Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Utilización CloudWatch en cuentas centralizadas o distribuidas
Aunque CloudWatch está diseñado para monitorear los AWS servicios o recursos de una cuenta y región, puede usar una cuenta central para capturar registros y métricas de varias cuentas y regiones. Si usa más de una cuenta o región, debe evaluar si desea utilizar el enfoque de cuentas centralizadas o una cuenta individual para capturar registros y métricas. Por lo general, se requiere un enfoque híbrido para las implementaciones con varias cuentas y regiones a fin de cumplir con los requisitos de los propietarios de seguridad, análisis, operaciones y cargas de trabajo.
En la siguiente tabla, se muestran las áreas que se deben tener en cuenta a la hora de elegir un enfoque centralizado, distribuido o híbrido.
| Estructuras de cuentas | Su organización puede tener varias cuentas independientes (por ejemplo, cuentas para cargas de trabajo de producción y no relacionadas con la producción) o miles de cuentas para aplicaciones individuales en entornos específicos. Le recomendamos que mantenga los registros y las métricas de las aplicaciones en la cuenta en la que se ejecuta la carga de trabajo, lo que permite a los propietarios de la carga de trabajo acceder a los registros y las métricas. Esto les permite desempeñar un papel activo en el registro y la supervisión. También le recomendamos que utilice una cuenta de registro independiente para agregar todos los registros de carga de trabajo para su análisis, agregación, tendencias y operaciones centralizadas. También se pueden usar cuentas de registro independientes para la seguridad, el archivado, la supervisión y el análisis. |
| Requisitos de acceso | Los miembros del equipo (por ejemplo, los propietarios de las cargas de trabajo o los desarrolladores) necesitan acceder a los registros y las métricas para solucionar problemas y realizar mejoras. Los registros deben mantenerse en la cuenta de la carga de trabajo para facilitar el acceso y la solución de problemas. Si los registros y las métricas se mantienen en una cuenta independiente de la carga de trabajo, es posible que los usuarios tengan que alternar de una cuenta a otra con regularidad. El uso de una cuenta centralizada proporciona información de registro a los usuarios autorizados sin conceder acceso a la cuenta de carga de trabajo. Esto puede simplificar los requisitos de acceso para las cargas de trabajo analíticas cuando se requiere la agregación de las cargas de trabajo que se ejecutan en varias cuentas. La cuenta de registro centralizada también puede tener opciones alternativas de búsqueda y agregación, como un clúster de Amazon OpenSearch Service. Amazon OpenSearch Service proporciona un control de acceso detallado hasta el nivel de campo para tus registros. Un control de acceso detallado es importante cuando se dispone de datos sensibles o confidenciales que requieren permisos y accesos especializados. |
| Operaciones | Muchas organizaciones cuentan con un equipo de operaciones y seguridad centralizado o con una organización externa de apoyo operativo que requiere acceso a los registros para su supervisión. El registro y la supervisión centralizados pueden facilitar la identificación de tendencias, la búsqueda, la agregación y la realización de análisis en todas las cuentas y cargas de trabajo. Si su organización utiliza el enfoque de «usted lo crea, lo ejecuta |
| Entorno |
Puede optar por alojar los registros y las métricas en una ubicación central para las cuentas de producción y conservar los registros y las métricas de otros entornos (por ejemplo, de desarrollo o de pruebas) en la misma cuenta o en cuentas independientes, según los requisitos de seguridad y la arquitectura de la cuenta. Esto ayuda a evitar que un público más amplio acceda a los datos confidenciales creados durante la producción. |
CloudWatch ofrece múltiples opciones para procesar los registros en tiempo real con filtros de CloudWatch suscripción. Puede utilizar los filtros de suscripción para transmitir los registros en tiempo real a AWS servicios para su procesamiento, análisis y carga personalizados en otros sistemas. Esto puede resultar especialmente útil si adoptas un enfoque híbrido en el que tus registros y métricas estén disponibles en cuentas y regiones individuales, además de en una cuenta y una región centralizadas. La siguiente lista proporciona ejemplos de AWS servicios que se pueden utilizar para ello:
-
Amazon Data Firehose: Firehose proporciona una solución de streaming que escala y cambia el tamaño automáticamente en función del volumen de datos que se esté produciendo. No necesita gestionar el número de fragmentos de una transmisión de datos de Amazon Kinesis y puede conectarse directamente a Amazon Simple Storage Service (Amazon S3), Amazon Service o Amazon OpenSearch Redshift sin necesidad de codificación adicional. Firehose es una solución eficaz si desea centralizar sus registros en esos servicios. AWS
-
Amazon Kinesis Data Streams: Kinesis Data Streams es una solución adecuada si necesita integrarse con un servicio que Firehose no admite e implementar una lógica de procesamiento adicional. Puede crear un destino de Amazon CloudWatch Logs en sus cuentas y regiones que especifique una transmisión de datos de Kinesis en una cuenta central y una función AWS Identity and Access Management (IAM) que le conceda permiso para colocar registros en la transmisión. Kinesis Data Streams proporciona una zona de aterrizaje flexible y abierta para sus datos de registro que, a su vez, puede ser consumida por diferentes opciones. Puede leer los datos de registro de Kinesis Data Streams en su cuenta, realizar el preprocesamiento y enviar los datos al destino que elija.
Sin embargo, debe configurar las particiones de la transmisión para que tengan el tamaño adecuado para los datos de registro que se generen. Kinesis Data Streams actúa como intermediario temporal o cola para sus datos de registro y puede almacenar los datos en la transmisión de Kinesis durante un período de uno a 365 días. Kinesis Data Streams también admite la función de reproducción, lo que significa que puede reproducir los datos que no se hayan consumido.
-
Amazon OpenSearch Service: CloudWatch los registros pueden transmitir los registros de un grupo de registros a un OpenSearch clúster de una cuenta individual o centralizada. Al configurar un grupo de registros para transmitir datos a un OpenSearch clúster, se crea una función Lambda en la misma cuenta y región que el grupo de registros. La función Lambda debe tener una conexión de red con el OpenSearch clúster. Puede personalizar la función Lambda para realizar un preprocesamiento adicional, además de personalizar la ingesta en Amazon Service. OpenSearch El registro centralizado con Amazon OpenSearch Service facilita el análisis, la búsqueda y la solución de problemas en varios componentes de su arquitectura de nube.
-
Lambda: si usa Kinesis Data Streams, debe aprovisionar y administrar los recursos de cómputo que consumen datos de su transmisión. Para evitarlo, puede transmitir los datos de registro directamente a Lambda para su procesamiento y enviarlos a un destino según su lógica. Esto significa que no necesita aprovisionar ni administrar los recursos de cómputo para procesar los datos entrantes. Si decide usar Lambda, asegúrese de que la solución sea compatible con las cuotas de Lambda.
Es posible que necesite procesar o compartir los datos de registro almacenados en CloudWatch Logs en formato de archivo. Puede crear una tarea de exportación para exportar un grupo de registros a Amazon S3 para un intervalo de fechas o horas específico. Por ejemplo, puede optar por exportar los registros a diario a Amazon S3 para realizar análisis y auditorías. Lambda se puede utilizar para automatizar esta solución. También puede combinar esta solución con la replicación de Amazon S3 para enviar y centralizar los registros de varias cuentas y regiones a una sola cuenta y región centralizadas.
La configuración del CloudWatch agente también puede especificar un credentials campo en la agentsección. Esto especifica una función de IAM que se utilizará al enviar métricas y registros a una cuenta diferente. Si se especifica, este campo contiene el role_arn parámetro. Este campo se puede usar cuando solo necesita el registro y la supervisión centralizados en una cuenta y región centralizadas específicas.
También puede usar el AWS SDK
