使用 CloudWatch 事件监控您的全球网络 - Amazon Virtual Private Cloud
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 CloudWatch 事件监控您的全球网络

CloudWatch Events 提供几乎实时的系统事件流,这些事件描述您的资源的更改。通过使用可快速设置的简单规则,您可以匹配事件并将事件路由到一个或多个目标函数或流。有关更多信息,请参阅 Amazon CloudWatch Events 用户指南

Transit Gateway Network Manager 将以下类型的事件发送到 CloudWatch Events:

  • 拓扑更改

  • 路由更新

  • 状态更新

开始使用

您必须先加入 CloudWatch Logs Insights,然后才可以查看全局网络的事件。在 Network Manager 控制台中,选择全球网络的 ID。在 Network events summary (网络事件摘要) 部分中,选择 Onboard to CloudWatch Log Insights (加入 CloudWatch Log Insights)

您账户中的 IAM 委托人(例如 IAM 用户)必须具有足够的权限才能加入 CloudWatch Logs Insights。确保 IAM 策略包含以下权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:PutTargets", "events:DescribeRule", "logs:PutResourcePolicy", "logs:DescribeLogGroups", "logs:DescribeResourcePolicies", "events:PutRule", "logs:CreateLogGroup" ], "Resource": "*" } ] }

上述策略不授予创建、修改或删除 Network Manager 资源的权限。有关使用 Network Manager 的 IAM 策略的更多信息,请参阅 Transit Gateway Network Manager 的身份和访问管理

当您加入 CloudWatch Logs Insights 时,会发生以下情况:

  • 将在美国西部(俄勒冈)区域中创建名称为 DON_NOT_DELETE_networkmanager_rule 的 CloudWatch 事件规则。

  • 将在美国西部(俄勒冈)区域中创建名称为 /aws/events/networkmanagerloggroup 的 CloudWatch Logs 日志组。

  • CloudWatch 事件规则通过 CloudWatch Logs 日志组配置为目标。

  • 将在美国西部(俄勒冈)区域中创建名称为 DON_NOT_DELETE_networkmanager_TrustEventsToStoreLogEvents 的 CloudWatch 资源策略。要查看此策略,请使用以下 AWS CLI 命令: aws logs describe-resource-policies --region us-west-2

要在 Network Manager 控制台中查看全球网络的事件,请选择全球网络的 ID,然后选择 Events (事件)

拓扑更改事件

当全球网络中的资源发生更改时,会发生拓扑更改事件。这包括下列事件:

  • 在全球网络中注册了一个中转网关

  • 从全球网络中取消注册了一个中转网关

  • 在全球网络中删除了一个中转网关

  • 为中转网关创建了一个 VPN 连接

  • 在中转网关上删除了一个 VPN 连接

  • 更改了一个 VPN 连接的客户网关

  • 更改了一个 VPN 连接的目标网关

  • 将一个 VPC 连接到了中转网关

  • 从中转网关分离了一个 VPC

  • AWS Direct Connect 网关已连接到中转网关

  • AWS Direct Connect 网关已从中转网关分离

  • 创建了中转网关对等连接的连接

  • 删除了中转网关对等连接的连接

以下事件示例删除了中转网关 VPC 连接(从中转网关分离了该 VPC)。

{ "account": "123456789012", "region": "us-west-2", "detail-type": "Network Manager Topology Change", "source": "aws.networkmanager", "version": "0", "time": "2019-06-30T23:18:50Z", "id": "fb1d3015-c091-4bf9-95e2-d9example", "resources": [ "arn:aws:networkmanager::123456789012:global-network/global-network-08eb4a99cb6example", "arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11111111111122222" ], "detail": { "change-type": "VPC-ATTACHMENT-DELETED", "change-description": "A VPC attachment has been deleted.", "region": "us-east-1", "transit-gateway-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11111111111122222", "transit-gateway-attachment-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway-attachment/tgw-attach-012345678abc12345", "vpc-arn": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-11223344556677aab" } }

路由更新事件

当您的全局网络中的中转网关路由表发生更改时,会发生路由更新事件。这包括下列事件:

  • 更改了一个中转网关连接路由表关联

  • 在中转网关路由表中创建了一个路由

  • 在中转网关路由表中删除了一个路由

以下事件示例将一个中转网关路由表关联到一个连接。

{ "account": "123456789012", "region": "us-west-2", "detail-type": "Network Manager Routing Update", "source": "aws.networkmanager", "version": "0", "time": "2019-06-30T23:18:50Z", "id": "fb1d3015-c091-4bf9-95e2-d9852example", "resources": [ "arn:aws:networkmanager::123456789012:global-network/global-network-08eb4a99cb6example", "arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11111111111122222" ], "detail": { "change-type": "TGW-ROUTE-TABLE-ASSOCIATED", "change-description": "A Transit Gateway attachment has been associated to a route table.", "region": "us-east-1", "transit-gateway-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11111111111122222", "transit-gateway-attachment-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway-attachment/tgw-attach-012345678abc12345", "transit-gateway-route-table-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway-route-table/tgw-rtb--123abc123abc123ab" } }

状态更新事件

当您全球网络中 VPN 连接的连接状态发生更改时,会发生状态更新事件。这包括下列事件:

  • VPN 隧道的 IPsec 会话关闭

  • VPN 隧道的 IPsec 会话启动(关闭后)

  • VPN 隧道的 BGP 会话关闭

  • VPN 隧道的 BGP 会话启动(关闭后)

以下是 VPN 隧道的 IPsec 会话关闭的事件示例。

{ "account": "123456789012", "region": "us-west-2", "detail-type": "Network Manager Status Update", "source": "aws.networkmanager", "version": "0", "time": "2019-06-30T23:18:50Z", "id": "fb1d3015-c091-4bf9-95e2-d98example", "resources": [ "arn:aws:networkmanager::123456789012:global-network/global-network-08eb4a99cb6example", "arn:aws:ec2:us-east-1:123456789012:vpn-connection/vpn-33333333333344444" ], "detail": { "status-change": "VPN-CONNECTION-IPSEC-UP", "change-description": "IPsec for a VPN connection has come up.", "region": "us-east-1", "transit-gateway-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11111111111122222", "transit-gateway-attachment-arn": "arn:aws:ec2:us-east-1:123456789012:transit-gateway-attachment/tgw-attach-1122334455aaaaaaa", "vpn-connection-arn": "arn:aws:ec2:us-east-1:123456789012:vpn-connection/vpn-33333333333344444", "outside-ip-address": "198.51.100.3" } }