) та з додатків/систем (CloudWatch Agent може бути встановлений на хості). Журнали можуть бути збережені нескінченно (залежно від налаштувань групи журналів) та можуть бути експортовані.

Елементи:

Моніторинг та Події CloudWatch

CloudWatch базовий агрегує дані кожні 5 хвилин (детальний робить це кожну 1 хвилину). Після агрегації він перевіряє пороги сповіщень тривог у разі необхідності їх спрацювання. У цьому випадку CloudWatch може бути готовий відправити подію та виконати деякі автоматичні дії (функції AWS lambda, теми SNS, черги SQS, потоки Kinesis)

Встановлення агента

Ви можете встановлювати агенти всередині ваших машин/контейнерів для автоматичного відправлення журналів назад до CloudWatch.

• Створіть роль та прикріпіть її до екземпляра з дозволами, що дозволяють CloudWatch збирати дані з екземплярів, крім взаємодії з системою AWS Systems Manager SSM (CloudWatchAgentAdminPolicy та AmazonEC2RoleforSSM)

• Завантажте та встановіть агент на екземпляр EC2 (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Ви можете завантажити його зсередини EC2 або встановити автоматично за допомогою AWS System Manager, вибравши пакет AWS-ConfigureAWSPackage

• Налаштуйте та запустіть CloudWatch Agent

У групі журналів багато потоків. У потоці багато подій. І всередині кожного потоку події гарантовано будуть впорядковані.

Дії

Перелік

# Dashboards
aws cloudwatch list-dashboards
aws cloudwatch get-dashboard --dashboard-name <dashboard_name>

# Alarms
aws cloudwatch describe-alarms
aws cloudwatch describe-alarm-history
aws cloudwatch describe-alarms-for-metric --metric-name <metric_name> --namespace <namespace>
aws cloudwatch describe-alarms-for-metric --metric-name IncomingLogEvents --namespace AWS/Logs

# Anomaly Detections
aws cloudwatch describe-anomaly-detectors
aws cloudwatch describe-insight-rules

# Logs
aws logs tail "<log_group_name>" --follow
aws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# Events enumeration
aws events list-rules
aws events describe-rule --name <name>
aws events list-targets-by-rule --rule <name>
aws events list-archives
aws events describe-archive --archive-name <name>
aws events list-connections
aws events describe-connection --name <name>
aws events list-endpoints
aws events describe-endpoint --name <name>
aws events list-event-sources
aws events describe-event-source --name <name>
aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Посилання

• https://cloudsecdocs.com/aws/services/logging/cloudwatch/