› ›

AWS Fargate 模块

AWS Fargate 模块编辑

此功能处于测试阶段，可能会发生变化。其设计和代码不如正式的 GA 功能成熟，并按原样提供，不作任何保证。测试版功能不受正式 GA 功能的支持 SLA 的约束。

此模块可用于从 Fargate 上的 Amazon ECS 收集容器日志。它使用 filebeat awscloudwatch 输入从 AWS CloudWatch 中的一个或多个日志流中获取日志文件。通过在任务定义的 logConfiguration 部分下添加 awslogs 日志驱动程序，可以将 Fargate 启动类型任务中所有容器的日志发送到 CloudWatch。例如，可以通过在 containerDefinitions 中添加以下部分，将 logConfiguration 添加到任务定义中

{
   "logDriver":"awslogs",
   "options":{
      "awslogs-group":"awslogs-wordpress",
      "awslogs-region":"us-west-2",
      "awslogs-stream-prefix":"awslogs-example"
   }
}

awsfargate 模块需要 AWS 凭证配置才能进行 AWS API 调用。用户可以使用 access_key_id、secret_access_key 和/或 session_token，或使用 role_arn AWS IAM 角色，或使用共享的 AWS 凭证文件。

有关更多详细信息，请参阅AWS 凭证选项。

模块配置编辑

配置示例

- module: awsfargate
  log:
    enabled: true
    var.credential_profile_name: test-filebeat
    var.log_group_arn: arn:aws:logs:us-east-1:1234567890:log-group:/ecs/test-log-group:*

var.log_group_arn

要从中收集日志的日志组的 ARN。

var.log_group_name

要从中收集日志的日志组的名称。注意：当给出 log_group_name 时，需要 region_name。

var.region_name

指定日志组所属的区域。

var.log_streams

Filebeat 从中收集日志事件的日志流名称字符串列表。

var.log_stream_prefix

一个字符串，用于过滤结果以仅包含名称以此前缀开头的日志流中的日志事件。

var.start_position

start_position 允许用户指定此输入应从 beginning 读取日志文件还是从 end 读取日志文件。

beginning：从日志组的开头读取（默认）。
end：仅读取从当前时间减去 scan_frequency 向前的消息

var.scan_frequency

此配置参数设置 Filebeat 检查指定日志组中是否有新日志事件的频率。默认的 scan_frequency 为 1 分钟，这意味着 Filebeat 将休眠 1 分钟，然后再次查询新日志。

var.api_timeout

AWS API 可以花费的最长时间。如果超过超时时间，AWS API 将被中断。消息的默认 AWS API 超时时间为 120 秒。最小值为 0 秒。

var.api_sleep

这用于在同一个收集周期内 AWS FilterLogEvents API 调用之间休眠。FilterLogEvents API 的配额为每秒 5 笔交易 (TPS)/账户/区域。默认情况下，api_sleep 为 200 毫秒。只有在有多个 Filebeat 或多个 Filebeat 输入从同一个区域和 AWS 账户收集日志时，才应调整此值。

var.shared_credential_file

AWS 凭证文件的名称。

var.credential_profile_name

AWS 凭证配置文件名称。

var.access_key_id

访问密钥的第一部分。

var.secret_access_key

访问密钥的第二部分。

var.session_token

使用临时安全凭证时需要。

var.role_arn

要承担的 AWS IAM 角色。

var.endpoint

用于访问 AWS API 的自定义端点。

AWS 凭证配置编辑

要配置 AWS 凭证，请将凭证放入 Filebeat 配置中，或使用共享凭证文件，如下面的示例所示。

配置参数编辑

access_key_id：访问密钥的第一部分。
secret_access_key：访问密钥的第二部分。
session_token：使用临时安全凭证时需要。
credential_profile_name：共享凭证文件中的配置文件名称。
shared_credential_file：共享凭证文件的目录。
role_arn：要承担的 AWS IAM 角色。
external_id：在另一个账户中承担角色时要使用的外部 ID，有关使用外部 ID 的更多信息，请参阅AWS 文档。
proxy_url：用于连接到 AWS Web 服务的代理 URL。语法为 http(s)://<IP/主机名>:<端口>
fips_enabled：启用此选项将指示 Filebeat 使用服务的 FIPS 端点。Filebeat 使用的所有服务都与 FIPS 兼容，但 tagging 除外，但只有某些区域与 FIPS 兼容。有关 FIPS 端点和区域的完整列表，请参阅https://aws.amazon.com/compliance/fips/或相应的服务页面https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html。
ssl：这指定 SSL/TLS 配置。如果缺少 ssl 部分，则主机的 CA 将用于 HTTPS 连接。有关更多信息，请参阅SSL。
default_region：如果未设置其他区域，则查询的默认区域。大多数 AWS 服务都提供可用于发出请求的区域端点。某些服务（例如 IAM）不支持区域。如果未以任何其他方式（环境变量、凭证或实例配置文件）提供区域，则将使用此处设置的值。
assume_role.duration：请求的承担角色会话的持续时间。未设置时默认为 15 分钟。根据您的最大会话持续时间策略，AWS 允许的最大会话持续时间介于 1 小时和 12 小时之间。
assume_role.expiry_window：expiry_window 将允许在会话到期之前刷新会话。这有利于防止到期令牌导致请求因 ExpiredTokenException 而失败。

支持的格式编辑

本节中的示例指的是 Metricbeat，但使用 AWS 进行身份验证的凭证选项是相同的，无论使用的是哪个 Beat。

使用 access_key_id、secret_access_key 和/或 session_token

用户可以将凭证放入 Metricbeat 模块配置中，也可以使用环境变量 AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY 和/或 AWS_SESSION_TOKEN。

如果在 Docker 上运行，则应将这些环境变量添加为 docker 命令的一部分。例如，使用 Metricbeat

$ docker run -e AWS_ACCESS_KEY_ID=abcd -e AWS_SECRET_ACCESS_KEY=abcd -d --name=metricbeat --user=root --volume="$(pwd)/metricbeat.aws.yml:/usr/share/metricbeat/metricbeat.yml:ro" docker.elastic.co/beats/metricbeat:7.11.1 metricbeat -e -E cloud.auth=elastic:1234 -E cloud.id=test-aws:1234

示例 metricbeat.aws.yml 如下所示

metricbeat.modules:
- module: aws
  period: 5m
  access_key_id: ${AWS_ACCESS_KEY_ID}
  secret_access_key: ${AWS_SECRET_ACCESS_KEY}
  session_token: ${AWS_SESSION_TOKEN}
  metricsets:
    - ec2

也可以通过文件添加环境变量。例如

$ cat env.list
AWS_ACCESS_KEY_ID=abcd
AWS_SECRET_ACCESS_KEY=abcd

$ docker run --env-file env.list -d --name=metricbeat --user=root --volume="$(pwd)/metricbeat.aws.yml:/usr/share/metricbeat/metricbeat.yml:ro" docker.elastic.co/beats/metricbeat:7.11.1 metricbeat -e -E cloud.auth=elastic:1234 -E cloud.id=test-aws:1234

使用 credential_profile_name 和/或 shared_credential_file

如果未给出 access_key_id、secret_access_key 和 role_arn，则 filebeat 将检查 credential_profile_name。如果您对不同的工具或应用程序使用不同的凭证，则可以使用配置文件在同一个配置文件中配置多个访问密钥。如果没有给出 credential_profile_name，则将使用默认配置文件。

shared_credential_file 是可选的，用于指定共享凭证文件的目录。如果为空，则将使用默认目录。在 Windows 中，共享凭证文件位于 C:\Users\<您的用户名>\.aws\credentials。对于 Linux、macOS 或 Unix，该文件位于 ~/.aws/credentials。作为服务运行时，主路径取决于管理服务的用户的用户，因此可以使用 shared_credential_file 参数来避免歧义。有关更多详细信息，请参阅创建共享凭证文件。

使用 role_arn

role_arn 用于指定要承担哪个 AWS IAM 角色来生成临时凭证。如果给出了 role_arn，filebeat 将检查是否给出了访问密钥。如果没有，filebeat 将检查凭证配置文件名称。如果两者都没有给出，则将使用默认凭证配置文件。请确保在凭证配置文件或访问密钥下给出了凭证。

如果在 Docker 上运行，则需要通过卷挂载提供凭证文件。例如，使用 Metricbeat

docker run -d --name=metricbeat --user=root --volume="$(pwd)/metricbeat.aws.yml:/usr/share/metricbeat/metricbeat.yml:ro" --volume="/Users/foo/.aws/credentials:/usr/share/metricbeat/credentials:ro" docker.elastic.co/beats/metricbeat:7.11.1 metricbeat -e -E cloud.auth=elastic:1234 -E cloud.id=test-aws:1234

示例 metricbeat.aws.yml 如下所示

metricbeat.modules:
- module: aws
  period: 5m
  credential_profile_name: elastic-beats
  shared_credential_file: /usr/share/metricbeat/credentials
  metricsets:
    - ec2

在 Filebeat 配置中使用 AWS 凭证

filebeat.inputs:
- type: aws-s3
  queue_url: https://sqs.us-east-1.amazonaws.com/123/test-queue
  access_key_id: '<access_key_id>'
  secret_access_key: '<secret_access_key>'
  session_token: '<session_token>'

或

filebeat.inputs:
- type: aws-s3
  queue_url: https://sqs.us-east-1.amazonaws.com/123/test-queue
  access_key_id: '${AWS_ACCESS_KEY_ID:""}'
  secret_access_key: '${AWS_SECRET_ACCESS_KEY:""}'
  session_token: '${AWS_SESSION_TOKEN:""}'

使用 IAM 角色 ARN

filebeat.inputs:
- type: aws-s3
  queue_url: https://sqs.us-east-1.amazonaws.com/123/test-queue
  role_arn: arn:aws:iam::123456789012:role/test-mb

使用共享的 AWS 凭证文件

filebeat.inputs:
- type: aws-s3
  queue_url: https://sqs.us-east-1.amazonaws.com/123/test-queue
  credential_profile_name: test-fb

AWS 凭证类型编辑

可以使用两种不同类型的 AWS 凭证：访问密钥和临时安全凭证。

访问密钥

AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 是访问密钥的两部分。它们是 IAM 用户或 AWS 账户根用户的长期凭证。有关更多详细信息，请参阅AWS 访问密钥和秘密访问密钥。

IAM 角色 ARN

IAM 角色是您可以在账户中创建的 IAM 身份，它具有特定的权限，这些权限决定了该身份在 AWS 中可以做什么和不能做什么。角色没有关联的标准长期凭证，例如密码或访问密钥。相反，当您承担角色时，它会为您提供角色会话的临时安全凭证。IAM 角色 Amazon 资源名称 (ARN) 可用于指定要承担哪个 AWS IAM 角色来生成临时凭证。有关更多详细信息，请参阅AssumeRole API 文档。

以下是使用 AWS CLI 为 Metricbeat 设置 IAM 角色的步骤。请将 123456789012 替换为您自己的账户 ID。

步骤 1. 创建 example-policy.json 文件以包含所有权限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "sqs:ReceiveMessage"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "sqs:ChangeMessageVisibility",
            "Resource": "arn:aws:sqs:us-east-1:123456789012:test-fb-ks"
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": "sqs:DeleteMessage",
            "Resource": "arn:aws:sqs:us-east-1:123456789012:test-fb-ks"
        },
        {
            "Sid": "VisualEditor3",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole",
                "sqs:ListQueues",
                "tag:GetResources",
                "ec2:DescribeInstances",
                "cloudwatch:GetMetricData",
                "ec2:DescribeRegions",
                "iam:ListAccountAliases",
                "sts:GetCallerIdentity",
                "cloudwatch:ListMetrics"
            ],
            "Resource": "*"
        }
    ]
}

步骤 2. 使用 aws iam create-policy 命令创建 IAM 策略

$ aws iam create-policy --policy-name example-policy --policy-document file://example-policy.json

步骤 3. 创建 JSON 文件 example-role-trust-policy.json，该文件定义 IAM 角色的信任关系

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": { "AWS": "arn:aws:iam::123456789012:root" },
        "Action": "sts:AssumeRole"
    }
}

步骤 4. 创建 IAM 角色并附加策略

$ aws iam create-role --role-name example-role --assume-role-policy-document file://example-role-trust-policy.json
$ aws iam attach-role-policy --role-name example-role --policy-arn "arn:aws:iam::123456789012:policy/example-policy"

完成这些步骤后，IAM 角色 ARN 可用于 Metricbeat aws 模块中的身份验证。

临时安全凭证

临时安全凭证的有效期有限，由访问密钥 ID、秘密访问密钥和安全令牌组成，通常从 GetSessionToken 返回。启用 MFA 的 IAM 用户需要在调用 GetSessionToken 时提交 MFA 代码。有关更多详细信息，请参阅临时安全凭证。可以使用 sts get-session-token AWS CLI 生成临时凭证。例如，对于启用了 MFA 的

aws> sts get-session-token --serial-number arn:aws:iam::1234:mfa/[email protected] --token-code 456789 --duration-seconds 129600

由于临时安全凭证是短期的，过期后，用户需要生成新的凭证，并使用新凭证修改 aws.yml 配置文件。除非为 Metricbeat 启用了实时重新加载功能，否则用户需要在更新配置文件后手动重启 Metricbeat 才能继续收集 Cloudwatch 指标。如果在旧凭证过期之前没有使用新凭证更新配置文件，这将导致数据丢失。对于 Metricbeat，我们建议用户在配置文件中使用访问密钥来启用 aws 模块进行 AWS api 调用，而无需频繁生成新的临时凭证并更新配置。

IAM 策略是一个实体，用于定义 AWS 环境中对象的权限。需要将特定权限添加到 IAM 用户的策略中，以授权 Metricbeat 收集 AWS 监控指标。请参阅每个指标集下的文档以了解所需的权限。

字段编辑

有关模块中每个字段的描述，请参阅导出字段部分。

« AWS 模块 Azure 模块 »