Centralized Logging on AWS 將於 2024 年 3 月 1 日停用。該服務將由 Centralized Logging with OpenSearch 解決方案所取代。取代之後,所有現有的部署將會繼續運作,但該解決方案不再提供支援和維護。如果您不使用 GovCloud 區域部署,強烈建議您依據 Centralized Logging on AWS 實作指南中概述的步驟遷移至 2.0.0 版或更新版本的 Centralized Logging with OpenSearch 解決方案。
概觀
AWS 上的集中式日誌記錄解決方案會協助組織在單一儀表板中收集、分析和顯示 Amazon CloudWatch Logs。該解決方案整合、管理和分析來自各種來源的日誌檔案,例如存取、組態變更和計費事件的稽核日誌。您還可以從多個帳戶和 AWS 區域收集 Amazon CloudWatch Logs。
此解決方案會使用 Amazon OpenSearch Service 和 Kibana,後者是與 Amazon OpenSearch Service 整合的分析和視覺化平台,可產生所有日誌事件的統一視圖。此解決方案結合其他 AWS Managed Services,為您提供統包環境,以開始記錄和分析 AWS 環境和應用程式。
支援的日誌格式包括 Amazon VPC 流量日誌、AWS CloudTrail、AWS Lambda、通用日誌格式、空格分隔、JSON、Apache Web 伺服器日誌,以及其他 (使用者定義的) 格式。
優勢
AWS CloudFormation 範本將自動啟動和設定必要的元件,以從多個帳戶和 AWS 區域上傳日誌檔至 Amazon OpenSearch Service,從而在可自訂且簡單易用的儀表板中進行分析和視覺化。
使用 Amazon Cognito 控制儀表板的存取權,以簡化 Amazon OpenSearch Service 的身分驗證。
將記錄日誌功能擴展到預設 AWS 服務日誌以外。此彈性解決方案包括擷取主機層級日誌檔和 VPC 流量日誌的範例,且其設計可隨著您業務的發展而擴展。
使用 Kibana 的內建 Amazon OpenSearch Service 支援簡化資料視覺化,包括預先設定的儀表板的預設集合,可讓您一覽 Kibana 的自訂功能。
技術詳細資訊
AWS 上的集中式日誌記錄解決方案包含以下元件:日誌內嵌、日誌索引和視覺化。您必須在預計存放日誌資料所在的 AWS 帳戶中部署 AWS CloudFormation 範本。
步驟 1a – 日誌內嵌
Amazon CloudWatch Logs 目的地會在主要帳戶中部署,建立方式為在所選每個區域中使用所需的許可。您可以針對要串流至 AWS 上的集中式日誌記錄帳戶的日誌群組,設定 CloudWatch Logs 訂閱篩選條件。
步驟 1b – 日誌內嵌
您可以部署選用的示範 AWS CloudFormation 範本,來為 AWS CloudTrail、Amazon Virtual Private Cloud (Amazon VPC) 流量日誌,以及 Amazon Elastic Compute Cloud (Amazon EC2) Web 伺服器產生範例 CloudWatch Logs。
步驟 2a – 日誌索引
系統會佈建集中式 Amazon Kinesis Data Streams 和 Amazon Kinesis Data Firehose,以在集中式 Amazon OpenSearch Service 網域上編製日誌事件的索引。建立以串流日誌事件的 CloudWatch Logs 目標會將 Kinesis Data Streams 視為其目標。
步驟 2b – 日誌索引
一旦日誌事件串流至 Kinesis Data Streams 後,此服務會叫用 AWS Lambda 函數,將每個日誌事件轉換為 Amazon OpenSearch Service 文件,而系統會在稍後將此文件放入至 Kinesis Data Firehose。當 Kinesis Data Firehose 傳送內含每次交付串流之詳細監控資料的自訂 CloudWatch Logs 時,您就可以監控 Kinesis Data Firehose。
步驟 3 – 視覺化
Amazon OpenSearch Service 和 Kibana 提供資料視覺化和探索支援。Amazon OpenSearch Service 網域會建立在 Amazon VPC 中,避免公開存取 Kibana 儀表板。可以選擇性啟動 Microsoft Windows Jumpbox Server,以存取 Amazon OpenSearch Service 叢集和 Kibana 儀表板。
步驟 1a – 日誌內嵌
Amazon CloudWatch Logs 目的地會在主要帳戶中部署,建立方式為在所選每個區域中使用所需的許可。您可以針對要串流至 AWS 上的集中式日誌記錄帳戶的日誌群組,設定 CloudWatch Logs 訂閱篩選條件。
步驟 1b – 日誌內嵌
您可以部署選用的示範 AWS CloudFormation 範本,來為 AWS CloudTrail、Amazon Virtual Private Cloud (Amazon VPC) 流量日誌,以及 Amazon Elastic Compute Cloud (Amazon EC2) Web 伺服器產生範例 CloudWatch Logs。
步驟 2a – 日誌索引
系統會佈建集中式 Amazon Kinesis Data Streams 和 Amazon Kinesis Data Firehose,以在集中式 Amazon OpenSearch Service 網域上編製日誌事件的索引。建立以串流日誌事件的 CloudWatch Logs 目標會將 Kinesis Data Streams 視為其目標。
步驟 2b – 日誌索引
一旦日誌事件串流至 Kinesis Data Streams 後,此服務會叫用 AWS Lambda 函數,將每個日誌事件轉換為 Amazon OpenSearch Service 文件,而系統會在稍後將此文件放入至 Kinesis Data Firehose。當 Kinesis Data Firehose 傳送內含每次交付串流之詳細監控資料的自訂 CloudWatch Logs 時,您就可以監控 Kinesis Data Firehose。
步驟 3 – 視覺化
Amazon OpenSearch Service 和 Kibana 提供資料視覺化和探索支援。Amazon OpenSearch Service 網域會建立在 Amazon VPC 中,避免公開存取 Kibana 儀表板。可以選擇性啟動 Microsoft Windows Jumpbox Server,以存取 Amazon OpenSearch Service 叢集和 Kibana 儀表板。