Stelligent-u项目CloudWatch日志管理实战指南

前言

在云原生应用和微服务架构日益普及的今天，日志管理已成为系统运维和监控的重要组成部分。本文将基于Stelligent-u项目中的CloudWatch实践内容，深入讲解AWS CloudWatch日志服务的核心概念和最佳实践。

第一部分：CloudWatch日志基础

CloudWatch日志服务概述

CloudWatch Logs是AWS提供的全托管日志管理服务，能够安全可靠地存储来自应用程序服务和AWS资源（如EC2、Lambda、CodePipeline等）的文本日志。

核心概念解析

1. 日志组(Log Group)：逻辑上的日志集合单元，可以按照应用、服务或任何自定义逻辑进行组织
2. 日志流(Log Stream)：日志组中的具体日志来源，通常对应单个应用实例或日志文件

实验8.1.1：创建日志组和日志流

操作步骤：

1. 使用AWS CLI创建日志组：

aws logs create-log-group --log-group-name "first.last.c9logs"

2. 在日志组中创建日志流：

aws logs create-log-stream --log-group-name "first.last.c9logs" --log-stream-name "c9.training"

3. 验证创建结果：

aws logs describe-log-groups
aws logs describe-log-streams --log-group-name "first.last.c9logs"

技术要点：

• 日志组名称应当具有描述性且遵循命名规范
• 单个日志组可以包含多个日志流，实现逻辑分组

第二部分：CloudWatch代理配置

CloudWatch Agent详解

CloudWatch代理是标准化的日志收集工具，支持从EC2实例和本地服务器收集系统和应用日志并发送到CloudWatch Logs。

实验8.1.2：配置CloudWatch代理

详细实施步骤：

1. 准备CloudFormation模板，包含EC2实例和CloudWatch代理配置
2. 通过SSH连接到EC2实例，运行配置向导：

sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-config-wizard

3. 生成配置文件后，将其整合到CloudFormation模板中
4. 特别注意：
   • 避免使用collectd选项，可能导致代理启动失败
   • 确保正确引用之前创建的VPC和子网ID

配置示例：

{
  "logs": {
    "logs_collected": {
      "files": {
        "collect_list": [
          {
            "file_path": "/var/log/application.log",
            "log_group_name": "first.last.c9logs",
            "log_stream_name": "c9.training"
          }
        ]
      }
    }
  }
}

第三部分：日志查询与分析工具

awslogs工具使用指南

awslogs是一个功能强大的第三方工具，可以方便地查询和监控CloudWatch日志。

实验8.1.3：awslogs实践

1. 安装awslogs：

pip install awslogs

2. 实时监控日志：

awslogs get first.last.c9logs ALL --watch

3. 查询特定时间范围的日志：

# 最近5分钟
awslogs get first.last.c9logs --start='5m ago'

# 最近20分钟  
awslogs get first.last.c9logs --start='20m ago'

# 最近1小时
awslogs get first.last.c9logs --start='1h ago'

第四部分：日志生命周期管理

日志保留策略最佳实践

合理的日志保留策略对于合规性和成本控制至关重要。

实验8.1.4：设置保留策略

1. 设置60天保留期：

aws logs put-retention-policy --log-group-name "first.last.c9logs" --retention-in-days 60

2. 查询当前策略：

aws logs describe-log-groups --log-group-name-prefix "first.last.c9logs"

3. 设置最大保留期（注意：实际最大值为10年）：

aws logs put-retention-policy --log-group-name "first.last.c9logs" --retention-in-days 3653

保留策略考虑因素：

• 合规性要求
• 存储成本
• 查询性能
• 审计需求

第五部分：CloudWatch与CloudTrail集成

基础设施变更监控

通过CloudWatch Logs监控CloudTrail事件，可以实现对AWS API变更的实时监控。

实验8.2.1：创建监控堆栈

CloudFormation模板关键组件：

1. CloudWatch日志组
2. S3存储桶（用于CloudTrail日志存储）
3. CloudTrail轨迹配置

架构优势：

• 集中化的API活动日志
• 可配置的告警机制
• 长期存储与短期分析结合

实验8.2.2：监控资源变更

1. 创建测试资源（如S3存储桶）
2. 通过awslogs查看相关API活动：

awslogs get /aws/cloudtrail/your-log-group ALL --filter-pattern '{$.eventName = "CreateBucket"}'

3. 观察资源删除操作记录

第六部分：自动化响应机制

基于事件的自动化防护

进阶实验：EC2变更监控

1. 扩展CloudFormation模板，添加：

   • CloudWatch事件规则
   • SNS主题
   • 电子邮件订阅

2. 配置EC2特定事件的监控规则：

EC2EventRule:
  Type: AWS::Events::Rule
  Properties:
    EventPattern:
      source:
        - "aws.ec2"
      detail-type:
        - "AWS API Call via CloudTrail"
      detail:
        eventName:
          - "RunInstances"
          - "TerminateInstances"
          - "StopInstances"
          - "StartInstances"

总结与最佳实践

1. 日志保留策略：根据业务需求设置合理的保留期限，平衡存储成本与合规要求
2. 监控覆盖：关键API操作应当纳入监控范围，特别是生产环境
3. 自动化响应：对于高风险操作，建议配置自动化响应机制
4. 工具选择：awslogs等第三方工具可以显著提高日志分析效率

通过本指南的实践，您应该已经掌握了CloudWatch日志服务的核心功能和使用方法，能够为您的AWS环境构建完善的日志监控体系。