Überwachung
Übersicht
Die Überwachung der Anwendungsbereitstellung hilft dabei, ungewöhnliche Ereignisse zu erkennen und angemessen darauf zu reagieren. Amazon CloudWatch überwacht Ressourcen von Amazon Web Services (AWS), die für die Anwendungsbereitstellung verwendet werden, einschließlich AWS Edge Services. Beispielsweise helfen serverseitige Metriken von AWS Edge Services dabei, einen unerwarteten Anstieg des Datenverkehrsvolumens, einen deutlichen Rückgang der Cache-Trefferquote, einen starken Anstieg von 5xx-Fehlern oder DDoS-Angriffe zu erkennen. Zusätzlich zu den serverseitigen Metriken sammelt und verfolgt CloudWatch Metriken aus der clientseitigen Überwachung mithilfe von CloudWatch RUM. Mithilfe von CloudWatch-Metriken können benutzerdefinierte Dashboards erstellt werden, auf denen auch Alarme konfiguriert werden können.
Serverseitige Metriken
Von AWS Edge Services ausgegebene native CloudWatch-Metriken
Berücksichtigen Sie bei der Bereitstellung und dem Schutz Ihrer Anwendung die folgenden CloudWatch-Metriken, die von AWS Edge-Services fast in Echtzeit ausgegeben werden:
- CloudFront gibt die folgenden Metriken aus: Anfragen, heruntergeladene Byte, hochgeladene Byte, 4xx-Fehlerrate, 5xx-Fehlerrate und Gesamtfehlerrate. Beachten Sie, dass diese Metriken in der Region us-east-1 verfügbar sind, da CloudFront ein globaler Dienst ist. Gegen Aufpreis können Sie zusätzliche Metriken wie Cache-Trefferrate, Ursprungslatenz und Fehlerrate für bestimmte Statuscodes aktivieren.
- CloudFront-Funktionen gibt die folgenden Metriken in der Region us-east-1 aus: Aufrufe, Validierungsfehler, Ausführungsfehler, Rechenauslastung und Drosseln.
- Lambda@Edge basiert auf AWS Lambda und gibt daher eine Teilmenge seiner Metriken aus, etwa Aufrufe, Fehler, Dauer, gleichzeitige Ausführungen und Drosseln. Im Gegensatz zu CloudFront-Funktionen misst Lambda@Edge in jeder Region, in der es von CloudFront ausgeführt wird. Die CloudFront-Konsole bietet eine konsolidierte Ansicht dieser Metriken in allen Regionen.
- AWS WAF gibt die folgenden Metriken aus: zulässige Anfragen, blockierte Anfragen, gezählte Anfragen, mit Captcha verifizierte Anfragen, durch eine Aufgabe verifizierte Anfragen usw. Jede Metrik kann mit einer bestimmten Genauigkeit gemessen werden, z. B. nach WebACL, Regel, Land, Gerät usw. Berücksichtigen Sie, dass AWS-WAF-Metriken in der Region us-east-1 verfügbar sind, wenn die WebACL auf CloudFront angewendet wird.
- Shield Advanced sendet Metriken für erkannte DDoS-Angriffe aus, wie z. B. Angriffsbits pro Sekunde, Pakete pro Sekunde und Anfragen pro Sekunde.
Sie können ein CloudWatch-Dashboard erstellen, das auf den oben genannten Metriken basiert, die von AWS Edge Services ausgegeben wurden, auch wenn sich die Metriken über mehrere Regionen und Konten erstreckten. Das folgende Beispiel ist ein Sicherheits-Dashboard, das auf Metriken basiert, die von den AWS WAF-Regeln ausgegeben werden.
Sie können ein CloudWatch-Dashboard erstellen, das auf den oben genannten Metriken basiert, die von AWS Edge Services ausgegeben wurden, auch wenn die Metriken von mehreren Regionen und Konten stammen. Das folgende Beispiel ist ein Sicherheits-Dashboard, das auf Metriken basiert, die von den AWS WAF-Regeln ausgegeben werden.
Erweiterte Metriken
Erweiterte Metriken für Ihre Anwendung können auf verschiedene Arten erstellt werden. Die erste basiert auf der Kombination nativer CloudWatch-Metriken mit komplexeren Metriken, die anderen basieren auf Serviceprotokollen.
Verwenden Sie für den ersten Ansatz CloudWatch Metric Math. Sie können beispielsweise die Gesamtzahl der von CloudFront gelieferten Anfragen pro Sekunde berechnen, indem Sie die Metrik Anfragen von CloudFront durch den Messzeitraum dividieren (m1/Zeitraum (m1)) . Ein anderes Beispiel ist die Erstellung einer zusammengesetzten Metrik, die den Zustand Ihrer Anwendung durch eine logische Kombination anderer Metriken widerspiegelt (z. B. fehlerfrei, wenn CloudFront 5xx < 0,5 % UND die Serverlatenz < 1 s sind). Diese zusammengesetzte Metrik kann dann mit den Zustandsprüfungen von Shield Advanced verwendet werden.
Verwenden Sie im zweiten Ansatz Protokolle, die von AWS-Edge-Services generiert wurden, um benutzerdefinierte Metriken auszugeben. Einige Implementierungen beinhalten:
- Konfiguration von Metrikfiltern für Protokolle, die an CloudWatch Logs gesendet werden. Sie können Ihre CloudFront-Funktion beispielsweise so konfigurieren, dass das Auftreten von Anfragen mit einer bestimmten Abfragezeichenfolge protokolliert wird, und einen Metrikfilter verwenden, um diese Vorkommen zu zählen.
- CloudFront und WAF-Protokolle, die an Kinesis gesendet wurden, werden mithilfe von Lambda verarbeitet, um benutzerdefinierte Metriken auszugeben. Betrachten Sie diese Beispielimplementierung.
Warnfunktion
Sie können Alarme erstellen, um benachrichtigt zu werden, wenn CloudWatch-Metriken auf ein ungewöhnliches Ereignis hinweisen. Folgen Sie den Schritten in diesem Blog, um einen Alarm einzurichten, der auf einem Schwellenwert für eine Fehlerrate von 5xx in CloudFront basiert. Zusätzlich zur Alarmierung auf der Grundlage von Schwellenwerten ermöglicht Ihnen die Anomalieerkennung von CloudWatch die Erstellung von Baselines für Ihre Metriken und die Erstellung von Alarmen auf der Grundlage abnormaler Änderungen im Vergleich zum Ausgangswert.
Sicherheitserkenntnisse in Security Hub
AWS Firewall Manager erstellt im AWS Security Hub Erkenntnisse zu Ressourcen, die nicht den Vorschriften entsprechen, und zu erkannten Angriffen von Shield Advanced.
CloudWatch Internet Monitor
CloudWatch Internet Monitor bietet Einblick in die Leistung Ihrer mit dem Internet verbundenen Anwendungen und verwendet dabei die Konnektivitätsdaten, die AWS aus seinem globalen Netzwerk-Footprint erfasst. Internet Monitor bietet eine kontinuierliche Beobachtbarkeit von Internet-Messgrößen wie Verfügbarkeit und Leistung, die auf Ihren Workload-Footprint in AWS zugeschnitten sind. Sie können Internet Monitor verwenden, um Einblicke in Metriken zur durchschnittliche Internetleistung im Zeitverlauf und in Probleme (Ereignisse) nach Standort und Internetdienstanbieter (ISP) zu erhalten. Mit Internet Monitor können Sie leicht erkennen, welche Ereignisse die Endbenutzererfahrung von Anwendungen, die Services wie CloudFront verwenden, beeinträchtigen. In diesem Blogbeitrag erfahren Sie, wie Sie den Internetverkehr zu CloudFront Edge mit Amazon CloudWatch Internet Monitor mit einem Klick überwachen können.
Clientseitige Überwachung
Zusätzlich zu serverseitigen Metriken wird empfohlen, clientseitige Metriken mithilfe von CloudWatch RUM zu erfassen. RUM liefert Ihnen die genauesten Daten darüber, wie sich Ihre Webanwendung aus Benutzersicht verhält. Um CloudWatch RUM nutzen zu können, müssen Sie auf Ihren Webseiten ein JavaScript-Tag einfügen. Das Javascript sammelt Daten von Browser-APIs, wie Seitenladezeiten, Core Web Vitals oder Anwendungsfehler, und sendet sie dann zum Dashboarding an CloudWatch RUM. Darüber hinaus gibt CloudWatch RUM CloudWatch-Metriken wie WebVitalsCumulativeLayoutShift, WebVitalsFirstInputDelay, WebVitalsLargestContentfulPaint, JsErrorCount, HttpStatusCodeCount usw. aus.