审计 CloudWatch 遥测配置
您可以使用 Amazon CloudWatch,通过 CloudWatch 控制台的中央视图发现和了解 Amazon 资源的遥测配置状态。这简化了审计账户中多种资源类型或组织中多个账户的遥测采集配置过程。通过统一视图,您可以轻松查看和管理遥测设置,从而确保在整个 Amazon 环境中进行适当的监控和数据收集。
CloudWatch 可以帮助您识别以下 Amazon 资源类型的遥测配置:
提供详细指标的 Amazon EC2 实例。有关更多信息,请参阅《Amazon EC2 用户指南》中的管理 EC2 实例的详细监控。
提供流日志的 Amazon VPC 虚拟网络。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 流日志记录 IP 流量。
提供跟踪信息的 Lambda 函数。有关更多信息,请参阅《Amazon X-Ray 开发人员指南》中的使用 Amazon X-Ray 可视化 Lambda 函数调用。
要开始审计您的遥测配置,必须先为您的 Amazon Web Services 账户或组织开启遥测审计体验。启用此功能后,您可创建与 Amazon Config 服务相关的配置记录器,用于发现资源及其相关的遥测配置元数据。有关更多信息,请参阅《Amazon Config 开发人员指南中的配置记录器。
注意
无论您的配置记录器范围内的资源类型如何,Amazon Config 都会定期清点或发现您账户中的所有资源,这是一种反熵行为。清点包括已删除的资源和 Amazon Config 当前未记录的资源。此行为有助于保持数据一致性。
这意味着,尽管 CloudWatch 遥测审计功能的服务相关配置记录器配置为记录三种资源类型(Amazon EC2 实例、Amazon EC2 VPC 虚拟网络和 Lambda 函数),但您可能会看到来自 Amazon CloudTrail 中的 ConfigResourceCompositionSession 和 AWSConfig-Describe 的描述调用。有关更多信息,请参阅《Amazon Config Developer Guide》中的 Non-recorded Resources。
遥测审计体验使用这些信息,并在资源类型级别和更精细的遥测详细信息级别提供对配置状态的可见性。您可以使用筛选条件自定义资源视图或遥测详细信息,也可以直接从资源的控制台页面修改遥测配置。
开启遥测审计体验不会产生任何额外费用。