мониторить нужно) мало ли хрони не оюновляеться тогда могут быть проблемы

так можно мониторить chrony и смотреть их логи, по отклонениям и вообще работе.

ну я про это и говорю) мониторить именно его

)

Отлично. А мониторить предлагаешь через клаудвотч логи? И просто метрику повесить на запись в логе?

я предлагаю все в клаудватч, но мнение более мудрых коллег, я б тоже послушал) @pyToshka )

кейс поясню откуда - pci Кейс который требуется точно удовлетворить - зашли и сменили время на хосте и надо как минимум это заалертить Кейс с логами хрони - наверное рабочий, но чем мониторить сам процесс хрони? и получается уже двойной мониторинг и демона и логов его

Я мониторил прометеусом, именно хрони, именно по pci dss если ты про него)

Мда, ну у меня все идет к тому же кейсу (что что-то вне амазона искать) Жаль, что нативного ничего нет в авс

ну все таки это метрики приложения, можно наколхозить кастомные метрики в принципе

В принципе берешь https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Agent-custom-metrics-statsd.html и выгружаешь метрики в cloudwatch, по большому счету тебе нужно 3 алерта, время не обновлялось n минут, время изменилось, рассинхрон больше 5 минут

спасибо )))

все привет! сегодня начал играться с EKS, поэтому решил сначала разобраться что к чему (через юайку), а потом уже перейти на cloudformation/terraform.
создал кластер, апишка куба поднялась, всё ок. настроил кубконфиг, подключился к кластеру. естественно, что нод нет. добавил менеджед ноду, но возникла проблема - aws cni не хотел подниматься. нашёл в логах такое:

Initialization failure: ipamd: can not initialize with AWS SDK interface: refreshSGIDs: unable to update the ENI's SG: UnauthorizedOperation: You are not authorized to perform this operation

временно добавил к роли, которая аттачится на воркер ноды AmazonEC2FullAccess, чтобы не разбираться каких ещё конкретно прав не хватает. тогда всё завелось, cni поднялся и всё замечательно. вопрос вот в чём: я не увидел этого момента в доке, что нужно давать доступ на редактирование ENI, поэтому и возникает ощущение, будто я делаю что-то не так) решил уточнить, может сталкивался кто с таким

всем привет
кто либо делал отправку логов CloudWatch во вне AWS?
Вопрос насколько это ударило по бюджету, это действие ведь породит многократные вызывы Lambda..
Даже есть предупреждение от амазон: Streaming large amounts of CloudWatch Logs data to other destinations might result in high usage charges. We recommend that you create a Budget in the Billing and Cost Management console. For more information, see

Не знаю насчёт логов, но мы одно время хотели отправлять метрики из Cloudwatch. Потом увидели счёт за это и очень быстро передумали.

может наоборот проще - извне запрашивать метрики по апи?  кажется datadog так делает

Initialization failure: ipamd: can not initialize with AWS SDK interface: refreshSGIDs: unable to update the ENI's SG: UnauthorizedOperation: You are not authorized to perform this operation

все верно делаете, еще с IAM долго придется разбираться)

лучше сразу взять ТФ модуль, там многое учтено

внешний инструмент это SolarWinds Loggly
Там что то вроде более удобной консоли для работы с логами и вот хотят получить логи там
Но мне пока что кажется что такое удобство обойдется очень дорого, в теории

у AWS CDK есть офигенная фича: https://docs.aws.amazon.com/cdk/api/latest/docs/custom-resources-readme.html#custom-resources-for-aws-apis

Позволяет добавлять ресурсы, которых в CloudFormation ещё нет. Работает через Cloud Formation Custom Resource, но самому ничего писать не надо, лямбду дают готову, надо только указать какую апишечку дёрнуть.