Recopilación y procesamiento de registros

CloudWatch Logs se puede utilizar para supervisar, almacenar y acceder a los archivos de registro desde las instancias de Amazon EC2, AWS CloudTrail, Route 53 y otros orígenes. Consulte la página de documentación de los servicios de AWS que publican registros en CloudWatch Logs.

La información de los registros puede incluir:

Registro pormenorizado de acceso a objetos de Amazon S3
Información detallada sobre flujos en la red mediante registro de flujos de VPC
Verificación de configuración basada en reglas y acciones con reglas de AWS Config
Filtrado y supervisión del acceso HTTP a las aplicaciones con funciones de firewall de aplicaciones web (WAF, por sus siglas en inglés) en CloudFront

Las métricas y los registros de aplicaciones personalizados también se pueden publicar en CloudWatch Logs mediante la instalación de CloudWatch Agent en instancias de Amazon EC2 o en servidores locales.

Los registros se pueden analizar de forma interactiva con CloudWatch Logs Insights, realizando consultas para ayudarlo a responder de manera más eficiente y efectiva a los problemas operativos.

CloudWatch Logs se puede procesar casi en tiempo real mediante la configuración de filtros de suscripción y se puede entregar a otros servicios, como un clúster de Amazon OpenSearch Service (OpenSearch Service), una transmisión de Amazon Kinesis, una transmisión de Amazon Kinesis Data Firehose o Lambda para el procesamiento, el análisis o la carga en otros sistemas de forma personalizada.

Los filtros de métricas de CloudWatch se pueden usar para definir patrones que se deben buscar en los datos de registro, transformarlos en métricas numéricas de CloudWatch y configurar alarmas en función de los requisitos de su empresa. Por ejemplo, siguiendo la recomendación de AWS de no utilizar el usuario raíz para las tareas cotidianas, se puede configurar un filtro de métricas de CloudWatch específico en un registro de CloudTrail (entregado a CloudWatch Logs) para crear una métrica personalizada y configurar una alarma para notificar a las partes interesadas cuando se utilicen credenciales raíz para acceder a la cuenta de AWS.

Los registros de acceso al servidor de Amazon S3, los registros de acceso a Elastic Load Balancing, los registros de flujos de VPC y los registros de flujos de AWS Global Accelerator se pueden entregar directamente a un bucket de Amazon S3. Por ejemplo, si habilita los registros de acceso al servidor de Amazon Simple Storage Service, puede obtener información detallada sobre las solicitudes que se realizan al bucket de Amazon S3. Un registro de acceso contiene detalles sobre la solicitud, como el tipo de solicitud, los recursos especificados en la solicitud y la fecha y hora en que se procesó la solicitud. Para obtener más información acerca del contenido de un mensaje de registro, consulte el tema sobre el formato de registro de acceso al servidor del servicio de Amazon Simple Storage en la guía para desarrolladores del servicio de Amazon Simple Storage. Los registros de acceso del servidor resultan útiles para muchas aplicaciones, ya que ofrecen a los propietarios del bucket información clave sobre la naturaleza de las solicitudes realizadas por clientes que no están bajo su control. De manera predeterminada, Amazon S3 no recopila registros de acceso al servicio, pero, si activa el registro, Amazon S3 suele enviar registros de acceso a su bucket en el plazo de unas horas. Si necesita una entrega más rápida o entregar registros a varios destinos, considere usar registros de CloudTrail o una combinación de registros de CloudTrail y Amazon S3. Los registros se pueden cifrar en reposo configurando el cifrado de objetos predeterminado en el bucket de destino. Los objetos se cifran con el cifrado del lado del servidor con las claves administradas de Amazon S3 (SSE-S3) o las claves maestras del cliente (CMK, por sus siglas en inglés) almacenadas en AWS Key Management Service (AWS KMS).

Los registros almacenados en un bucket de Amazon S3 se pueden consultar y analizar con Amazon Athena. Amazon Athena es un servicio de consultas interactivo que le permite analizar datos en S3 con SQL estándar. Se puede usar Athena para ejecutar consultas ad-hoc con ANSI SQL, sin necesidad de combinar ni cargar datos en Athena. Athena puede procesar conjuntos de datos no estructurados, semiestructurados y estructurados, y se integra con Amazon QuickSight para una visualización sencilla.

Los registros también son una fuente de información útil para la detección automatizada de amenazas. Amazon GuardDuty es un servicio de supervisión de seguridad continuo que analiza y procesa eventos de varias fuentes, como registros de flujos de VPC, registros de eventos de administración de CloudTrail, registros de eventos de datos de Amazon S3 de CloudTrail y registros de DNS. Utiliza fuentes de información de amenazas, como listas de direcciones IP y dominios maliciosos, y machine learning para identificar toda actividad inesperada y potencialmente no permitida, así como la actividad malintencionada en su entorno de AWS. Al habilitar GuardDuty en una región, el servicio comienza a analizar inmediatamente los registros de eventos de CloudTrail. Además, consume la administración de CloudTrail y los eventos de datos de Amazon S3 directamente desde CloudTrail a través de un flujo de eventos independiente y duplicativo.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Auditoría de cumplimiento y análisis de seguridad

Detección y protección de datos a escala