本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 設定調查群組 若要在帳戶中設定 CloudWatch 調查以搭配增強型調查使用,可以建立*調查群組*。建立調查群組屬於一次性設定任務,建立之後可用於執行其他調查。調查群組中的設定可協助您集中管理調查的常見屬性,例如下列項目: + 誰可以存取調查 + 跨帳戶調查支援,以便在調查期間存取其他帳戶中的資源 + 調查資料是否使用客戶受管 AWS Key Management Service 金鑰加密。 + 調查及其資料預設保留多久。 每個帳戶可以有一個調查群組。您帳戶中的每個調查都將成為此調查群組的一部分。 若要建立調查群組,必須登入已連結 **AIOpsConsoleAdminPolicy** 或 **AdministratorAccess** IAM 政策的 IAM 主體,或具有類似許可的帳戶。 **注意** 若要選擇建議的選項來針對 CloudWatch 調查建立新的 IAM 角色,必須登入具有 `iam:CreateRole`、`iam:AttachRolePolicy` 和 `iam:PutRolePolicy` 許可的 IAM 主體。 **重要** CloudWatch 調查使用*跨區域推論*將流量分散到不同 AWS 區域。如需詳細資訊,請參閱[跨區域推論](Investigations-Security.md#cross-region-inference)。 **在帳戶中建立調查群組** 1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。 1. 在左側導覽窗格中,選擇 **AI 操作**、**組態**。 1. 選擇**針對此帳戶設定**。 1. 選擇性地變更調查的保留期間。如需保留期限所規範事項的詳細資訊,請參閱 [CloudWatch 調查資料保留](Investigations-Retention.md)。 1. (選用) 若要使用客戶受管 AWS KMS 金鑰對調查資料加密,請選擇**自訂加密設定**,然後依循相關步驟建立或指定要使用的金鑰。如果您未指定客戶受管金鑰,CloudWatch 調查會使用 AWS 擁有的金鑰進行加密。如需詳細資訊,請參閱[調查資料加密](Investigations-Security.md#Investigations-KMS)。 1. 選擇如何授與 CloudWatch 調查存取資源的許可。若要選擇前兩個選項之一,必須登入具有 `iam:CreateRole`、`iam:AttachRolePolicy` 和 `iam:PutRolePolicy` 許可的 IAM 主體。 1. (建議) 選取**自動建立具有預設調查許可的新角色**。此角色將使用 AI 操作的 AWS 受管政策授予許可。如需詳細資訊,請參閱 [CloudWatch 調查群組的使用者許可](Investigations-Security.md#Investigations-Security-IAM)。 1. 自行建立新角色,然後指派政策範本。 1. 若您已擁有具備所需許可的角色,選擇**指派現有角色**。 如果選擇此選項,必須確保角色包含名為 `aiops.amazonaws.com` 的信任政策作為服務主體。如需有關在信任政策中使用服務主體的詳細資訊,請參閱 [AWS 服務主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)。 我們同時建議您加入包含帳戶號碼的 `Condition` 區段,以避免因資料混淆而產生誤判。以下信任政策範例同時說明了服務主體和 `Condition` 區段。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aiops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*" } } } ] } ``` ------ 1. 您現在可以選擇**建立調查群組**,根據警示、指標或日誌洞見建立調查。 也可以設定建議的額外組態來增強體驗。 1. 在左側導覽窗格中,選擇 **AI 操作、組態**。 1. 在**選用組態**索引標籤上,選擇要新增至 CloudWatch 調查的增強功能。 1. 在**設定跨帳戶存取權**中,您可以將此帳戶設定為監控帳戶,以從組織中的其他來源帳戶收集資料。如需詳細資訊,請參閱[跨帳戶調查](Investigations-cross-account.md)。 1. 對於**增強型整合**,選擇允許 CloudWatch 調查存取系統中的其他服務,讓其收集更多資料並發揮更大作用。 1. 在**應用程式邊界偵測標籤**區段中,輸入系統中自訂應用程式的現有自訂標籤索引鍵。資源標籤可協助 CloudWatch 調查在無法探索資源之間的明確關係時,縮小搜尋空間。例如,若要探索 Amazon ECS 服務是否依賴於 Amazon RDS 資料庫,CloudWatch 調查功能可以使用 X-Ray 和 CloudWatch Application Signals 等資料來源偵測這一關係。不過,如果您尚未部署這些功能,CloudWatch 調查功能會嘗試識別可能的關係。標籤邊界可用於在這些情況下縮小 CloudWatch 調查功能將偵測到的資源範圍。 您不需要輸入 myApplications 或 建立的標籤 CloudFormation,因為 CloudWatch 調查可以自動偵測這些標籤。 1. CloudTrail 會記錄系統變更事件,包括部署事件。這些事件通常對 CloudWatch 調查很有用,能協助建立關於系統問題根本原因的假設。在適用於**變更事件偵測的 CloudTrail ** 區段中,您可以透過啟用允許助理透過 CloudTrail 事件歷史記錄存取 CloudTrail 變更事件, AWS CloudTrail 讓 CloudWatch 調查能夠存取 記錄的事件。 ** CloudTrail ** 如需詳細資訊,請參閱[使用 CloudTrail 事件歷史記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。 1. **拓撲映射的 X-Ray** 和**運作狀態評估的 Application Signals** 區段指出可協助 CloudWatch 調查尋找資訊的 AWS 其他服務。如果您已完成部署,且已授與 **AIOpsAssistantPolicy** IAM 政策,CloudWatch 調查功能將能夠存取 X-Ray 和 Application Signals 遙測。 如需這些服務如何協助 CloudWatch 調查功能的詳細資訊,請參閱 [X-Ray](Investigations-RecommendedServices.md#Investigations-Xray) 和 [CloudWatch Application Signals](Investigations-RecommendedServices.md#Investigations-ApplicationSignals)。 1. 若您使用 Amazon EKS,設定存取項目後,您的 CloudWatch 調查功能調查群組即可直接利用來自 Amazon EKS 叢集的資訊。如需詳細資訊,請參閱[與 Amazon EKS 整合](EKS-Integration.md)。 1. 若您使用 Amazon RDS,請在資料庫執行個體上啟用 Database Insights 進階模式。Database Insights 會監控資料庫負載並提供詳細的效能分析,以協助 CloudWatch 調查功能在調查期間識別資料庫相關問題。啟用進階型 Database Insights 後,CloudWatch 調查功能可以自動產生效能分析報告,其中包括詳細的觀測結果、指標異常、根本原因分析,以及特定於資料庫工作負載的建議。如需有關 Database Insights 以及如何啟用進階模式的詳細資訊,請參閱[使用 CloudWatch Database Insights 監控 Amazon RDS 資料庫](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_DatabaseInsights.html)。 1. 您可以將 CloudWatch 調查功能與*聊天管道*整合。從而透過聊天管道接收有關調查的通知。CloudWatch 調查功能支援下列應用程式中的聊天管道: + Slack + Microsoft Teams 如果您想要與聊天管道整合,建議您在調查群組中啟用此增強功能前,先完成下列額外步驟。如需詳細資訊,請參閱[與第三方聊天系統的整合](Investigations-Integrations.md#Investigations-Integrations-Chat)。 然後執行下列步驟,以與聊天應用程式中的聊天管道整合: + 在**聊天用戶端整合**區段中,選擇**選取 SNS 主題**。 + 選取要用於傳送調查相關通知的 SNS 主題。