View a markdown version of this page

監控 syslog 擷取 - Amazon CloudWatch Logs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

監控 syslog 擷取

syslog 擷取服務會將指標發佈至 AWS/Logs 命名空間中的 CloudWatch。這些指標可讓您了解 syslog 擷取管道 – 收到的內容、捨棄的內容,以及原因。

若要在 CloudWatch 主控台中檢視這些指標,請導覽至指標 > 所有指標 > AWS/Logs,並依下列指標名稱進行篩選。

Syslog 指標

指標 維度 說明
SyslogMessagesReceived LogGroupName 成功擷取至日誌群組的 syslog 訊息數量。
SyslogMessagesDropped LogGroupName, Reason 無法傳遞的 syslog 訊息數量。如需詳細資訊,請參閱 捨棄原因
SyslogConnectionsRejected Reason 已拒絕的 TCP 連線數目。
SyslogConnectionsEstablished 成功接受的 TCP 連線數目。
SyslogConnectionsClosed 關閉的 TCP 連線數。

捨棄原因

SyslogMessagesDropped 指標包含一個Reason維度,指出訊息遭到捨棄的原因。

Reason 說明
MessageRateLimitExceeded 已超過您帳戶的PutLogEvents配額。考慮請求提高配額。
MessageSizeExceeded UDP 資料包超過訊息大小上限。
ServiceUnavailable 超過內部容量或速率限制。這通常是暫時性的。
ResourceNotFound 目標日誌群組不存在。確認日誌群組尚未刪除。
AccessDenied 日誌群組上的資源政策不會授予 syslog 服務的存取權。驗證資源政策是否正確。
VpcePolicyDenied VPC 端點政策拒絕請求。檢閱您的 VPC 端點政策。
InternalError 發生非預期的內部錯誤。如果仍然存在,請聯絡 AWS Support。

連線拒絕原因

SyslogConnectionsRejected 指標包含Reason維度。

Reason 說明
VpcePolicyDenied VPC 端點政策拒絕連線。
ServiceUnavailable 連線因內部錯誤而中斷。

建議的警示

我們建議在下列條件下建立 CloudWatch 警示,以提早偵測問題:

警示 條件 建議動作
正在捨棄的訊息 SyslogMessagesDropped > 0 持續 5 分鐘 調查Reason維度以判斷原因。
存取遭拒 SyslogMessagesDropped 取代為 Reason=AccessDenied 確認日誌群組上的資源政策已正確設定。
日誌群組遺失 SyslogMessagesDropped 取代為 Reason=ResourceNotFound 確認日誌群組存在且尚未刪除。
未收到任何訊息 SyslogMessagesReceived = 0 持續 15 分鐘 (正常 > 0 時) 驗證裝置是否仍在傳送中,以及 VPC 端點的網路連線是否完好無損。

如需有關建立 CloudWatch 警示的資訊,請參閱CloudWatch 使用者指南》中的建立 CloudWatch 警示CloudWatch