Warum wurde mein CloudWatch-Alarm ausgelöst, obwohl die überwachte Metrik keine Datenpunkte enthält, bei denen die Sicherheitslücken verletzt wurden?

Lesedauer: 4 Minute
0

Mein Amazon-CloudWatch-Alarm hat den Status ALARM angenommen. Wenn ich die überwachte Metrik überprüfe, zeigt das CloudWatch-Diagramm keine Datenpunkte, die verletzt werden. Der Alarmverlauf enthält jedoch einen Eintrag mit einem Datenpunkt, der verletzt wurde. Ich möchte wissen, was meinen CloudWatch-Alarm ausgelöst hat.

Kurzbeschreibung

CloudWatch-Alarme bewerten Metriken auf der Grundlage der Datenpunkte, die direkt verfügbar sind. Der Alarmverlauf zeigt eine Aufzeichnung der Datenpunkte, die der Alarm zu diesem Zeitpunkt ausgewertet hat. Nach der Alarmauswertung kann CloudWatch jedoch neue Beispiele veröffentlichen. Die neuen Stichproben können sich auf den Wert auswirken, der berechnet wird, wenn CloudWatch die Metrikdaten aggregiert.

Behebung

Datenpunkte finden, die verletzt wurden

Wenn Ihr CloudWatch-Diagramm keine Datenpunkte anzeigt, die verletzt wurden, sind die Datenpunkte außerhalb der Alarmauswertungszeit aufgetreten.

Beispielsweise werden X Samples verfügbar, wenn eine Alarmauswertung erfolgt. Die Anzahl X der Beispiele ergibt einen aggregierten Wert von A. Dann werden neue Stichproben veröffentlicht. Es werden also Y Samples für denselben Zeitstempel abgerufen. Die Y-Anzahl der Stichproben ergibt einen aggregierten Wert von B.

Im folgenden Beispiel wird ein Alarm mit den vorangegangenen Parametern konfiguriert:

  • Namespace: Web_App
  • Metrik: ResponseTime
  • Dimension: host,h_04254448d4e964956
  • Statistik: Durchschnittswert
  • Schwellenwert: 0,005
  • ComparisonOperator: GreaterThanThreshold
  • Zeitraum: 60Sekunden (1Minute)
  • Evaluierungszeitraum: 1

Wenn der Alarm den Zeitraum von 12:00:00 bis 12:01:00 UTC auswertet, ruft die Metrik die folgenden Werte ab:

Sample-1: 12:00:00 UTC, numeric value: 0.00675  
Sample-2: 12:00:00 UTC, numeric value: 0.00789  
Sample-3: 12:00:00 UTC, numeric value: 0.00421

Da der Durchschnitt dieser Werte 0,006283333 beträgt, überschreitet der Durchschnitt den Schwellenwert von 0,005 Sekunden und der Alarm wechselt in den Status ALARM. Der Alarmverlauf zeigt die aggregierten Werte an, die den Schwellenwert überschreiten.

Ein Host, auf dem vorübergehend ein Leistungsproblem auftritt, wirkt sich auf die Client-Anwendung aus, die für die Veröffentlichung von Metriken verantwortlich ist. Infolgedessen veröffentlicht der Host möglicherweise keine Datenpunkte in gleichmäßigen Abständen. In diesem Fall werden die Proben für 12:00 Uhr veröffentlicht, nachdem die Alarmauswertung erfolgt ist.

Das folgende Beispiel stellt alle Samples für den Zeitstempel 12:00 dar:

Sample-1: 12:00:00 UTC, numeric value: 0.00675  
Sample-2: 12:00:00 UTC, numeric value: 0.00789  
Sample-3: 12:00:00 UTC, numeric value: 0.00421  
Sample-4: 12:00:00 UTC, numeric value: 0.00002  
Sample-5: 12:00:00 UTC, numeric value: 0.00007

Wenn Sie aufgrund des Alarms eine Warnung erhalten, generieren Sie ein CloudWatch-Diagramm, um das Verhalten der Metrik zu überprüfen. CloudWatch ruft die fünf Stichproben zwischen 12:00:00 und 12:01:00 UTC ab und aggregiert sie zu einem Durchschnitt von 0,003788. Der Wert unterscheidet sich also von dem zuvor berechneten Wert und liegt unter dem Schwellenwert. Wenn nach der Auswertung des Alarms weitere Stichproben veröffentlicht werden, sind die Datenpunkte, bei denen die Verletzung erfolgt, innerhalb des Zeitbereichs nicht sichtbar.

Das Alarmbewertungsintervall erhöhen

Wenn Sie Datenpunkte für Alarm konfigurieren, kann es zu einem längeren Bewertungsintervall kommen. Wenn ein Alarm aufgrund verzögerter Metriken Fehlalarme generiert, verlängert sich das Bewertungsintervall und die verzögerten Datenpunkte werden in die Alarmauswertung einbezogen. Die Einbeziehung verzögerter Datenpunkte reduziert die Anzahl der Fehlalarme.

Verwenden Sie eine der folgenden Optionen, um das Bewertungsintervall zu verlängern.

Erhöhen Sie den Zeitraum. Im folgenden Beispiel wird der Zeitraum auf 5 Minuten erhöht:

Namespace: Web_App
Metrik: ResponseTime
Dimension: host,h_04254448d4e964956
Statistik: Durchschnittswert
Schwellenwert: 0,005
ComparisonOperator: GreaterThanThreshold
Zeitraum: 300 Sekunden (5 Minuten)
Evaluierungszeitraum: 1

Oder konfigurieren Sie M von N Datenpunkten für Alarm. Im folgenden Beispiel werden M von N Datenpunkten mit zwei von drei Datenpunkten konfiguriert:

Namespace: Web_App
Metrik: ResponseTime
Dimension: host,h_04254448d4e964956
Statistik: Durchschnittswert
Schwellenwert: 0,005
ComparisonOperator: GreaterThanThreshold
Zeitraum: 60 Sekunden (1 Minute)
Bewertungszeitraum (N): 3
Datenpunkte für Alarm (M): 2

Wenn Sie die Bewertungszeiträume und die Datenpunkte für Alarm als unterschiedliche Werte konfigurieren, ist der „M von N“-Alarm eingerichtet. Datenpunkte für Alarm ist auf M und der Bewertungszeitraum ist auf N festgelegt. Wenn Sie beispielsweise vier von fünf Datenpunkten mit einem Zeitraum von 1 Minute konfigurieren, beträgt das Bewertungsintervall 5 Minuten. Wenn Sie drei von drei Datenpunkte mit einem Zeitraum von 10 Minuten konfigurieren, beträgt das Bewertungsintervall 30 Minuten.

Wenn Sie Datenpunkte für Alarm mit unterschiedlichen Werten konfigurieren, werten CloudWatch-Alarme mehr Datenpunkte aus. CloudWatch-Alarme ändern auch den Alarmstatus, wenn eine Mindestanzahl von Datenpunkten eine Reihe von Datenpunkten verletzt. Dieser Parameter kann den Alarm so anpassen, dass er an einem einzelnen Datenpunkt aktiviert wird oder dass mehrere Datenpunkte erforderlich sind, um in den Status ALARM überzugehen.

Weitere Informationen finden Sie unter Erstellen eines CloudWatch-Alarms auf der Grundlage eines statischen Schwellenwerts und unter Konfigurieren, wie CloudWatch-Alarme mit fehlenden Daten umgehen.

Ähnliche Informationen

Warum habe ich keine SNS-Benachrichtigung für meinen CloudWatch-Alarmauslöser erhalten?

Wie behebe ich meinen CloudWatch-Alarm im Status INSUFFICIENT_DATA?

Warum hat mir mein CloudWatch-Alarm eine Benachrichtigung gesendet, nachdem ein einziger Datenpunkt verletzt wurde?

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 8 Monaten