# 使用遥测启用规则
<a name="telemetry-config-rules"></a>

您可以创建遥测启用规则，来自动为所用的 Amazon 资源配置遥测数据收集功能。这样的规则有助于实现整个组织或跨账户的遥测数据收集标准化，确保一致的监控覆盖范围。

**Topics**
+ [启用规则与 Amazon Config 集成](#telemetry-config-automated)
+ [了解启用规则行为](#telemetry-config-rules-behavior)
+ [创建遥测启用规则](#telemetry-config-rules-create)
+ [管理遥测规则](#telemetry-config-rules-manage)
+ [遥测配置问题排查](#telemetry-config-troubleshoot)

## 启用规则与 Amazon Config 集成
<a name="telemetry-config-automated"></a>

CloudWatch 遥测审计与配置功能与 Amazon Config 服务集成，可自动发现符合启用规则的资源，并将启用规则应用于遥测数据收集。创建启用规则时，遥测配置功能会创建对应的 Amazon Config 记录器。该记录器包含启用规则中定义的特定资源类型的配置项。

Amazon CloudWatch 使用 Amazon Config 内部服务关联记录器。针对 CloudWatch 借助内部服务关联记录器产生的配置项，不会向您收取相关费用。

**注意**  
 创建启用规则后，系统会先通过 Amazon Config 配置项（CI）识别出不合规资源（即未启用遥测功能的资源），再根据您设定的启用规则作用域为这类资源开启遥测功能。在某些情况下，资源的首次识别流程可能需要最长 24 小时才能完成。

遥测配置功能通过 Amazon Config 实现以下目的：
+ 跨组织或账户发现资源
+ 追踪遥测配置变更

## 了解启用规则行为
<a name="telemetry-config-rules-behavior"></a>

遥测配置在评估和应用规则时遵循特定模式：

启用规则根据分层模式进行评估。首先评估组织级别规则，其次是组织单元（OU）规则，最后是单个账户规则。组织级别的规则为组织提供必需的基准遥测配置。OU 和账户级别的规则可以扩大遥测数据的收集范围，但不能缩小遥测数据的收集范围。若创建了违反此要求的规则，将引发规则冲突。

在每个范围（组织、OU 或账户）内，规则必须在资源类型、遥测类型和目标配置方面保持唯一性。重复规则会引发冲突异常。如果不同范围内存在相同规则（例如：组织级别存在 VPC 流日志发送到 CloudWatch 的规则，且 OU 级别也存在 VPC 流日志规则），则优先应用层级更高的规则。不过，若是存在相互冲突的多条规则，则这些规则都不会应用。

对于 VPC 流日志，遥测配置功能仅会为符合规则范围的资源创建新的流日志，不会删除或影响先前建立的 VPC 流日志，即使这些日志与当前规则参数不符。对于 CloudWatch Logs，只要现有日志组符合资源模式，就会保留这些日志组。

如果更新启用规则，则只有符合该规则的新资源才会采用更新后的配置，现有资源的现有遥测设置将保持不变。如果因手动删除遥测数据导致某资源不符合现有规则，只要该资源恢复合规状态，就会采用新的启用规则。

## 创建遥测启用规则
<a name="telemetry-config-rules-create"></a>

在创建遥测启用规则时，需要指定以下参数：
+ 规则的适用范围（组织、OU 或账户）
+ 规则适用的资源类型
+ 需启用的遥测类型（指标、日志或追踪）
+ 用于筛选规则所影响资源范围的可选标签

**创建遥测启用规则**

1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.amazonaws.cn/cloudwatch/) 打开 CloudWatch 控制台。

1. 在导航窗格中，选择**遥测配置**。

1. 选择**启用规则**选项卡。

1. 选择**添加规则**。

1. 对于**规则名称**，输入规则的名称。

1. 对于**规则范围**，请选择以下选项之一：
   + **组织**：规则适用于整个 Amazon Organizations
   + **组织单元**：规则适用于特定 OU
   + **账户**：规则适用于单个账户

1. 对于**数据来源**，选择要配置的 Amazon 服务。

1. 对于**遥测类型**，选择要启用的遥测类型。

1. 可选：添加用于筛选规则所影响资源范围的标签。

1. 选择 **Create rule**（创建规则）。

## 管理遥测规则
<a name="telemetry-config-rules-manage"></a>

创建规则后即可编辑或删除规则。支持查看每条规则所影响的具体资源，也支持监控规则合规状态。

**管理现有规则**

1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.amazonaws.cn/cloudwatch/) 打开 CloudWatch 控制台。

1. 在导航窗格中，选择**遥测配置**。

1. 选择**启用规则**选项卡。

1. 选择规则可查看其详细信息，也可选择执行以下操作：
   + **编辑**：修改规则设置
   + **删除**：移除规则

## 遥测配置问题排查
<a name="telemetry-config-troubleshoot"></a>

本节介绍使用遥测配置功能时可能遇到的常见问题以及解决方案。

### 规则冲突与解决方案
<a name="telemetry-config-troubleshoot-rules"></a>

当多条规则同时适用于同一资源时，遥测配置功能会按以下优先级解决冲突：

1. 组织级别规则优先于账户级别规则

1. 特定标签匹配的规则优先于通用规则

1. 若存在多条冲突规则，则这些规则均不会生效，须先解决冲突。

### 常见问题
<a name="telemetry-config-troubleshoot-common"></a>

资源未出现在发现结果中  
验证：  
+ 资源类型受支持
+ Amazon Config 记录器已启用
+ 具备适当的 IAM 权限

规则未自动应用  
请检查：  
+ 规则范围配置
+ 标签筛选条件

**注意**  
 创建启用规则后，系统会先通过 Amazon Config 配置项（CI）识别出不合规资源（即未启用遥测功能的资源），再根据您设定的启用规则作用域为这类资源开启遥测功能。在某些情况下，资源的首次识别流程可能需要最长 24 小时才能完成。

### 服务特定注意事项
<a name="telemetry-config-troubleshoot-service"></a>

**Amazon VPC 流日志**  
创建流日志时：  
+ 若未指定模式，默认使用 /aws/vpc/vpc-id
+ 保留现有客户创建的流日志
+ 规则更新仅影响新的流日志
+ 您可以使用 <vpc-id>、<account-id> 宏对日志组进行拆分。
+ 对于已向 CloudWatch Logs 上报日志的 VPC，CloudWatch 不会为其重新创建流量日志

**Amazon EKS 控制面板日志记录**  
启用控制面板日志记录功能时：  
+ 采用默认 CloudWatch 日志组命名规则 /aws/eks/<cluster-name>/cluster。Amazon EKS 会为每个集群自动创建日志组。
+ 规则更新仅对新建集群，或尚未启用指定日志类型的集群生效
+ 可启用指定日志类型：api、audit、authenticator、controllerManager、scheduler

**Amazon WAF Web ACL 日志**  
创建 WAF 日志时：  
+ 采用默认 CloudWatch 日志组命名规则，且日志组名称始终以 aws-waf-logs- 为前缀
+ 规则更新仅对新建 Web ACL，或尚未向 CloudWatch Logs 启用日志记录功能的现有 Web ACL 生效
+ 对于已向 CloudWatch Logs 上报日志的 Web ACL，CloudWatch 不会为其重复启用日志功能

**Amazon Route 53 Resolver 日志**  
启用解析器查询日志记录功能时：  
+ 若未指定日志组，将采用默认 CloudWatch 日志组命名规则 /aws/route53resolver
+ 您可以使用 <account-id> 宏对日志组进行拆分。
+ 对于已向 CloudWatch Logs 上报日志的 VPC，CloudWatch 不会为其重新创建解析器查询日志
+  启用规则会根据规则作用域，为您的 VPC 配置 Route 53 查询日志记录功能。CloudWatch 不会发现 Route 53 配置文件及相关配置项。

**NLB 访问日志**  
启用访问日志功能时：  
+ 若未指定日志组，将采用默认 CloudWatch 日志组命名规则，且日志组名称以 /aws/nlb/access-logs 为前缀
+ 对于已向 CloudWatch Logs 上报日志的 NLB，CloudWatch 不会为其重复启用日志投递功能

**Amazon Bedrock AgentCore 遥测**  
+ 启用所有可用 Bedrock AgentCore 基础组件产生的日志和跟踪数据，包括运行时、浏览器工具、代码解释器工具。需按照控制台的“遥测配置”操作流程，先创建日志投递规则，再创建跟踪数据投递规则。
+ 创建跟踪数据投递规则时，系统会自动启用 Transaction Search 功能，并生成额外的权限策略，允许 CloudWatch X-Ray 将关联跟踪数据发送到您账户中的托管日志组。此外，系统会创建 X-Ray 资源策略，允许当前及新建的 Bedrock AgentCore 基础组件，向您的账户投递跟踪数据。

**通过服务相关通道摄取 CloudTrail 日志**  
通过服务相关通道（SLC）启用 CloudTrail 日志时：  
+ 采用托管式 CloudWatch 日志组，命名格式为 aws/cloudtrail/<event-types>
+ 客户创建的现有 CloudTrail 跟踪记录转发配置将保持不变
+ CloudWatch 启用规则仅通过服务相关通道摄取日志数据
+ 事件的保留期限遵循其所写入日志组的配置
+ 配置 CloudTrail 事件时，在启用向导环节，您至少需选择一种事件类型，将其摄取到 CloudWatch。
+  若事件出现投递延迟（由附加原因 DELIVERY\$1DELAY 标识），且您先前为此日志组配置了较短的保留期限，则延迟的事件可能仅在较短的保留期限内可用。
+  **重要提示**：对于多区域部署，CloudWatch 启用规则需在每个 Amazon 区域单独配置，且该功能尚未在所有区域推出。如需实现全面的多区域覆盖，建议在该功能区域范围扩展之前，继续使用将事件发送到 CloudWatch 的 CloudTrail 跟踪记录。

**Amazon EC2 遥测**  
启用详细监控时：  
+ 实例状态更改可能会影响指标收集

**Amazon Security Hub 遥测**  
启用 Security Hub 日志记录时：  
+ 使用 CloudWatch 托管日志组模式 /aws/securityhub\$1cspm/findings 
+ 对于已经在将日志摄取到托管式 CloudWatch Logs 的 Security Hub，CloudWatch 不会为其启用日志投递功能

**Amazon Bedrock AgentCore 网关遥测**  
启用 Bedrock AgentCore 网关 日志记录时：  
+ 若未指，将采用默认 CloudWatch 日志组模式 /aws/bedrock/agentcore
+ 对于已经在将日志摄取到 CloudWatch Logs 的 Bedrock Agentcore 网关，CloudWatch 不会为其启用日志投递功能

**Amazon Bedrock AgentCore 内存遥测**  
启用 Bedrock Agentcore 内存日志记录时：  
+ 若未指，将采用默认 CloudWatch 日志组模式 /aws/bedrock/agentcore
+ 对于已经在将日志摄取到 CloudWatch Logs 的 Bedrock Agentcore 内存，CloudWatch 不会为其启用日志投递功能

**Amazon CloudFront 分配遥测**  
启用 CloudFront 分配日志记录时：  
+ 对于已经在将日志摄取到 CloudWatch Logs 的 CloudFront 分配，CloudWatch 不会为其启用日志投递功能