Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Registrazione e monitoraggio dei broker Amazon MQ
Il monitoraggio è una parte importante per mantenere l'affidabilità, la disponibilità e le prestazioni delle soluzioni. AWS È necessario raccogliere i dati di monitoraggio da tutte le parti della AWS soluzione in modo da poter eseguire più facilmente il debug di un errore multipunto, se si verifica. AWS fornisce diversi strumenti per monitorare le risorse Amazon MQ e rispondere a potenziali incidenti:
Puoi utilizzarlo CloudWatch per visualizzare e analizzare i parametri per il tuo broker Amazon MQ. Puoi visualizzare e analizzare le metriche del broker dalla CloudWatch console AWS CLI, dal o dal. CloudWatch AWS CLI CloudWatch i parametri per Amazon MQ vengono interrogati automaticamente dal broker e quindi aggiornati ogni minuto. CloudWatch Per i broker ActiveMQ CloudWatch , monitora solo le prime 1000 destinazioni. Per i broker RabbitMQ, CloudWatch monitora solo le prime 500 destinazioni, ordinate per numero di consumatori.
Per un elenco completo di parametri di Amazon MQ, consultare [CloudWatch Parametri disponibili Amazon MQ per i broker ActiveMQ](activemq-logging-monitoring.md).
Per informazioni sulla creazione di un CloudWatch allarme per una metrica, consulta [Create or Edit a CloudWatch Alarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) nella *Amazon CloudWatch User Guide*.
# Accesso ai CloudWatch parametri per Amazon MQ
Puoi accedere alle CloudWatch metriche utilizzando l'API Console di gestione AWS AWS CLI, e.
Potresti voler accedere alle CloudWatch metriche senza utilizzare il. Console di gestione AWS
Per accedere ai parametri di Amazon MQ utilizzando AWS CLI, usa il `[get-metric-statistics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html)` comando. Per ulteriori informazioni, consulta [Get Statistics for a Metric](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/getting-metric-statistics.html) nella *Amazon CloudWatch User Guide*.
Per accedere ai parametri di Amazon MQ utilizzando l' CloudWatch API, utilizza l'`[GetMetricStatistics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)`azione. Per ulteriori informazioni, consulta [Get Statistics for a Metric](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/getting-metric-statistics.html) nella *Amazon CloudWatch User Guide*.
## Accesso alle CloudWatch metriche utilizzando il Console di gestione AWS
L'esempio seguente mostra come accedere ai CloudWatch parametri per Amazon MQ utilizzando Console di gestione AWS.Se hai già effettuato l'accesso alla console Amazon MQ, nella pagina **Dettagli** del broker, scegli **Azioni**, **Visualizza CloudWatch ** metriche.
1. Accedi alla [console CloudWatch](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione, scegli **Metrics** (Parametri).
1. Seleziona lo spazio dei nomi del parametro **AmazonMQ**.
1. Seleziona una delle dimensioni parametro seguenti:
+ **Parametri broker**
+ **Queue Metrics by Broker (Parametri coda per broker)**
+ **Topic Metrics by Broker (Parametri argomento per broker)**
In questo esempio, è selezionata **Broker Metrics (Parametri broker)**.
1. Puoi ora quindi esaminare i parametri Amazon MQ:
+ Per ordinare i parametri, utilizza l'intestazione della colonna.
+ Per creare il grafico del parametro, seleziona la casella di controllo accanto al parametro.
+ Per filtrare in base a un parametro, scegli il nome del parametro e quindi **Add to search** (Aggiungi alla ricerca).
# CloudWatch Parametri disponibili Amazon MQ per i broker ActiveMQ
## Parametri Amazon MQ per ActiveMQ
| Metrica | Unità | Description |
| --- | --- | --- |
| AmqpMaximumConnections | Conteggio | Il numero massimo di clienti che puoi connettere al tuo broker utilizzando AMQP. Per ulteriori informazioni sulle quote di connessione, consulta [Quotas in Amazon MQ](amazon-mq-limits.md). |
| BurstBalance | Percentuale | La percentuale di crediti per il burst rimanenti sul volume Amazon EBS utilizzato per mantenere i dati dei messaggi per i broker ottimizzati per la velocità effettiva. Se questo saldo raggiunge lo zero, le IOPS fornite dal volume Amazon EBS diminuiranno fino a quando il saldo di burst non si ricaricherà. Per ulteriori informazioni su come funzionano i saldi di burst in Amazon EBS, consulta l'argomento relativo ai [crediti di I/O e prestazioni di burst](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volume-types.html#IOcredit). |
| CpuCreditBalance | Crediti (vCPU/minuti) | Questo parametro è disponibile solo per il tipo di istanza broker `mq.t2.micro`. I parametri di credito CPU sono disponibili solo a intervalli di 5 minuti. Il numero di crediti CPU ottenuti, che un'istanza ha accumulato da quando è stata lanciata o avviata (incluso il numero di crediti di lancio). Il saldo del credito è disponibile affinché l'istanza broker lo spenda per andare oltre l'utilizzo di base della CPU. I crediti vengono accumulati nel saldo del credito dopo che sono stati ottenuti e vengono rimossi dal saldo del credito una volta spesi. Il saldo del credito ha un limite massimo. Una volta raggiunto il limite, i nuovi crediti guadagnati vengono scartati. |
| CpuUtilization | Percentuale | Percentuale delle unità di elaborazione di Amazon EC2 assegnate e attualmente utilizzate dal broker. |
| CurrentConnectionsCount | Conteggio | Numero di connessioni attualmente attive sul broker corrente. |
| EstablishedConnectionsCount | Conteggio | Il numero totale di connessioni, attive e inattive, che sono state stabilite nel broker. |
| HeapUsage | Percentuale | Percentuale del limite di memoria ActiveMQ JVM utilizzata attualmente dal broker. |
| InactiveDurableTopicSubscribersCount | Conteggio | Il numero di sottoscrizioni ad argomenti durevoli inattive, fino a un massimo di 2.000. |
| JobSchedulerStorePercentUsage | Percentuale | La percentuale di spazio su disco utilizzata dall'archivio del sistema di pianificazione delle attività. |
| JournalFilesForFastRecovery | Conteggio | Numero di file di registro che vengono riprodotti dopo una chiusura senza errori. |
| JournalFilesForFullRecovery | Conteggio | Numero di file di registro che vengono riprodotti dopo una chiusura con errori. |
| MqttMaximumConnections | Conteggio | Il numero massimo di clienti che puoi connettere al tuo broker utilizzando MQTT. Per ulteriori informazioni sulle quote di connessione, consulta [Quotas in Amazon MQ](amazon-mq-limits.md). |
| NetworkConnectorConnectionCount | Conteggio | Il numero di nodi collegati al broker in una [rete di broker](network-of-brokers.md) che utilizza. NetworkConnector |
| NetworkIn | Byte | Volume di traffico in entrata per il broker. |
| NetworkOut | Byte | Volume di traffico in uscita per il broker. |
| OpenTransactionCount | Conteggio | Numero totale delle transazioni in esecuzione. |
| OpenwireMaximumConnections | Conteggio | Il numero massimo di client che puoi utilizzare OpenWire per connetterti al tuo broker. Per ulteriori informazioni sulle quote di connessione, consulta [Quotas in Amazon MQ](amazon-mq-limits.md). |
| StompMaximumConnections | Conteggio | Il numero massimo di clienti che puoi connettere al tuo broker utilizzando STOMP. Per ulteriori informazioni sulle quote di connessione, consulta [Quotas in Amazon MQ](amazon-mq-limits.md). |
| StorePercentUsage | Percentuale | Percentuale utilizzata dal limite di storage. Se raggiunge 100, il broker rifiuta i messaggi. |
| TempPercentUsage | Percentuale | Percentuale di storage temporaneo disponibile utilizzata dai messaggi non persistenti. |
| TotalConsumerCount | Conteggio | Numero di consumer di messaggi iscritti alle destinazioni sul broker corrente. |
| TotalMessageCount | Conteggio | Numero di messaggi archiviati sul broker. |
| TotalProducerCount | Conteggio | Numero di produttori di messaggi attivi nelle destinazioni sul broker corrente. |
| VolumeReadOps | Conteggio | Numero di operazioni di lettura eseguite sul volume Amazon EBS. |
| VolumeWriteOps | Conteggio | Numero di operazioni di scrittura eseguite sul volume Amazon EBS. |
| WsMaximumConnections | Conteggio | Il numero massimo di client che puoi utilizzare per connetterti al tuo broker WebSocket. Per ulteriori informazioni sulle quote di connessione, consulta [Quotas in Amazon MQ](amazon-mq-limits.md). |
### Dimensioni per i parametri del broker ActiveMQ
| Dimensione | Description |
| --- | --- |
| Broker | Il nome del broker Un broker a istanza singola ha il suffisso -1. Un active/standby broker per l'alta disponibilità ha i suffissi -1 e -2 per la sua coppia ridondante. |
## Destinazione ActiveMQ per i parametri (coda e argomento)
**Importante**
Le seguenti metriche includono i conteggi al minuto per il periodo di votazione. CloudWatch
`EnqueueCount`
`ExpiredCount`
`DequeueCount`
`DispatchCount`
`InFlightCount`
Ad esempio, in un [periodo CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) di cinque minuti,`EnqueueCount` ha cinque valori di conteggio, ciascuno per una porzione di un minuto del periodo. Le statistiche `Maximum` e `Minimum` offrono il valore minimo e massimo al minuto durante il periodo specificato.
| Metrica | Unità | Description |
| --- | --- | --- |
| ConsumerCount | Conteggio | Numero di consumer iscritti alla destinazione. |
| EnqueueCount | Conteggio | Numero di messaggi inviati alla destinazione, al minuto. |
| EnqueueTime | Tempo (millisecondi) | La end-to-end latenza dal momento in cui un messaggio arriva a un broker fino alla consegna a un consumatore. `EnqueueTime`non misura la end-to-end latenza dal momento in cui un messaggio viene inviato da un produttore fino a quando raggiunge il broker, né la latenza tra il momento in cui un messaggio viene ricevuto da un broker fino a quando non viene riconosciuto dal broker. Piuttosto, `EnqueueTime` è il numero di millisecondi dal momento in cui un messaggio viene ricevuto dal broker fino a quando non viene consegnato correttamente a un consumatore. |
| ExpiredCount | Conteggio | Numero di messaggi non recapitati perché scaduti, al minuto. |
| DispatchCount | Conteggio | Numero di messaggi inviati ai consumer, al minuto. |
| DequeueCount | Conteggio | Numero di messaggi confermati dai consumer, al minuto. |
| InFlightCount | Conteggio | Numero di messaggi inviati ai consumer che non sono stati confermati. |
| ReceiveCount | Conteggio | Il numero di messaggi che sono stati ricevuti dal broker remoto per un connettore di rete duplex. |
| MemoryUsage | Percentuale | Percentuale del limite di memoria utilizzata attualmente dalla destinazione. |
| ProducerCount | Conteggio | Numero di produttori per la destinazione. |
| QueueSize | Conteggio | Numero dei messaggi in coda. Questo parametro si applica solo alle code. |
| TotalEnqueueCount | Conteggio | Numero totale di messaggi inviati al broker. |
| TotalDequeueCount | Conteggio | Numero totale di messaggi che sono stati utilizzati dai client. |
**Nota**
I parametri `TotalEnqueueCount` e `TotalDequeueCount` includono messaggi per argomenti di consulenza. Per ulteriori informazioni sui messaggi degli argomenti di consulenza, consultare la [documentazione di ActiveMQ](https://activemq.apache.org/advisory-message.html).
### Dimensioni per i parametri di destinazione ActiveMQ (coda e argomento)
| Dimensione | Description |
| --- | --- |
| Broker | Il nome del broker. Un broker a istanza singola ha il suffisso `-1`. Un active/standby broker per l'alta disponibilità ha i suffissi `-1` e `-2` la coppia ridondante. |
| Topic o Queue | Nome dell'argomento o della coda. |
| NetworkConnector | Il nome del connettore di rete. |
# CloudWatch Metriche disponibili per i broker Amazon MQ for RabbitMQ
## Parametri del broker RabbitMQ
| Metrica | Unità | Description |
| --- | --- | --- |
| ExchangeCount | Conteggio | Il numero totale di scambi configurati sul broker. |
| QueueCount | Conteggio | Il numero totale di code configurate sul broker. |
| ConnectionCount | Conteggio | Il numero totale di connessioni stabilite nel broker. |
| ChannelCount | Conteggio | Il numero totale di canali stabiliti nel broker. |
| ConsumerCount | Conteggio | Il numero totale di consumatori collegati al broker. |
| MessageCount | Conteggio | Il numero totale di messaggi in coda. Il numero prodotto è la somma totale dei messaggi pronti e sconosciuti sul broker. |
| MessageReadyCount | Conteggio | Il numero totale di messaggi pronti in coda. |
| MessageUnacknowledgedCount | Conteggio | Il numero totale di messaggi non confermati in coda. |
| PublishRate | Conteggio | La frequenza con cui i messaggi vengono pubblicati al broker. Il numero prodotto rappresenta il numero di messaggi al secondo al momento del campionamento. |
| ConfirmRate | Conteggio | La velocità alla quale il server RabbitMQ conferma i messaggi pubblicati. È possibile confrontare questo parametro con PublishRate per capire meglio come si sta comportando il broker. Il numero prodotto rappresenta il numero di messaggi al secondo al momento del campionamento. |
| AckRate | Conteggio | La frequenza con cui i messaggi vengono riconosciuti dai consumatori. Il numero prodotto rappresenta il numero di messaggi al secondo al momento del campionamento. |
| SystemCpuUtilization | Percentuale | Percentuale delle unità di elaborazione di Amazon EC2 assegnate e attualmente utilizzate dal broker. Per le implementazioni cluster, questo valore rappresenta l'aggregato di tutti e tre i parametri corrispondenti dei nodi RabbitMQ. |
| RabbitMQMemLimit | Byte | Il limite RAM per un broker RabbitMQ. Per le implementazioni cluster, questo valore rappresenta l'aggregato di tutti e tre i parametri corrispondenti dei nodi RabbitMQ. |
| RabbitMQMemUsed | Byte | Il volume della RAM utilizzata da un broker RabbitMQ. Per le implementazioni cluster, questo valore rappresenta l'aggregato di tutti e tre i parametri corrispondenti dei nodi RabbitMQ. |
| RabbitMQDiskFreeLimit | Byte | Il limite del disco per un broker RabbitMQ. Per le implementazioni cluster, questo valore rappresenta l'aggregato di tutti e tre i parametri corrispondenti dei nodi RabbitMQ. Questo parametro è diverso in base alla dimensione dell'istanza. |
| RabbitMQDiskFree | Byte | Il volume totale dello spazio libero disponibile su disco in un broker RabbitMQ. Quando l'utilizzo del disco supera il limite, il cluster bloccherà tutte le connessioni del produttore. Per le implementazioni cluster, questo valore rappresenta l'aggregato di tutti e tre i parametri corrispondenti dei nodi RabbitMQ. |
| RabbitMQFdUsed | Conteggio | Il numero di descrittori di file utilizzati. Per le implementazioni cluster, questo valore rappresenta l'aggregato di tutti e tre i parametri corrispondenti dei nodi RabbitMQ. |
| RabbitMQIOReadAverageTime | Conteggio | Il tempo medio (in millisecondi) impiegato da RabbitMQ per eseguire un'operazione di lettura. Il valore è proporzionale alla dimensione del messaggio. |
| RabbitMQIOWriteAverageTime | Conteggio | Il tempo medio (in millisecondi) impiegato da RabbitMQ per eseguire un'operazione di scrittura. Il valore è proporzionale alla dimensione del messaggio. |
## Dimensioni per i parametri del broker RabbitMQ
| Dimensione | Description |
| --- | --- |
| Broker | Il nome del broker. |
## Parametri del nodo RabbitMQ
| Metrica | Unità | Description |
| --- | --- | --- |
| SystemCpuUtilization | Percentuale | Percentuale delle unità di elaborazione di Amazon EC2 assegnate e attualmente utilizzate dal broker. |
| RabbitMQMemLimit | Byte | Il limite RAM per un nodo RabbitMQ. |
| RabbitMQMemUsed | Byte | Il volume della RAM utilizzata da un nodo RabbitMQ. Quando l'utilizzo della memoria supera il limite, il cluster bloccherà tutte le connessioni del produttore. |
| RabbitMQDiskFreeLimit | Byte | Il limite del disco per un nodo RabbitMQ. Questo parametro è diverso in base alla dimensione dell'istanza. |
| RabbitMQDiskFree | Byte | Il volume totale dello spazio libero disponibile su disco in un nodo RabbitMQ. Quando l'utilizzo del disco supera il limite, il cluster bloccherà tutte le connessioni del produttore. |
| RabbitMQFdUsed | Conteggio | Il numero di descrittori di file utilizzati. |
## Le dimensioni per i parametri dei nodi RabbitMQ
| Dimensione | Description |
| --- | --- |
| Node | Il nome del nodo. Un nome del nodo è composto da due parti: un prefisso (di solito `rabbit`) e un nome dell'host. Ad esempio, `rabbit@ip-10-0-0-230.us-west-2.compute.internal` è un nome del nodo con il prefisso `rabbit` e il nome dell'host `ip-10-0-0-230.us-west-2.compute.internal`. |
| Broker | Il nome del broker. |
## Parametri della coda RabbitMQ
| Metrica | Unità | Description |
| --- | --- | --- |
| ConsumerCount | Conteggio | Il numero di consumatori iscritti alla coda. |
| MessageReadyCount | Conteggio | Il numero di messaggi attualmente disponibili da inviare. |
| MessageUnacknowledgedCount | Conteggio | Il numero di messaggi per i quali il server è in attesa di conferma. |
| MessageCount | Conteggio | Il numero totale di MessageReadyCount e MessageUnacknowledgedCount (detta anche profondità della coda). |
## Dimensioni per i parametri della coda RabbitMQ
**Nota**
Amazon MQ per RabbitMQ non pubblicherà parametri per host virtuali e code con nomi contenenti spazi vuoti, tabulazioni o altri caratteri non ASCII.
Per ulteriori informazioni sui nomi delle dimensioni, consulta [Dimension](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_Dimension.html#API_Dimension_Contents) in *Amazon CloudWatch API Reference*.
| Dimensione | Description |
| --- | --- |
| Queue | Il nome della coda. |
| VirtualHost | Nome dell'host virtuale. |
| Broker | Il nome del broker. |
## Metriche di rete RabbitMQ
| Metrica | Unità | Description |
| --- | --- | --- |
| NetworkOut | Byte | Il numero di byte inviati dall'istanza su tutte le interfacce di rete. Questo parametro identifica il volume del traffico di rete in uscita da una singola istanza. Il numero segnalato è il numero di byte inviati durante il periodo. Se utilizzi il monitoraggio di base (5 minuti) e la statistica è Sum (Somma), puoi dividere questo numero per 300 per trovare i byte/secondo. Se hai il monitoraggio dettagliato (1 minuto) e la statistica è Sum (Somma), dividi per 60. È inoltre possibile utilizzare la funzione matematica CloudWatch metrica `DIFF_TIME` per trovare i byte al secondo. Ad esempio, se hai rappresentato graficamente CloudWatch as`m1`, la formula `m1/(DIFF_TIME(m1))` matematica metrica restituisce la metrica NetworkOut in byte/secondo. [Per ulteriori informazioni `DIFF_TIME` e altre funzioni matematiche metriche, vedere Uso della matematica metrica.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-metric-math.html) **Statistiche significative:** somma, media, minimo, massimo |
| NetworkIn | Byte | Il numero di byte ricevuti dall'istanza su tutte le interfacce di rete. Questo parametro identifica il volume del traffico di rete in entrata in una singola istanza. Il numero segnalato è il numero di byte ricevuti durante il periodo. Se utilizzi il monitoraggio di base (5 minuti) e la statistica è Sum (Somma), puoi dividere questo numero per 300 per trovare i byte/secondo. Se hai il monitoraggio dettagliato (1 minuto) e la statistica è Sum (Somma), dividi per 60. È inoltre possibile utilizzare la funzione matematica CloudWatch metrica `DIFF_TIME` per trovare i byte al secondo. Ad esempio, se hai rappresentato graficamente CloudWatch as`m1`, la formula `m1/(DIFF_TIME(m1))` matematica metrica restituisce la metrica NetworkIn in byte/secondo. [Per ulteriori informazioni `DIFF_TIME` e altre funzioni matematiche metriche, vedere Uso della matematica metrica.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-metric-math.html) **Statistiche significative:** somma, media, minimo, massimo |
## Dimensioni per i broker RabbitMQ
| Dimensione | Description |
| --- | --- |
| BrokerId | ID del broker |
## Configurazione dei log di Amazon MQ per RabbitMQ
Quando abiliti CloudWatch la registrazione per i tuoi broker RabbitMQ, Amazon MQ utilizza un ruolo collegato al servizio per pubblicare i log generali. CloudWatch Se non esiste alcun ruolo collegato al servizio di Amazon MQ quando crei per la prima volta un broker, Amazon MQ ne creerà automaticamente uno. Tutti i broker RabbitMQ successivi utilizzeranno lo stesso ruolo collegato al servizio su cui pubblicare i log. CloudWatch
[https://docs.aws.amazon.com//IAM/latest/UserGuide/using-service-linked-roles.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/using-service-linked-roles.html) Per ulteriori informazioni sull'utilizzo dei ruoli collegati al servizio da parte di Amazon MQ, consultare [Utilizzo di ruoli collegati ai servizi per Amazon MQ](using-service-linked-roles.md).
# Registrazione delle chiamate API Amazon MQ tramite AWS CloudTrail
Amazon MQ è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle chiamate Amazon MQ effettuate da un utente, ruolo o AWS servizio. CloudTrail acquisisce le chiamate API relative ai broker e alle configurazioni Amazon MQ come eventi, incluse le chiamate dalla console Amazon MQ e le chiamate in codice da Amazon MQ. APIs *[Per ulteriori informazioni in merito CloudTrail, consulta la Guida per l'AWS CloudTrail utente.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)*
**Nota**
CloudTrail non registra le chiamate API relative alle operazioni di ActiveMQ (ad esempio, l'invio e la ricezione di messaggi) o alla console Web ActiveMQ. Per registrare le informazioni relative alle operazioni di ActiveMQ, puoi configurare [Amazon MQ per pubblicare log generali e di audit su Amazon Logs. CloudWatch ](security-logging-monitoring.md)
Utilizzando le informazioni CloudTrail raccolte, puoi identificare una richiesta specifica a un'API Amazon MQ, l'indirizzo IP del richiedente, l'identità del richiedente, la data e l'ora della richiesta e così via. Se configuri un *trail*, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3. Se non configuri un percorso, puoi visualizzare gli eventi più recenti nella cronologia degli eventi nella CloudTrail console. Per ulteriori informazioni, consultare [Panoramica per la creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) nella *[Guida per l'utente di AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)*.
## Informazioni su Amazon MQ in CloudTrail
Quando crei il tuo AWS account, CloudTrail è abilitato. Quando si verifica un'attività di evento Amazon MQ supportata, viene registrata in un CloudTrail evento con altri eventi di AWS servizio nella cronologia degli eventi. Puoi visualizzare, ricercare e scaricare eventi recenti per l'account AWS . Per ulteriori informazioni, consulta [Visualizzazione degli eventi con cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella *Guida AWS CloudTrail per l'utente*.
Un trail consente di CloudTrail inviare file di log a un bucket Amazon S3. Puoi creare un percorso per tenere un registro continuo degli eventi nel tuo AWS account. Per impostazione predefinita, quando si crea un percorso utilizzando il Console di gestione AWS, il percorso si applica a tutte le AWS regioni. Il percorso registra gli eventi da tutte le AWS regioni e fornisce i file di log al bucket Amazon S3 specificato. Puoi anche configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti nella *Guida per l'utente AWS CloudTrail *:
+ [CloudTrail Servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)
+ [Ricezione di file di CloudTrail registro da più account](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Amazon MQ supporta la registrazione sia dei parametri di richiesta che delle risposte per APIs quanto segue come eventi nei file di CloudTrail registro:
+ [https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-configurations.html#rest-api-configurations-methods-post](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-configurations.html#rest-api-configurations-methods-post)
+ [https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-broker.html#rest-api-broker-methods-delete](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-broker.html#rest-api-broker-methods-delete)
+ [https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-user.html#rest-api-user-methods-delete](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-user.html#rest-api-user-methods-delete)
+ [https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-broker-reboot.html#rest-api-broker-reboot-methods-post](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-broker-reboot.html#rest-api-broker-reboot-methods-post)
+ [https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-broker.html#rest-api-broker-methods-put](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-broker.html#rest-api-broker-methods-put)
**Nota**
RebootBroker i file di registro vengono registrati al riavvio del broker. Durante la finestra di manutenzione, il servizio si riavvia automaticamente e i file di RebootBroker registro non vengono registrati.
**Importante**
Per i seguenti `GET` metodi APIs, i parametri della richiesta vengono registrati, ma le risposte vengono oscurate:
[https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-broker.html#rest-api-broker-methods-get](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-broker.html#rest-api-broker-methods-get)
[https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-configuration.html#rest-api-configuration-methods-get](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-configuration.html#rest-api-configuration-methods-get)
[https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-configuration-revision.html#rest-api-configuration-revision-methods-get](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-configuration-revision.html#rest-api-configuration-revision-methods-get)
[https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-user.html#rest-api-user-methods-get](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-user.html#rest-api-user-methods-get)
[https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-brokers.html#rest-api-brokers-methods-get](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-brokers.html#rest-api-brokers-methods-get)
[https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-configuration-revisions.html#rest-api-configuration-revisions-methods-get](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-configuration-revisions.html#rest-api-configuration-revisions-methods-get)
[https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-configurations.html#rest-api-configurations-methods-get](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-configurations.html#rest-api-configurations-methods-get)
[https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-users.html#rest-api-users-methods-get](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-users.html#rest-api-users-methods-get)
Per quanto segue APIs, i parametri `data` e `password` request sono nascosti da asterischi (): `***`
[https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-brokers.html#rest-api-brokers-methods-post](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-brokers.html#rest-api-brokers-methods-post) (`POST`)
[https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-user.html#rest-api-user-methods-post](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-user.html#rest-api-user-methods-post) (`POST`)
[https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-configuration.html#rest-api-configuration-methods-put](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-configuration.html#rest-api-configuration-methods-put) (`PUT`)
[https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-user.html#rest-api-user-methods-put](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-user.html#rest-api-user-methods-put) (`PUT`)
Ogni evento o voce di log contiene informazioni sul richiedente. Queste informazioni consentono di determinare quanto segue:
+ La richiesta è stata effettuata con le credenziali utente o root?
+ La richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato?
+ La richiesta è stata effettuata da un altro AWS servizio?
Per ulteriori informazioni, consulta [CloudTrailUserIdentity Element nella Guida](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) per l'*AWS CloudTrail utente*.
## Esempio: voci del file di log di Amazon MQ
Un *trail* è una configurazione che consente la distribuzione di eventi come file di log al bucket Amazon S3 specificato. CloudTrail i file di registro contengono una o più voci di registro.
Un *evento* rappresenta una singola richiesta da qualsiasi origine e include informazioni relative alla richiesta a un'API Amazon MQ, l'indirizzo IP del richiedente, l'identità del richiedente, la data e l'ora della richiesta e così via.
L'esempio seguente mostra una voce di CloudTrail registro per una chiamata [https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-brokers.html#rest-api-brokers-methods-post](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/rest-api-brokers.html#rest-api-brokers-methods-post)API.
**Nota**
Poiché i file di CloudTrail registro non sono uno stack trace ordinato di public APIs, non elencano le informazioni in un ordine specifico.
```
{
"eventVersion": "1.06",
"userIdentity": {
"type": "IAMUser",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "AmazonMqConsole"
},
"eventTime": "2018-06-28T22:23:46Z",
"eventSource": "amazonmq.amazonaws.com",
"eventName": "CreateBroker",
"awsRegion": "us-west-2",
"sourceIPAddress": "203.0.113.0",
"userAgent": "PostmanRuntime/7.1.5",
"requestParameters": {
"engineVersion": "5.15.9",
"deploymentMode": "ACTIVE_STANDBY_MULTI_AZ",
"maintenanceWindowStartTime": {
"dayOfWeek": "THURSDAY",
"timeOfDay": "22:45",
"timeZone": "America/Los_Angeles"
},
"engineType": "ActiveMQ",
"hostInstanceType": "mq.m5.large",
"users": [
{
"username": "MyUsername123",
"password": "***",
"consoleAccess": true,
"groups": [
"admins",
"support"
]
},
{
"username": "MyUsername456",
"password": "***",
"groups": [
"admins"
]
}
],
"creatorRequestId": "1",
"publiclyAccessible": true,
"securityGroups": [
"sg-a1b234cd"
],
"brokerName": "MyBroker",
"autoMinorVersionUpgrade": false,
"subnetIds": [
"subnet-12a3b45c",
"subnet-67d8e90f"
]
},
"responseElements": {
"brokerId": "b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9",
"brokerArn": "arn:aws:mq:us-east-2:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9"
},
"requestID": "a1b2c345-6d78-90e1-f2g3-4hi56jk7l890",
"eventID": "a12bcd3e-fg45-67h8-ij90-12k34d5l16mn",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# Configurazione dei log di Amazon MQ per ActiveMQ
Per consentire ad Amazon MQ di pubblicare i log su CloudWatch Logs, devi [aggiungere un'autorizzazione al tuo utente Amazon MQ](#security-logging-monitoring-configure-cloudwatch-permissions) e [configurare anche una policy basata sulle risorse per Amazon MQ prima di creare o riavviare](#security-logging-monitoring-configure-cloudwatch-resource-permissions) il broker.
**Nota**
Quando si attivano i registri e si pubblicano messaggi dalla console Web ActiveMQ, il contenuto del messaggio viene inviato CloudWatch e visualizzato nei registri.
Di seguito vengono descritti i passaggi per configurare CloudWatch i log per i broker ActiveMQ.
**Topics**
+ [Comprensione della struttura di registrazione nei log CloudWatch](#security-logging-monitoring-configure-cloudwatch-structure)
+ [Aggiunta dell'autorizzazione `CreateLogGroup` all'utente Amazon MQ](#security-logging-monitoring-configure-cloudwatch-permissions)
+ [Configurare una policy basata sulle risorse per Amazon MQ](#security-logging-monitoring-configure-cloudwatch-resource-permissions)
+ [Prevenzione del confused deputy tra servizi](#security-logging-monitoring-configure-cloudwatch-confused-deputy)
## Comprensione della struttura di registrazione nei log CloudWatch
È possibile abilitare la registrazione *generale* e di *controllo* quando si configurano le impostazioni avanzate del broker, quando si crea un broker o quando si modifica un broker.
La registrazione generale abilita il livello di `INFO` registrazione predefinito (la `DEBUG` registrazione non è supportata) e viene pubblicata `activemq.log` su un gruppo di log del tuo account. CloudWatch Il formato del gruppo di log è simile al seguente:
```
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/general
```
La [registrazione di controllo consente la](http://activemq.apache.org/audit-logging.html) registrazione delle azioni di gestione eseguite utilizzando JMX o utilizzando la console Web ActiveMQ e le pubblica `audit.log` in un gruppo di log dell'account. CloudWatch Il formato del gruppo di log è simile al seguente:
```
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/audit
```
A seconda che si disponga di un [broker a istanza singola](amazon-mq-broker-architecture.md#single-broker-deployment) o un [broker attivo/in standby](amazon-mq-broker-architecture.md#active-standby-broker-deployment), Amazon MQ crea uno o due flussi di registri all'interno di ogni gruppo di registri. Il formato dei flussi di log è simile al seguente.
```
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-1.log
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-2.log
```
I suffissi `-1` e `-2` denotano singole istanze broker. Per ulteriori informazioni, consulta [Working with Log Groups and Log Streams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) nella *[Amazon CloudWatch Logs User Guide.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*
## Aggiunta dell'autorizzazione `CreateLogGroup` all'utente Amazon MQ
Per consentire ad Amazon MQ di creare un gruppo di log CloudWatch Logs, devi assicurarti che l'utente che crea o riavvia il broker disponga dell'`logs:CreateLogGroup`autorizzazione.
**Importante**
Se non aggiungi l'autorizzazione `CreateLogGroup` all'utente Amazon MQ prima che l'utente crei o riavvi il broker, Amazon MQ non crea il gruppo di registri.
L'esempio seguente della [policy basata su IAM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#identity-based-policies-cwl) concede l'autorizzazioni `logs:CreateLogGroup` per gli utenti ai quali è associata questa policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
}
]
}
```
------
**Nota**
Qui il termine utente si riferisce agli *utenti IAM* e non agli *utenti Amazon MQ*, che vengono creati quando viene configurato un nuovo broker. Per ulteriori informazioni sulla configurazione degli utenti e delle policy IAM, fare riferimento alla [Panoramica della gestione delle identità](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_identity-management.html) della Guida per l'utente di IAM.
Per ulteriori informazioni, `[CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)` consulta *Amazon CloudWatch Logs API Reference.*
## Configurare una policy basata sulle risorse per Amazon MQ
**Importante**
Se non configuri una policy basata sulle risorse per Amazon MQ, il broker non può pubblicare i log su Logs. CloudWatch
Per consentire ad Amazon MQ di pubblicare i log nel tuo gruppo di log CloudWatch Logs, configura una policy basata sulle risorse per consentire ad Amazon MQ di accedere alle seguenti azioni dell'API Logs: CloudWatch
+ `[CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html)`— Crea un flusso di CloudWatch log di Logs per il gruppo di log specificato.
+ `[PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html)`— Fornisce gli eventi al flusso di log di CloudWatch Logs specificato.
La seguente politica basata sulle risorse concede l'autorizzazione a e a. `logs:CreateLogStream` `logs:PutLogEvents` AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "mq.amazonaws.com" },
"Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
}
]
}
```
------
Questa politica basata sulle risorse *deve* essere configurata utilizzando il AWS CLI comando seguente. Nell'esempio, sostituire `us-east-1` con le tue informazioni.
```
aws --region us-east-1 logs put-resource-policy --policy-name AmazonMQ-logs \
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\":[{ \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"mq.amazonaws.com\" },
\"Action\": [\"logs:CreateLogStream\", \"logs:PutLogEvents\"], \"Resource\": \"arn:aws:logs:*:*:log-group:\/aws\/amazonmq\/*\" }]}"
```
**Nota**
Poiché questo esempio utilizza il `/aws/amazonmq/` prefisso, è necessario configurare la politica basata sulle risorse solo una volta per account e per regione. AWS
## Prevenzione del confused deputy tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.
Ti consigliamo di utilizzare le chiavi contestuali `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` e le condizioni `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` globali nella policy basata sulle risorse di Amazon MQ per limitare l'accesso ai CloudWatch log a uno o più broker specifici.
**Nota**
Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` devono utilizzare lo stesso ID account nella stessa istruzione di policy.
L'esempio seguente dimostra una policy basata sulle risorse che limita l'accesso ai CloudWatch log a un singolo broker Amazon MQ.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mq.amazonaws.com"
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:mq:us-west-1:123456789012:broker:my-broker:123456789012"
}
}
}
]
}
```
------
Puoi anche configurare una politica basata sulle risorse per limitare l'accesso ai CloudWatch log a tutti i broker di un account, come illustrato di seguito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"mq.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:mq:*:123456789012:broker:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
------
Per ulteriori informazioni sul problema di sicurezza "confused deputy", consulta [Problema del "confused deputy"](https://docs.aws.amazon.com/hIAM/latest/UserGuide/confused-deputy.html) nella *Guida per l'utente di IAM*.
# Risoluzione dei problemi di configurazione dei CloudWatch log con Amazon MQ
In alcuni casi, i CloudWatch log potrebbero non comportarsi sempre come previsto. Questa sezione fornisce una panoramica dei problemi più comuni e illustra come risolverli.
## I gruppi di log non vengono visualizzati in CloudWatch
[Aggiungere l'autorizzazione `CreateLogGroup` all'utente Amazon MQ](configure-logging-monitoring-activemq.md#security-logging-monitoring-configure-cloudwatch-permissions) e riavviare il broker. Questo consente ad Amazon MQ di creare il gruppo di registri.
## I flussi di log non vengono visualizzati nei gruppi di CloudWatch log
[Configurare una policy basata sulle risorse per Amazon MQ](configure-logging-monitoring-activemq.md#security-logging-monitoring-configure-cloudwatch-resource-permissions). Questo consente al broker di pubblicare i suoi log.