AWS Fargate 模块
编辑AWS Fargate 模块
编辑此功能处于测试阶段,可能随时更改。其设计和代码不如正式 GA 功能成熟,按原样提供,不提供任何保证。测试版功能不受正式 GA 功能支持 SLA 的约束。
此模块可用于从 Fargate 上的 Amazon ECS 收集容器日志。它使用 filebeat awscloudwatch 输入从 AWS CloudWatch 中的一个或多个日志流获取日志文件。通过在任务定义的 logConfiguration 部分添加 awslogs 日志驱动程序,可以将 Fargate 启动类型任务中所有容器的日志发送到 CloudWatch。例如,可以通过将此部分添加到 containerDefinitions 中来将 logConfiguration 添加到任务定义中。
{
"logDriver":"awslogs",
"options":{
"awslogs-group":"awslogs-wordpress",
"awslogs-region":"us-west-2",
"awslogs-stream-prefix":"awslogs-example"
}
}
awsfargate 模块需要 AWS 凭证配置才能进行 AWS API 调用。用户可以使用 access_key_id、secret_access_key 和/或 session_token,或使用 role_arn AWS IAM 角色,或使用共享的 AWS 凭证文件。
有关更多详细信息,请参见 AWS 凭证选项。
模块配置
编辑示例配置
- module: awsfargate
log:
enabled: true
var.credential_profile_name: test-filebeat
var.log_group_arn: arn:aws:logs:us-east-1:1234567890:log-group:/ecs/test-log-group:*
-
var.log_group_arn - 要从中收集日志的日志组的 ARN。
-
var.log_group_name - 要从中收集日志的日志组的名称。注意:提供 log_group_name 时,需要 region_name。
-
var.region_name - 指定日志组所属的区域。
-
var.log_streams - Filebeat 从中收集日志事件的日志流名称的字符串列表。
-
var.log_stream_prefix - 用于筛选结果的字符串,仅包含名称以该前缀开头的日志流的日志事件。
-
var.start_position -
start_position允许用户指定此输入是否应从beginning读取日志文件,还是从end读取日志文件。-
beginning:从日志组的开头读取(默认值)。 -
end:仅读取从当前时间减去scan_frequency开始的新消息。
-
-
var.scan_frequency - 此配置参数设置 Filebeat 检查指定日志组中的新日志事件的频率。默认
scan_frequency为 1 分钟,这意味着 Filebeat 将休眠 1 分钟后再查询新的日志。 -
var.api_timeout - AWS API 的最大持续时间。如果超过超时时间,AWS API 将中断。消息的默认 AWS API 超时时间为 120 秒。最小值为 0 秒。
-
var.api_sleep - 这用于在同一收集期间的 AWS
FilterLogEventsAPI 调用之间休眠。FilterLogEventsAPI 的配额为每秒 5 笔交易 (TPS)/帐户/区域。默认情况下,api_sleep为 200 毫秒。只有当有多个 Filebeat 或多个 Filebeat 输入从同一区域和 AWS 帐户收集日志时,才应调整此值。 -
var.shared_credential_file - AWS 凭证文件的名称。
-
var.credential_profile_name - AWS 凭证配置文件名称。
-
var.access_key_id - 访问密钥的第一部分。
-
var.secret_access_key - 访问密钥的第二部分。
-
var.session_token - 使用临时安全凭证时需要。
-
var.role_arn - 要承担的 AWS IAM 角色。
-
var.endpoint - 用于访问 AWS API 的自定义端点。
AWS 凭证配置
编辑要配置 AWS 凭证,请将凭证放入 Filebeat 配置中,或使用共享凭证文件,如下例所示。
配置参数
编辑- access_key_id:访问密钥的第一部分。
- secret_access_key:访问密钥的第二部分。
- session_token:使用临时安全凭证时需要。
- credential_profile_name:共享凭证文件中的配置文件名称。
- shared_credential_file:共享凭证文件的目录。
- role_arn:要承担的 AWS IAM 角色。
- external_id:在另一个帐户中承担角色时使用的外部 ID,请参阅 AWS 文档中有关外部 ID 用法的说明。
-
proxy_url:用于连接到 AWS 网络服务的代理的 URL。语法为
http(s)://<IP/主机名>:<端口> -
fips_enabled:启用此选项可指示 Filebeat 使用服务的 FIPS 端点。Filebeat 使用的所有服务都与 FIPS 兼容,但
tagging除外,但只有某些区域与 FIPS 兼容。请参阅 https://aws.amazon.com/compliance/fips/ 或相应的服务页面 https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html,以获取 FIPS 端点和区域的完整列表。 - ssl:这指定 SSL/TLS 配置。如果缺少 ssl 部分,则主机 CA 用于 HTTPS 连接。有关更多信息,请参见 SSL。
- default_region:如果未设置其他区域,则查询的默认区域。大多数 AWS 服务提供可用于发出请求的区域端点。某些服务(例如 IAM)不支持区域。如果未通过任何其他方式(环境变量、凭证或实例配置文件)提供区域,则将使用此处设置的值。
- assume_role.duration:请求的承担角色会话的持续时间。未设置时默认为 15 分钟。AWS 允许的最大会话持续时间在 1 小时到 12 小时之间,具体取决于您的最大会话持续时间策略。
- assume_role.expiry_window:expiry_window 允许在会话过期之前刷新会话。这有助于防止过期的令牌导致请求因 ExpiredTokenException 而失败。
支持的格式
编辑本节中的示例指的是 Metricbeat,但无论使用哪个 Beat,用于通过 AWS 进行身份验证的凭证选项都是相同的。
- 使用
access_key_id、secret_access_key和/或session_token
用户可以将凭证放入 Metricbeat 模块配置中,也可以使用环境变量 AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY 和/或 AWS_SESSION_TOKEN。
如果在 Docker 上运行,则应将这些环境变量作为 docker 命令的一部分添加。例如,使用 Metricbeat
$ docker run -e AWS_ACCESS_KEY_ID=abcd -e AWS_SECRET_ACCESS_KEY=abcd -d --name=metricbeat --user=root --volume="$(pwd)/metricbeat.aws.yml:/usr/share/metricbeat/metricbeat.yml:ro" docker.elastic.co/beats/metricbeat:7.11.1 metricbeat -e -E cloud.auth=elastic:1234 -E cloud.id=test-aws:1234
示例 metricbeat.aws.yml 看起来像这样
metricbeat.modules:
- module: aws
period: 5m
access_key_id: ${AWS_ACCESS_KEY_ID}
secret_access_key: ${AWS_SECRET_ACCESS_KEY}
session_token: ${AWS_SESSION_TOKEN}
metricsets:
- ec2
也可以通过文件添加环境变量。例如
$ cat env.list AWS_ACCESS_KEY_ID=abcd AWS_SECRET_ACCESS_KEY=abcd $ docker run --env-file env.list -d --name=metricbeat --user=root --volume="$(pwd)/metricbeat.aws.yml:/usr/share/metricbeat/metricbeat.yml:ro" docker.elastic.co/beats/metricbeat:7.11.1 metricbeat -e -E cloud.auth=elastic:1234 -E cloud.id=test-aws:1234
- 使用
credential_profile_name和/或shared_credential_file
如果 access_key_id、secret_access_key 和 role_arn 均未提供,则 filebeat 将检查 credential_profile_name。如果您对不同的工具或应用程序使用不同的凭证,则可以使用配置文件在同一个配置文件中配置多个访问密钥。如果没有提供 credential_profile_name,则将使用默认配置文件。
shared_credential_file 可选,用于指定共享凭证文件的目录。如果为空,则将使用默认目录。在 Windows 中,共享凭证文件位于 C:\Users\<您的用户名>\.aws\credentials。对于 Linux、macOS 或 Unix,该文件位于 ~/.aws/credentials。以服务身份运行时,home 路径取决于管理服务的用户,因此可以使用 shared_credential_file 参数来避免歧义。有关更多详细信息,请参见 创建共享凭证文件。
- 使用
role_arn
role_arn 用于指定要用于生成临时凭证的 AWS IAM 角色。如果提供了 role_arn,filebeat 将检查是否提供了访问密钥。如果没有,filebeat 将检查凭证配置文件名称。如果两者都没有提供,则将使用默认凭证配置文件。请确保在凭证配置文件或访问密钥下提供了凭证。
如果在 Docker 上运行,则需要通过卷挂载提供凭证文件。例如,使用 Metricbeat
docker run -d --name=metricbeat --user=root --volume="$(pwd)/metricbeat.aws.yml:/usr/share/metricbeat/metricbeat.yml:ro" --volume="/Users/foo/.aws/credentials:/usr/share/metricbeat/credentials:ro" docker.elastic.co/beats/metricbeat:7.11.1 metricbeat -e -E cloud.auth=elastic:1234 -E cloud.id=test-aws:1234
示例 metricbeat.aws.yml 看起来像这样
metricbeat.modules:
- module: aws
period: 5m
credential_profile_name: elastic-beats
shared_credential_file: /usr/share/metricbeat/credentials
metricsets:
- ec2
-
在 Filebeat 配置中使用 AWS 凭证
filebeat.inputs: - type: aws-s3 queue_url: https://sqs.us-east-1.amazonaws.com/123/test-queue access_key_id: '<access_key_id>' secret_access_key: '<secret_access_key>' session_token: '<session_token>'
或
filebeat.inputs: - type: aws-s3 queue_url: https://sqs.us-east-1.amazonaws.com/123/test-queue access_key_id: '${AWS_ACCESS_KEY_ID:""}' secret_access_key: '${AWS_SECRET_ACCESS_KEY:""}' session_token: '${AWS_SESSION_TOKEN:""}' -
使用 IAM 角色 ARN
filebeat.inputs: - type: aws-s3 queue_url: https://sqs.us-east-1.amazonaws.com/123/test-queue role_arn: arn:aws:iam::123456789012:role/test-mb
-
使用共享的 AWS 凭证文件
filebeat.inputs: - type: aws-s3 queue_url: https://sqs.us-east-1.amazonaws.com/123/test-queue credential_profile_name: test-fb
AWS 凭证类型
编辑可以使用两种不同类型的 AWS 凭证:访问密钥和临时安全凭证。
- 访问密钥
AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 是访问密钥的两个部分。它们是 IAM 用户或 AWS 帐户根用户的长期凭证。有关更多详细信息,请参见 AWS 访问密钥和秘密访问密钥。
- IAM 角色 ARN
IAM 角色是在您的帐户中可以创建的 IAM 身份,它具有确定该身份在 AWS 中可以执行和不能执行的操作的特定权限。角色没有与之关联的标准长期凭证,例如密码或访问密钥。相反,当您承担角色时,它会为您提供的角色会话提供临时安全凭证。可以使用 IAM 角色 Amazon 资源名称 (ARN) 指定要承担以生成临时凭证的 AWS IAM 角色。有关更多详细信息,请参见 AssumeRole API 文档。
以下是使用 AWS CLI 为 Metricbeat 设置 IAM 角色的步骤。请将 123456789012 替换为您自己的帐户 ID。
步骤 1. 创建 example-policy.json 文件以包含所有权限
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"sqs:ReceiveMessage"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "sqs:ChangeMessageVisibility",
"Resource": "arn:aws:sqs:us-east-1:123456789012:test-fb-ks"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "sqs:DeleteMessage",
"Resource": "arn:aws:sqs:us-east-1:123456789012:test-fb-ks"
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sqs:ListQueues",
"tag:GetResources",
"ec2:DescribeInstances",
"cloudwatch:GetMetricData",
"ec2:DescribeRegions",
"iam:ListAccountAliases",
"sts:GetCallerIdentity",
"cloudwatch:ListMetrics"
],
"Resource": "*"
}
]
}
步骤 2. 使用 aws iam create-policy 命令创建 IAM 策略
$ aws iam create-policy --policy-name example-policy --policy-document file://example-policy.json
步骤 3. 创建定义 IAM 角色信任关系的 JSON 文件 example-role-trust-policy.json
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::123456789012:root" },
"Action": "sts:AssumeRole"
}
}
步骤 4. 创建 IAM 角色并附加策略
$ aws iam create-role --role-name example-role --assume-role-policy-document file://example-role-trust-policy.json $ aws iam attach-role-policy --role-name example-role --policy-arn "arn:aws:iam::123456789012:policy/example-policy"
完成这些步骤后,可以在 Metricbeat aws 模块中使用 IAM 角色 ARN 进行身份验证。
- 临时安全凭证
临时安全凭证具有有限的生命周期,包括访问密钥 ID、秘密访问密钥和安全令牌,这些通常由 GetSessionToken 返回。启用 MFA 的 IAM 用户在调用 GetSessionToken 时需要提交 MFA 代码。有关更多详细信息,请参阅 临时安全凭证。sts get-session-token AWS CLI 可用于生成临时凭证。例如,启用 MFA 的
aws> sts get-session-token --serial-number arn:aws:iam::1234:mfa/[email protected] --token-code 456789 --duration-seconds 129600
由于临时安全凭证是短期有效的,因此在它们过期后,用户需要生成新的凭证并使用新的凭证修改 aws.yml 配置文件。除非为 Metricbeat 启用了 实时重新加载 功能,否则用户需要在更新配置文件后手动重启 Metricbeat 才能继续收集 Cloudwatch 指标。如果在旧凭证过期前未用新凭证更新配置文件,这将导致数据丢失。对于 Metricbeat,我们建议用户在配置文件中使用访问密钥来启用 aws 模块,从而无需生成新的临时凭证并频繁更新配置。
IAM 策略是定义 AWS 环境中对象权限的实体。需要将特定权限添加到 IAM 用户的策略中,以授权 Metricbeat 收集 AWS 监控指标。请参阅每个指标集下的文档以了解所需的权限。
字段
编辑有关模块中每个字段的描述,请参阅 导出字段 部分。