Blog de Amazon Web Services (AWS)

¿Cómo habilitar logs en los servicios de AWS? – Parte 2

Por Giovanni Rodríguez, Solutions Architect para Public Sector en AWS y Jhon H. Guzmán, Partner Solutions Architect para Public Sector en AWS

 

Servicios de Bases de datos, Gestión y gobernanza, Redes y entrega de contenido, y Almacenamiento

Este blogpost busca resolver múltiples inquietudes que surgen de manera habitual alrededor del uso y habilitación de logs en los procesos de definición de arquitecturas, etapas de implementación y uso específico de servicios de AWS. En la parte 1 de este blogpost hemos mostrado la importancia de habilitar los logs en los servicios de AWS que pueden hacer parte de la arquitectura de sus aplicaciones.  También hemos visto las mejores prácticas para una estrategia de logging.  En esta segunda entrega, nos centraremos en los servicios de bases de datos, gestión y gobernanza, redes y entrega de contenido, y almacenamiento.

Esta serie de blogs la hemos dividido en cuatro partes agrupando varias categorías de servicios de AWS:

  • En la parte 1, nos enfocamos en los servicios de la cuenta de AWS (CloudTrail), cómputo, contenedores y tecnología sin servidor.
  • En la parte 2, nos enfocaremos en los servicios de bases de datos, gestión y gobernanza, redes y entrega de contenido, y almacenamiento.
  • En la parte 3, nos enfocaremos en los servicios de seguridad, identidad y cumplimiento normativo, machine learning e inteligencia artificial y analítica.
  • En la parte 4, nos enfocaremos en los servicios de integración de aplicaciones, blockchain, aplicaciones empresariales, interacción con clientes, herramientas para desarrolladores, informática para usuarios finales, servicios de frontend web y móviles, migración y transferencia e internet de las cosas.

A continuación se presentan los principales aspectos de logging en tablas organizadas para las categorías de servicios de AWS seleccionadas en esta entrega; y posteriormente se explican detalles del logging de cada uno de estos servicios.

 

Servicios de Bases de datos

Servicio AWS

¿Habilitados por defecto? (1) ¿A dónde van?

Amazon Aurora

No

AWS CloudTrail
Amazon CloudWatch Logs
Amazon Kinesis Data Streams

Amazon DynamoDB No

Amazon S3
Amazon CloudWatch Logs
Amazon CloudWatch Events
AWS CloudTrail

Amazon DocumentDB

No

Amazon CloudWatch Logs
AWS CloudTrail

Amazon ElastiCache

No Amazon S3
Amazon Kinesis Data Firehose
Amazon CloudWatch Logs
AWS CloudTrail

Amazon Neptune

No Amazon Neptune
AWS Cloudtrail
Amazon S3

Amazon RDS

Amazon RDS
AWS CloudTrail
Amazon CloudWatch Logs

Amazon Redshift

No

Amazon Redshift STL
AWS CloudTrail
Amazon S3

Amazon Timestream

AWS CloudTrail
Amazon S3

AWS DMS No

Amazon CloudWatch Logs

Amazon Quantum Ledger Database (QLDB) Ver sección Blockchain en Parte 4

(1)  AWS CloudTrail está habilitado por defecto para los servicios de AWS que lo integran. En esta columna, hemos considerado cuando el servicio particular posea su propia característica para el registro de logs habilitada por defecto, o cuando el servicio tiene únicamente posibilidades de logging a través de la integración con AWS CloudTrail.

 

Servicios de Gestión y gobernanza

Servicio AWS

¿Habilitados por defecto?

¿A dónde van?

Amazon CloudWatch

Amazon Cloudwatch logs
Amazon Kinesis Data Streams
Amazon Kinesis Data Firehose
Amazon S3
AWS Auto Scaling

AWS Auto Scaling

AWS CloudFormation

AWS CloudFormation
AWS CloudTrail No

AWS CloudTrail
Amazon S3

AWS Config

AWS CloudTrail
Amazon EventBridge
AWS Control Tower

AWS Control Tower
AWS CloudTrail
Amazon CloudWatch Logs

AWS License Manager

AWS CloudTrail
AWS OpsWorks

AWS OpsWorks

AWS Organizations

AWS CloudTrail
AWS Service Catalog

AWS CloudTrail

AWS Systems Manager

No SSM Agent
Amazon CloudWatch Logs
AWS CloudTrail
AWS Trusted Advisor

AWS CloudTrail

 

Servicios de Redes y entrega de contenido

Servicio AWS

¿Habilitados por defecto? ¿A dónde van?
Amazon VPC No

Amazon S3
Amazon CloudWatch Logs

Amazon API Gateway

No Amazon CloudWatch Logs
Amazon CloudFront No

Amazon Kinesis Data Streams
Amazon Kinesis Data Firehose
Amazon Elasticsearch
Amazon Redshift
Amazon S3
AWS CloudTrail

Amazon Route 53

No Amazon CloudWatch Logs
Amazon Kinesis Data Firehose
Amazon S3
AWS CloudTrail
AWS PrivateLink No

Amazon S3
Amazon CloudWatch Logs
Puede enviar logs a CloudWatch Logs sin pasar por internet

AWS App Mesh

No /dev/stdout

AWS Cloud Map

AWS CloudTrail

AWS Direct Connect

AWS CloudTrail

AWS Global Accelerator

Amazon S3
AWS CloudTrail
AWS Transit Gateway No

Amazon S3
Amazon CloudWatch Logs

Elastic Load Balancing

No

Elastic Load Balancing
Amazon S3

 

Servicios de Almacenamiento

Servicio AWS

¿Habilitados por defecto? ¿A dónde van?
Amazon S3 No

Amazon S3
AWS CloudTrail

Amazon EBS

AWS CloudTrail
Amazon EFS No

AWS CloudTrail
Amazon CloudWatch Logs

Amazon FSx

No AWS CloudTrail
Amazon CloudWatch Logs
Amazon Kinesis Data Firehose
Amazon S3 Glacier

AWS CloudTrail

AWS Backup

AWS CloudTrail
AWS Storage Gateway No

AWS CloudTrail
Amazon CloudWatch Logs

CloudEndure DR

CloudEndure DR Logs

 

Bases de datos

Amazon Aurora

Amazon Aurora es una base de datos relacional compatible con MySQL y PostgreSQL creada para la nube. Combina el rendimiento y la disponibilidad de las bases de datos empresariales tradicionales con la simplicidad y la rentabilidad de las bases de datos de código abierto. Las bases de datos de Amazon Aurora pueden tomar ventajas de múltiples opciones de logs, dentro de los cuales destacamos:  los logs generados a través de AWS CloudTrail, los Logs de las bases de datos y los streams de actividad de base de datos.

AWS CloudTrail proporciona un registro de las acciones realizadas por un usuario, un rol o un servicio de AWS en Amazon Aurora. AWS CloudTrail captura todas las llamadas a las API de Amazon Aurora como eventos, incluidas las llamadas desde la consola y desde el código a las operaciones de la API de Amazon RDS.

Los logs de base de datos se pueden ver y descargar mediante la Consola de administración de AWS, la Interfaz de línea de comandos de AWS (AWS CLI) o la API de Amazon RDS. Además de ver y descargar logs de instancias de base de datos, puede publicar logs en Amazon CloudWatch Logs. AWS retiene los datos de los logs publicados en CloudWatch Logs durante un período de tiempo indefinido, a menos que especifique un período de retención diferente.

Los streams de actividad de la base de datos proporcionan un flujo casi en tiempo real de la actividad en su base de datos relacional. Cuando se integra los flujos de actividad de la base de datos con herramientas de monitoreo, puede monitorear y auditar la actividad de la base de datos de forma detallada. Es importante comprender que más allá de las amenazas de seguridad externas, las bases de datos administradas deben brindar protección contra los riesgos internos de los administradores de bases de datos (DBA). Los streams de actividad de la base de datos ayudan precisamente a proteger las bases de datos de amenazas internas al controlar el acceso de los DBA a los flujos de actividad de la base de datos. Por lo tanto, la recopilación, transmisión, almacenamiento y procesamiento posterior del flujo de actividad de la base de datos está fuera del acceso de los DBA que administran la base de datos. Actualmente las aplicaciones para la gestión del cumplimiento también pueden consumir los streams de actividad. Para los flujos de actividad de la base de datos con Aurora PostgreSQL, las aplicaciones de cumplimiento incluyen Security Guardium de IBM, Data Center Security Suite de McAfee y SecureSphere Database Audit and Protection de Imperva. Dichas aplicaciones pueden usar el stream para generar alertas y auditar los clústeres de Aurora DB.

¿Qué se registra?

La información recopilada por AWS CloudTrail, contiene la solicitud que se realizó a Amazon Aurora, la dirección IP desde la que se realizó la solicitud, quién realizó la solicitud, cuándo se realizó y detalles adicionales.

Los logs de base de datos pueden contener, logs de auditoría, logs de errores, logs generales y logs de consultas lentas.

Los streams de actividad de la base de datos recopilan los comandos SQL como declaraciones preparadas, funciones integradas y funciones en lenguaje de procedimientos para SQL (PL/SQL), la declaración SQL completa, el recuento de filas afectadas de los comandos DML, los objetos a los que se accede y el nombre único de la base de datos, de manera adicional la información de la sesión y de la red, el ID del proceso del servidor y los códigos de salida.

¿A dónde van?

Dependiendo del mecanismo puede habilitar la entrega continua de eventos de CloudTrail a un bucket de Amazon S3, Amazon CloudWatch Logs o Amazon Kinesis Data Streams para el caso de los streams de actividad de base de datos.

¿Están habilitados de forma predeterminada?

No.

¿Cómo habilitar?

Acceso a los logs de la base de datos de Amazon Aurora
Uso de secuencias de actividades de la base de datos con Amazon Aurora

 

Amazon DynamoDB

Amazon DynamoDB es una base de datos de clave-valor y documentos que ofrece rendimiento en milisegundos de un solo dígito a cualquier escala. Se trata de una base de datos completamente administrada, de alta durabilidad, multi-activa y de operación multi-región que cuenta con copias de seguridad, restauración y seguridad integradas, así como almacenamiento de caché en memoria para aplicaciones a escala de internet. DynamoDB puede gestionar más de 10 mil millones de solicitudes por día y puede admitir picos de más de 20 millones de solicitudes por segundo.

Es importante comprender inicialmente cómo trabaja Amazon DynamoDB en términos de las categorías de operación. Las operaciones del plano de control le permiten crear y administrar tablas de DynamoDB. También le permiten trabajar con índices, flujos y otros objetos que dependen de tablas. Por otro lado, las operaciones del plano de datos le permiten realizar acciones de creación, lectura, actualización y eliminación (también llamadas CRUD) en los datos de una tabla. Algunas de las operaciones del plano de datos también le permiten leer datos de un índice secundario. Además, las operaciones de DynamoDB Streams le permiten habilitar o deshabilitar un flujo en una tabla y permitir el acceso a los registros de modificación de datos contenidos en un flujo y, finalmente, las operaciones de transacciones proporcionan atomicidad, consistencia, aislamiento y durabilidad (ACID), lo que le permite mantener la corrección de los datos en sus aplicaciones con mayor facilidad.

En términos de logs, DynamoDB está integrado con AWS CloudTrail. AWS CloudTrail captura todas las llamadas a la API para DynamoDB como eventos. Las llamadas capturadas incluyen llamadas desde la consola de DynamoDB y llamadas de código a las operaciones de la API de DynamoDB, utilizando tanto PartiQL como la API clásica. Si no configura un trail, aún puede ver los eventos más recientes en la consola de AWS CloudTrail a través del historial de eventos. Con la información recopilada por AWS CloudTrail, puede determinar la solicitud que se realizó a DynamoDB, la dirección IP desde la que se realizó la solicitud, quién realizó la solicitud, cuándo se realizó y detalles adicionales.

Adicionalmente, usted puede habilitar los logs de actividad del plano de datos para un monitoreo detallado de toda la actividad de Items de DynamoDB dentro de una tabla mediante AWS CloudTrail. Si es un administrador de base de datos o un profesional de la seguridad, usted puede utilizar esta información como parte de proceso de auditoría, para ayudar a abordar los requisitos de cumplimiento y supervisar qué usuarios, roles y permisos de AWS Identity and Access Management (IAM) se utilizan para acceder a los datos de la tabla. AWS CloudTrail publica los archivos de logs en un bucket de Amazon S3. Cada evento contiene información, como quién realizó una acción y cuándo, qué recursos se vieron afectados y muchos otros detalles. Los eventos se combinan en formato JSON y se guardan en archivos de logs de AWS CloudTrail. Con estos archivos, puede realizar un seguimiento y comprender cuándo, por ejemplo, un usuario de IAM accedió a información confidencial almacenada en una tabla de DynamoDB.

Para una supervisión y alertas sólidas, también puede integrar los eventos de CloudTrail con Amazon CloudWatch Logs con el ánimo de facilitar el análisis de la actividad de DynamoDB e identificar cambios en las actividades de la cuenta de AWS, así, puede consultar los registros de AWS CloudTrail con Amazon Athena. Por ejemplo, puede utilizar consultas para identificar tendencias y aislar aún más la actividad por atributos como la dirección IP de origen o el usuario.

¿Qué se registra?

Logs de las operaciones de plano de control, operaciones de plano de datos, operaciones de DynamoDB Streams, operaciones de transacciones.

¿A dónde van?

Amazon Simple Storage Service (Amazon S3) bucket

Amazon CloudWatch Logs

Amazon CloudWatch Events

AWS CloudTrail

¿Están habilitados de forma predeterminada?

No.

¿Cómo habilitar?

Registro de operaciones de DynamoDB mediante AWS CloudTrail

 

Amazon DocumentDB

Amazon DocumentDB (compatible con MongoDB) es un servicio de base de datos de documentos ágil, escalable, de alta disponibilidad y completamente administrado que admite cargas de trabajo de MongoDB. Gracias a que es una base de datos de documentos, Amazon DocumentDB hace que almacenar, consultar e indexar datos JSON sea fácil. Amazon DocumentDB posee varios mecanismos para ayudar a abordar los requisitos de cumplimiento, auditoría y logs a través de la integración con AWS Cloudtrail, los eventos de auditoría y el uso de perfiles para registrar el tiempo de ejecución y los detalles de las operaciones que se realizaron en el clúster.

La integración con AWS CloudTrail, captura todas las llamadas a la API de la AWS CLI para Amazon DocumentDB como eventos, incluidas las llamadas desde la consola de Amazon DocumentDB y desde las llamadas de código al SDK de Amazon DocumentDB. Si crea un trail, puede habilitar la entrega continua de eventos de CloudTrail a un bucket de Amazon S3, incluidos los eventos para Amazon DocumentDB. Si no configura un trail, aún puede ver los eventos más recientes en la consola de AWS CloudTrail a través del historial de eventos.

Con Amazon DocumentDB (con compatibilidad con MongoDB), también es posible auditar los eventos que se realizaron en el clúster. Es importante aclarar que la función de auditoría de Amazon DocumentDB es diferente al uso de los recursos del servicio que se monitorea con AWS CloudTrail. Cuando la auditoría está habilitada, Amazon DocumentDB registra los logs del lenguaje de definición de datos (DDL), la autenticación, la autorización y los eventos de administración de usuarios exportando los logs de auditoría del clúster (En documentos JSON) a Amazon CloudWatch Logs.

Puede usar el Profiler en Amazon DocumentDB (con compatibilidad con MongoDB) para registrar el tiempo de ejecución y los detalles de las operaciones que se realizaron en el clúster. El Profiler es útil para monitorear las operaciones más lentas en el clúster e identificar cómo mejorar el rendimiento de las consultas individuales y su rendimiento general. El Profiler registra las operaciones que tardan más que el valor del umbral definido (por ejemplo, 100 ms) en Amazon CloudWatch Logs. Una vez que las operaciones se registran, puede utilizar CloudWatch Logs Insights para analizar, supervisar y archivar los datos de creación de perfiles de Amazon DocumentDB.

¿Qué se registra?

Con la información recopilada por AWS CloudTrail, registra las solicitudes que se realizó a Amazon DocumentDB (con compatibilidad con MongoDB), la dirección IP desde la que se realizó la solicitud, quién realizó la solicitud, cuándo se realizó y otros detalles. En el caso de los eventos de auditoría se registran las operaciones que tienen lugar dentro de su clúster como objetos, bases de datos, colecciones, índices y usuarios. En el caso del Profiler, se registran los detalles registrados incluyen el comando perfilado, la hora, el resumen del plan y los metadatos del cliente.

¿A dónde van?

Amazon CloudWatch Logs

AWS CloudTrail

¿Están habilitados de forma predeterminada?

No. Para perfiles de Operación de Amazon DocumentDB

No. Para eventos de auditoria

No. Para AWS CloudTrail

¿Cómo habilitar?

Creación de perfiles de Operaciones de Amazon DocumentDB
Registro de llamadas a la API de Amazon DocumentDB con AWS CloudTrail

Auditoría de eventos de Amazon DocumentDB

 

Amazon ElastiCache

Amazon ElastiCache le permite configurar, ejecutar y escalar el almacenamiento de datos en memoria compatibles con proyectos populares de código abierto en la nube, con lo cual puede crear aplicaciones con uso intensivo de datos o aumentar el rendimiento de las bases de datos existentes recuperando datos que se encuentren en memoria con alto rendimiento y baja latencia.

Amazon Elasticache actualmente es compatible específicamente con Redis y Memcached como repositorios de datos en memoria, de código abierto. Para administrar la solución de almacenamiento en caché, es importante que comprenda cómo se están desempeñando los clústeres y los recursos que consumen para cada unos de estos repositorios.

Para el caso de Amazon ElastiCache (Redis y Memcached) se registran los logs de los eventos relacionados con instancias del clúster, grupos de seguridad y grupos de parámetros. Esta información incluye la fecha y la hora del evento, el nombre del origen y el tipo del origen del evento, así como una descripción del evento. Es posible visualizar estos logs mediante la consola de ElastiCache, a través del comando de AWS CLI describe-events o con la acción DescribeEvents de la API de ElastiCache.

Específicamente para los clústeres de Amazon ElastiCache (Redis) y los grupos de replicación que utilizan la versión 6.x en adelante, se encuentra soportado la función de entrega de logs SLOWLOG a uno de dos destinos: Amazon Kinesis Data Firehose y Amazon CloudWatch Logs. Para habilitar y configurar la entrega de logs cuando crea o modifica un clúster puede usar las API de ElastiCache. Cada entrada en los logs se enviará al destino especificado en uno de dos formatos: JSON o TEXT.

Finalmente, Amazon ElastiCache está integrado con AWS CloudTrail, para registrar las acciones realizadas por un usuario, un rol o un servicio de AWS. AWS CloudTrail captura todas las llamadas a la API de Amazon ElastiCache como eventos, incluidas las llamadas procedentes de la consola de Amazon ElastiCache y las llamadas de código realizadas a las operaciones de la API de Amazon ElastiCache. Si crea un registro de seguimiento, puede habilitar la entrega continua de eventos de CloudTrail a un bucket de Amazon S3, incluidos los eventos de Amazon ElastiCache. Si no configura un registro de seguimiento, puede ver los eventos más recientes en la consola de AWS CloudTrail a través del Event history (Historial de eventos).

¿Qué se registra?

Los logs de los eventos registran la fecha y la hora del evento, el nombre del origen y el tipo del origen del evento, así como una descripción del evento.

Mediante la información que recopila AWS CloudTrail, se puede determinar la solicitud que se envió a Amazon ElastiCache, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo la realizó y los detalles adicionales.

¿A dónde van?

Amazon S3

Amazon Kinesis Data Firehose

Amazon CloudWatch Logs

AWS CloudTrail

¿Están habilitados de forma predeterminada?

No.

¿Cómo habilitar?

Registro de llamadas a la API de AWS CloudTrail con Amazon ElastiCache (Memcached)

Registro de llamadas a la API de AWS CloudTrail con Amazon ElastiCache (Memcached)

 

Amazon Neptune

Amazon Neptune es un servicio de base de datos de grafos rápido, confiable y completamente administrado que permite crear y ejecutar fácilmente aplicaciones que funcionan con conjuntos de datos altamente conectados. El núcleo de Amazon Neptune es un motor de bases de datos de grafos de alto desempeño diseñado expresamente y optimizado para almacenar miles de millones de relaciones y consultar grafos con una latencia de milisegundos.

Para auditar la actividad del clúster de base de datos de Amazon Neptune, es necesario habilitar el parámetro de recolección de logs de auditoría en el clúster de base de datos. Cuando los logs de auditoría están habilitados, pueden ser usados para registrar cualquier combinación de eventos, incluso puede ver o descargar los logs de auditoría para un análisis posterior. Los archivos de logs están en formato UTF-8 y se escriben en varios archivos, cuyo número varía según el tamaño de la instancia. Para visualizar los últimos eventos, es posible que deba revisar todos los archivos de registro de auditoría que se rotan cuando alcanzan los 100 MB en total.

Amazon Neptune está integrado con AWS CloudTrail a través del cual puede capturar las llamadas a la API para Neptune como eventos, incluidas las llamadas desde la consola de Neptune y desde las llamadas de código a las API de Neptune. AWS CloudTrail sólo registra eventos para las llamadas a la API de administración de Neptune, como la creación de una instancia o un clúster. Si crea un trail, puede habilitar la entrega continua de eventos de CloudTrail a un bucket de Amazon S3, incluidos los eventos para Neptune. Si no configura un trail, aún puede ver los eventos más recientes en la consola de AWS CloudTrail en el historial de eventos.

¿Qué se registra?

Con la información recopilada por AWS CloudTrail, puede determinar la solicitud que se realizó a Neptune, la dirección IP desde la que se realizó la solicitud, quién realizó la solicitud, cuándo se realizó y detalles adicionales.

¿A dónde van?

Servicio interno de Amazon Neptune

AWS CloudTrail

Amazon S3

¿Están habilitados de forma predeterminada?

No.

¿Cómo habilitar?

Habilitación de los logs de auditoría de Neptune

Uso de la consola para publicar logs de Neptune en registros de CloudWatch Logs

 

Amazon Relational Database Service (Amazon RDS)

Amazon Relational Database Service (Amazon RDS) es un servicio administrado que facilita las tareas de configuración, operación y escalado de bases de datos relacionales en la nube. Proporciona capacidad rentable y de tamaño modificable y, al mismo tiempo, se encarga de las tareas de administración de las bases de datos, lo que le permite centrarse en sus aplicaciones y lógica de negocio. Amazon RDS permite obtener acceso a las funciones de las conocidas bases de datos MySQL, MariaDB, Oracle, SQL Server o PostgreSQL. Esto significa que el código, las aplicaciones y las herramientas que utiliza en la actualidad con sus bases de datos existentes funcionarán a la perfección con Amazon RDS.

Teniendo en cuenta que cada motor de base de datos posee su propios criterios de definición de estructura y contenido para los tipos de logs y logs registrados, actualmente, puede ver, descargar y monitorear los logs de base de datos usando la Consola de administración de AWS, la AWS Command Line Interface (AWS CLI) o la API de Amazon RDS.

Además de ver y descargar logs de instancias de base de datos, también puede publicarlos en Amazon CloudWatch Logs donde puede realizar un análisis de los datos de logs en tiempo real, almacenar los datos en un almacenamiento de larga duración y administrar los datos con el agente de CloudWatch Logs. AWS retiene los datos de logs publicados en CloudWatch Logs durante un periodo de tiempo indefinido a menos que especifique un periodo de retención.  Adicionalmente, Amazon RDS proporciona un endpoint REST que permite el acceso a los archivos de logs de instancia de base de datos. Esto resulta útil si necesita escribir una aplicación para transmitir el contenido del archivo de logs de Amazon RDS.

Adicional a los logs naturales de cada motor de base de datos, los administradores de bases de datos, pueden encontrar niveles de auditoría de los eventos de Amazon RDS. Amazon RDS mantiene un registro de los eventos relacionados con las instancias de bases de datos, las instantáneas de base de datos, los grupos de seguridad de base de datos y los grupos de parámetros de base de datos. Puede recuperar los eventos de los recursos de RDS a través de la Consola de administración de AWS, la cual muestra los eventos de las últimas 24 horas o recuperarlos a través del comando describe-events de la AWS CLI o la operación DescribeEvents de la API de RDS. Si utiliza la AWS CLI o la API de RDS para ver eventos, puede recuperar eventos de los últimos 14 días como máximo.

Finalmente, todas las acciones de Amazon RDS se registran en AWS CloudTrail, a través del cual se registran las acciones que realiza un usuario, un rol o un servicio de AWS en Amazon RDS. AWS CloudTrail captura las llamadas a la API de Amazon RDS como eventos. Para mantener un registro continuo de eventos en la cuenta de AWS, incluidos los eventos de Amazon RDS, cree un trail para la entrega de eventos en un bucket de Amazon S3. AWS CloudTrail suele entregar los archivos de log durante los 15 minutos posteriores a la actividad de la cuenta.

¿Qué se registra?

Para el caso de los logs de auditoría se registran, los logs generales, de errores, de auditoría y de bases de datos de consultas lentas específicas para cada motor de base de datos

Para el caso de Eventos RDS, esta información incluye la fecha y hora del evento, el nombre del origen y el tipo del origen del evento y un mensaje relacionado con el evento.

¿A dónde van?

Servicio RDS interno (accesible a través de la consola o API de RDS) y (opcionalmente) transmitido a Amazon CloudWatch Logs.

AWS CloudTrail almacenando la información en Amazon S3.

¿Están habilitados de forma predeterminada?

Sí, pero sólo al servicio RDS. Sí, para eventos de RDS. Amazon CloudWatch Logs requiere configuración.

¿Cómo habilitar?

Acceso a los archivos de log de base de datos de Amazon RDS

Publicación de registros del motor de base de datos en Amazon CloudWatch Logs

 

Amazon Redshift

Amazon Redshift es el almacén de datos en la nube más utilizado. Permite, de manera rápida, simple y rentable, analizar sus datos mediante SQL estándar y herramientas de inteligencia empresarial existentes. Permite ejecutar consultas analíticas complejas en terabytes o petabytes de datos estructurados y semiestructurados con una sofisticada optimización de consultas, almacenamiento de alto rendimiento en columnas y ejecución masiva de consultas paralelas. La mayoría de los resultados se producen en segundos. Además, incluye Amazon Redshift Spectrum, que permite ejecutar consultas SQL directamente en exabytes de datos no estructurados en lagos de datos de Amazon S3, donde puede utilizar formatos de datos abiertos como: Avro, CSV, Grok, Amazon Ion, JSON, ORC, Parquet, RCFile, RegexSerDe, Sequence, Text, Hudi, Delta y TSV. Adicionalmente, Redshift Spectrum ajusta automáticamente la escala de la capacidad informática de consulta en función de los datos recuperados, por lo que las consultas en Amazon S3 se ejecutan con rapidez, independientemente del tamaño del conjunto de datos.

Actualmente, Amazon Redshift posee tres opciones de logs: Logs de auditoría, Tablas STL, y AWS CloudTrail.

Para los logs de auditoría, Amazon Redshift registra información acerca de las conexiones y la actividad de los usuarios en la base de datos. Estos logs ayudan a monitorear la base de datos con fines de seguridad y solución de problemas, un proceso que suele denominarse auditoría de base de datos. La información de estos logs se registra en archivos independientes para: Logs de conexión donde se registran los intentos de autenticación, las conexiones y las desconexiones; Logs de usuario donde registra información acerca de los cambios en las definiciones de los usuarios de las bases de datos; y Logs de actividad de usuario donde se registra cada consulta antes de su ejecución en la base de datos.

En el caso de las vistas de sistema STL se generan a partir de archivos de logs de Amazon Redshift para proporcionar un historial del sistema. Estos archivos residen en cada uno de los nodos del clúster del data warehouse. Las vistas STL toman la información de los logs y les dan el formato de vistas para que puedan ser utilizadas por los administradores del sistema. Las tablas STL registran las actividades a nivel de la base de datos, tales como qué usuarios iniciaron sesión y cuándo. Estas tablas también registran las actividades SQL que estos usuarios realizaron y cuándo las realizaron. Con el objetivo de gestionar de forma adecuada el espacio en el disco, las vistas de registro STL sólo retienen, aproximadamente, de dos a cinco días de historial de logs, en función del uso de logs y de la disponibilidad de espacio en el disco. En caso que sea necesario retener los datos de logs por periodos adicionales de tiempo, deberá copiarlos periódicamente a otras tablas o descargarlos en Amazon S3.

Amazon Redshift está integrado en AWS CloudTrail, para capturar como eventos todas las llamadas a la API de Amazon Redshift, esto incluye las llamadas realizadas desde la consola de Amazon Redshift y las llamadas de código a las operaciones de la API de Amazon Redshift. Si crea un trail de seguimiento, es posible habilitar la entrega continua de eventos de CloudTrail a un bucket de Amazon S3, incluidos los eventos de Amazon Redshift. Si no configura un trail, puede ver los eventos más recientes de la consola de AWS CloudTrail en el Event history (Historial de eventos). Puede utilizar AWS CloudTrail de forma independiente o junto con el registro de auditoría de base de datos de Amazon Redshift.

¿Qué se registra?

Puede utilizar los logs de auditoría de varias maneras, el registro de conexión para supervisar la información sobre los usuarios que se conectan a la base de datos y la información de conexión relacionada. Esta información puede ser su dirección IP, cuándo hicieron la solicitud, qué tipo de autenticación utilizaron. Puede utilizar el log de usuarios para monitorear los cambios en las definiciones de los usuarios de la base de datos y el registro de actividad de usuario para la solución de problemas, realizar seguimiento a las consultas que realizan los usuarios y al sistema en la base de datos.

Las tablas STL registran las actividades a nivel de la base de datos, tales como qué usuarios iniciaron sesión y cuándo. Además registran las actividades SQL que estos usuarios realizaron y cuándo las realizaron.

Con la información recopilada por AWS CloudTrail, puede determinar ciertos detalles tales como, la solicitud que se realizó a Amazon Redshift, la dirección IP desde la que se realizó, quién la realizó y cuándo, etc.

¿A dónde van?

Los logs de auditoría son almacenados en buckets de Amazon S3

Las Tablas STL son almacenadas en los nodos del clúster

Los trail de AWS CloudTrail son almacenado en buckets de Amazon S3

¿Están habilitados de forma predeterminada?

No.

¿Cómo habilitar?

Habilitación de Logs de Amazon Redshift

Vistas STL para logs de Amazon Redshift

 

Amazon Timestream

Amazon Timestream es un servicio de bases de datos de series temporales rápidas, escalables y serverless para aplicaciones operativas y de IoT que facilita el almacenamiento y el análisis de billones de eventos por día hasta 1000 veces más rápido y por tan solo una décima parte del costo de las bases de datos relacionales. Amazon Timestream le ahorra tiempo y costos en la administración del ciclo de vida de los datos de series temporales porque mantiene los datos recientes en la memoria y traslada los datos históricos a una capa de almacenamiento optimizado en función de los costos según las políticas que definida el usuario.

Timestream está integrado con AWS CloudTrail, que registra las acciones realizadas por un usuario, un rol o un servicio de AWS en Timestream. CloudTrail captura las llamadas a la API del lenguaje de definición de datos (DDL) para Timestream como eventos. Las llamadas que se capturan incluyen llamadas desde la consola de Timestream y llamadas de código a las operaciones de la API de Timestream. Si crea un trail, puede habilitar la entrega continua de eventos de CloudTrail a Amazon Simple Storage Service (Amazon S3), incluidos los eventos para Timestream. Si no configura un trail, aún puede ver los eventos más recientes en la consola de CloudTrail en el historial de eventos.

¿Qué se registra?

Con la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Timestream, la dirección IP desde la que se realizó la solicitud, quién realizó la solicitud, cuándo se realizó y detalles adicionales.

¿A dónde van?

AWS CloudTrail, almacenamiento en buckets de Amazon S3

¿Están habilitados de forma predeterminada?

Sí.

¿Cómo habilitar?

Logs de llamadas a la API de Timestream con AWS CloudTrail

 

AWS Database Migration Service (AWS DMS)

AWS Database Migration Service (AWS DMS) es un servicio en la nube que facilita la migración de bases de datos relacionales, almacenes de datos, NoSQL y otros tipos de almacenes de datos. Puede utilizar AWS DMS para migrar datos a la nube de AWS, entre instancias locales (a través de una configuración de nube de AWS) o entre combinaciones de configuraciones locales y en la nube. Con AWS DMS, puede realizar migraciones puntuales, y puede hacer replicación continua de cambios para mantener sincronizados los orígenes y los destinos. Si desea cambiar motores de base de datos, puede utilizar la AWS Schema Conversion Tool (AWS SCT) para traducir su esquema de base de datos a la nueva plataforma y luego de estos cambios usar AWS DMS para migrar los datos.

Antes de entender el registro de logs de AWS DMS es importante comprender que DMS emplea el concepto de Tareas. En cada Tarea usted especifica qué tablas (o vistas) y esquemas usar para el proceso de migración y cualquier procesamiento especial, como los requisitos de logs, los datos de la tabla de control y el manejo de errores. Cada tarea de migración de AWS DMS tiene un log que registra todos los eventos, puntos de control y modificaciones de tareas realizadas durante la ejecución de la migración. Los logs de tareas son un componente crítico de cualquier migración, y comprender y administrar estos registros es de alta importancia. Contienen información invaluable que puede ayudarlo a comprender lo que está sucediendo y determinar la causa raíz casi de inmediato en muchos casos.

De forma predeterminada, el nivel de logs de tareas de DMS es mínimo y usted puede hacer que el registro sea más granular para detectar problemas, causas, fallas o errores. La advertencia acerca de cambiar el nivel de registro predeterminado a detallado es el consumo rápido del almacenamiento. Esto sucede porque en el nivel de registro detallado, DMS escribe todos y cada uno de los eventos en los archivos de registro, lo que no hace en el nivel de registro predeterminado. Al generar logs para tareas de migración, AWS DMS crea los registros en el disco subyacente de la instancia de replicación. Dado que AWS DMS es un servicio completamente administrado y no permite el acceso a la instancia de replicación, puede ver estos registros solo mediante Amazon CloudWatch. El periodo de retención de los logs generados para cada instancia de replicación es de siete días.

¿Qué se registra?

Logs de tareas de migración.

¿A dónde van?

Disco subyacente de la instancia de replicación.

Amazon CloudWatch Logs.

¿Están habilitados de forma predeterminada?

No.

¿Cómo habilitar?

Configuración de los logs de las tareas de DMS

 

Amazon Quantum Ledger Database (Amazon QLDB)

Ver sección Blockchain en Parte 4.

 

Gestión y gobernanza

Amazon CloudWatch Logs

Amazon CloudWatch Logs permite centralizar los logs de los sistemas, aplicaciones y servicios de AWS, en un único servicio de gran escalabilidad. A continuación, pueden verse fácilmente, buscar códigos de error o patrones específicos, filtrarlos en función de campos específicos o archivarlos de forma segura para futuros análisis. Amazon CloudWatch Logs permite ver los logs, independientemente de su origen, como un flujo único y coherente de eventos ordenados por tiempo, y consultarlos y ordenarlos según otras dimensiones, agruparlos por campos específicos, crear cálculos personalizados con un lenguaje de consulta eficaz y visualizar los datos de logs en paneles.

La mayoría de los servicios enumerados en este blogpost envían sus logs a CloudWatch Logs. Sin embargo, CloudWatch Logs es un destino, así como un origen. Con las funcionalidades «exportar» y «transmitir», CloudWatch Logs se puede exportar manualmente a Amazon S3 para almacenamiento a largo plazo o transmitirse a suscripciones como Lambda, Kinesis Data Stream o Kinesis Data Firehose Stream.

¿Qué se registra? 

Los logs que se envían a Amazon CloudWatch Logs desde otros servicios.

Existen tres categorías principales de registros:

  • Vended logs. Logs publicados nativamente por servicios de AWS en nombre del cliente. Actualmente, Amazon VPC Flow Logs y los registros de Amazon Route 53 son los dos tipos admitidos.
  • Logs que publican los servicios de AWS. Estos servicios incluyen Amazon API Gateway, AWS Lambda, AWS CloudTrail y muchos otros.
  • Logs personalizados. Estos son los logs de aplicaciones y recursos on-premises de los clientes de AWS . Es posible usar AWS Systems Manager para instalar un agente de CloudWatch o recurrir a la acción de la API PutLogData para publicar logs fácilmente.

¿A dónde van?

Dentro del propio servicio de Amazon CloudWatch Logs.

Exportación manual: Amazon S3.

Suscripción: Lambda, Kinesis Data Stream o Kinesis Data Firehose.

¿Están habilitados de forma predeterminada?

Sí. Las suscripciones y exportaciones pueden configurarse manualmente.

¿Cómo habilitar?

Procesamiento en tiempo real de datos de logs de Amazon CloudWatch Logs con suscripciones

 

AWS Auto Scaling

Ver sección Cómputo en Parte 1.

 

Amazon CloudFormation

AWS CloudFormation le ofrece una forma sencilla de modelar un conjunto de recursos relacionados de AWS y de terceros, aprovisionarlos de manera rápida y consistente y administrarlos a lo largo de sus ciclos de vida tratando la infraestructura como un código. La plantilla de CloudFormation describe los recursos que desea y sus dependencias para que los pueda lanzar y configurar juntos como un stack.

Los logs de CloudFormation están disponibles en la interfaz de usuario de la consola de CloudFormation en la pestaña «Eventos» o a través de la API. Estas notificaciones de eventos también se pueden enviar a tópicos de SNS para ser reenviados a ubicaciones adicionales.

¿Qué se registra?

Eventos de stack.

¿A dónde van?

Una base de datos interna de CloudFormation, sin embargo, se pueden recuperar a través de la consola/API y enviarse a SNS.

¿Están habilitados de forma predeterminada?

Sí.  Es posible configurar el reenvío a SNS.

¿Cómo habilitar?

How can I receive an alert when my AWS CloudFormation stack enters ROLLBACK_IN_PROGRESS status?

 

AWS CloudTrail

Ver sección La cuenta de AWS en Parte 1.

 

AWS Config

AWS Config es un servicio que permite examinar, auditar y evaluar las configuraciones de sus recursos de AWS. Config monitorea y registra constantemente las configuraciones de sus recursos de AWS y permite automatizar la evaluación de las configuraciones registradas con respecto a las configuraciones deseadas.

Cuando se activa AWS Config, éste primero descubre los recursos de AWS compatibles que existen en la cuenta y genera un elemento de configuración (configuration item) para cada recurso. AWS Config también genera elementos de configuración cuando cambia la configuración de un recurso y mantiene registros históricos de los elementos de configuración de los recursos desde el momento en que inicia la grabación de configuración. De forma predeterminada, AWS Config crea elementos de configuración para cada recurso compatible de la región. Si no se desea que AWS Config cree elementos de configuración para todos los recursos compatibles, se pueden especificar los tipos de recursos a los que se desea que se realice el seguimiento.

Las configuraciones actualizadas de cada recurso y de los recursos relacionados se registran como elementos de configuración y se entregan en un flujo de configuración a un bucket de Amazon Simple Storage Service (Amazon S3).

Si se está utilizando AWS Config rules, AWS Config evalúa continuamente las configuraciones de recursos de AWS para determinar la configuración deseada. Si un recurso infringe las condiciones de una regla, AWS Config marca el recurso y la regla como no conformes. Cuando cambia el estado de conformidad de un recurso, AWS Config envía una notificación a un tópico de Amazon SNS. Sin embargo, puede que sólo le interesen ciertos cambios en la configuración de recursos. O bien, es posible que desee escribir un programa que realice acciones específicas cuando se actualizan recursos específicos. Si desea consumir mediante programación los datos de AWS Config de estas u otras formas, utilice una cola de Amazon Simple Queue Service como endpoint de notificación para Amazon SNS.

AWS Config es compatible con Amazon EventBridge para detectar y reaccionar a cambios en el estado de los recursos.

Adicionalmente, AWS Config está integrado con AWS CloudTrail, para registrar las acciones de usuarios, roles o servicios de AWS en AWS Config.

¿Qué se registra?

Cambios en los recursos de AWS compatibles.

¿A dónde van?

Adicional a la integración con AWS CloudTrail, AWS Config puede entregar los elementos de configuración a un bucket de Amazon S3 o un Topico de Amazon SNS Topic.

¿Están habilitados de forma predeterminada?

Sí.

¿Cómo habilitar?

No aplica.  Mayor información en:
Supervisión de los cambios en los recursos de AWS con Amazon SQS

 

AWS Control Tower

Si es un cliente con varios equipos y cuentas de AWS, la configuración y la gobernanza de la nube puede ser compleja y demandar mucho tiempo, lo que ralentiza la misma innovación que desea acelerar. AWS Control Tower ofrece la manera más fácil de configurar y controlar un entorno de AWS nuevo, seguro y con varias cuentas, denominado zona de destino (landing zone). AWS Control Tower crea su zona de destino mediante AWS Organizations, lo que aporta gestión y gobernanza continuos de la cuenta, así como prácticas recomendadas de implementación basadas en la experiencia de AWS al trabajar con miles de clientes cuando se trasladan a la nube.

Al configurar la zona de destino, una de las cuentas compartidas creadas es la cuenta de log archive, dedicada a recopilar todos los logs de forma centralizada, incluidos los logs de todas las demás cuentas de la organización. Estos archivos de log permiten a los administradores y auditores revisar las acciones y eventos que se han producido.

Como práctica recomendada, debe recopilar datos de supervisión de todas las partes de la solución de AWS en sus logs, de modo que pueda depurar con mayor facilidad un error de varios puntos si se produce uno. AWS proporciona varias herramientas para supervisar los recursos y la actividad en su zona de destino.

Por ejemplo, el estado de sus guardrails se supervisa constantemente. Puede ver su estado de un vistazo en la consola de AWS Control Tower. La salud y el estado de las cuentas que ha aprovisionado en Account Factory también se supervisan constantemente.

¿Qué se registra?

Los logs de acciones y eventos en AWS Control Tower se generan automáticamente mediante su integración con CloudWatch. Todas las acciones se registran, incluidas las de la cuenta de administración de AWS Control Tower y de las cuentas miembro de su organización. Las acciones y eventos de la cuenta de administración se pueden ver en la página Activities de la consola. Las acciones y eventos de las cuentas  miembro se pueden ver en los archivos de log archive.

¿A dónde van?

Amazon CloudWatch Logs

Página Activities de la consola de AWS Control Tower.

AWS CloudTrail:  Las actividades que se muestran en la página Activities son las mismas que se reportan en el log de eventos de AWS CloudTrail para AWS Control Tower, pero se muestran en formato de tabla.

¿Están habilitados de forma predeterminada?

Sí.

¿Cómo habilitar?

No aplica.

 

AWS License Manager

AWS License Manager facilita la tarea de administrar licencias de proveedores de software como Microsoft, SAP, Oracle e IBM en servidores locales y de AWS. AWS License Manager permite a los administradores crear reglas de licencias personalizadas que emulan los términos de sus acuerdos de licencia y, luego, aplicar estas reglas cuando se lanza una instancia EC2.

¿Qué se registra?

CloudTrail captura todas las llamadas API para License Manager como eventos. Las llamadas capturadas incluyen llamadas desde la consola de License Manager y llamadas de código a las operaciones API de License Manager.

¿A dónde van?

AWS CloudTrail.

¿Están habilitados de forma predeterminada?

Sí.

¿Cómo habilitar?

No aplica.  Mayor información en Registro de logs para la API de AWS License Manager con AWS CloudTrail.

 

AWS OpsWorks

AWS OpsWorks es un servicio de administración de configuración que ofrece instancias administradas de Chef y Puppet. Chef y Puppet son plataformas de automatización que le permiten usar su código para automatizar la configuración de sus servidores. OpsWorks le permite usar Chef y Puppet para automatizar la manera en la que los servidores se configuran, implementan y administran en las instancias de Amazon EC2 o en entornos informáticos on-premises. OpsWorks ofrece tres versiones: AWS Opsworks for Chef Automate, AWS OpsWorks for Puppet Enterprise y AWS OpsWorks Stacks.

¿Qué se registra?

Logs de Chef.

¿A dónde van?

AWS OpsWorks Stacks le ofrece varias formas de ver los logs de Chef. Una vez que tenga la información de registro, puede usarla para depurar recetas fallidas. Estos logs pueden verse en la consola, mediante la CLI o la API, en la instancia de EC2, y, si está habilitado, en Amazon CloudWatch Logs.

¿Están habilitados de forma predeterminada?

Sí, a la consola, CLI, API e instancia. Hacia Amazon CloudWatch Logs puede configurarse.

¿Cómo habilitar?

Uso de Amazon CloudWatch Logs con AWS OpsWorks Stacks

 

AWS Organizations

AWS Organizations lo ayuda a administrar y controlar de manera centralizada su entorno a medida que crece y escala sus recursos de AWS. Con AWS Organizations, puede crear de manera programática nuevas cuentas de AWS y asignar recursos, agrupar cuentas para organizar sus flujos de trabajo, aplicar políticas a cuentas o grupos para el control y simplificar la facturación mediante un único método de pago para todas sus cuentas.

Además, AWS Organizations está integrado con otros servicios de AWS para que pueda definir configuraciones centrales, mecanismos de seguridad, requisitos de auditoría y uso compartido de recursos entre las cuentas de su organización. AWS Organizations está disponible para todos los clientes de AWS sin costo adicional.

¿Qué se registra?

AWS CloudTrail captura todas las llamadas API de AWS Organizations como eventos, incluidas las llamadas desde la consola de AWS Organizations y las llamadas de código a las API de AWS Organizations.

¿A dónde van?

AWS CloudTrail.

¿Están habilitados de forma predeterminada?

Sí.

¿Cómo habilitar?

No aplica.  Puede ver toda la información de CloudTrail para AWS Organizations solo en la región us-east-1 (N. Virginia).

 

AWS Service Catalog

AWS Service Catalog permite a las organizaciones crear y administrar catálogos de servicios de TI aprobados para su uso en AWS. En estos servicios de TI se incluye todo lo relacionado con imágenes de máquinas virtuales, servidores, software y bases de datos para completar las arquitecturas de aplicaciones multinivel. Usted puede definir y administrar las aplicaciones y sus metadatos para llevar un registro de los costes, el rendimiento, el cumplimiento de seguridad y el estado de operación a nivel de aplicación.

¿Qué se registra?

Todas las acciones de AWS Service Catalog son registradas por CloudTrail.  Una restricción (constraint) de notificación especifica un tópico de Amazon SNS para recibir notificaciones sobre eventos de un producto (stack).

¿A dónde van?

AWS CloudTrail.

Es posible configurar constraints de notificaciones a SNS.

¿Están habilitados de forma predeterminada?

Sí. Es posible configurar constraints de notificaciones a SNS.

¿Cómo habilitar?

No aplica. Para configurar constraints de notificaiones a SNS ver Restricciones de notificación del catálogo de servicios.

 

AWS Systems Manager

AWS Systems Manager (anteriormente conocido como SSM) es un servicio de AWS que puede utilizar para ver y controlar su infraestructura en AWS. Mediante la consola de Systems Manager, puede consultar los datos operativos de varios servicios de AWS y automatizar tareas operativas en todos sus recursos de AWS. Systems Manager le ayuda a mantener la seguridad y el cumplimiento mediante el análisis de instancias administradas e informar sobre (o tomar medidas correctivas) las violaciones de las políticas que detecte. Con Systems Manager, puede asociar recursos de AWS al aplicar la misma etiqueta de recursos (resource tag) a cada uno de ellos. Luego, puede consultar los datos operativos de dichos recursos como un grupo de recursos (resource group), que le será de utilidad para la supervisión y la resolución de problemas.

AWS proporciona varias herramientas para monitorear Systems Manager y otros recursos y responder a posibles incidentes dentro de las cuales se encuentran AWS CloudTrail, Amazon CloudWatch Logs y registros del agente SSM. AWS CloudTrail proporciona un registro de las medidas adoptadas por un usuario, un rol o un servicio de AWS en Systems Manager. AWS Systems Manager Agent (agente de SSM) es el software de Amazon que se puede instalar y configurar en una instancia EC2, un servidor on-premise o una máquina virtual (VM). El agente de SSM posibilita que Systems Manager actualice, administre y configure estos recursos. El agente procesa las solicitudes del servicio de Systems Manager en la nube de AWS y, a continuación, las ejecuta según lo especificado en la solicitud. El agente de SSM escribe información sobre ejecuciones, acciones programadas, errores y estados en los archivos de registro en cada instancia. Puede ver archivos de registro conectándose manualmente a una instancia. Se recomienda enviar automáticamente los datos de registro del agente a un grupo de logs en Amazon CloudWatch Logs para su análisis.

¿Qué se registra?

Mediante la información recopilada por AWS CloudTrail, puede determinar la solicitud que se realizó a Systems Manager, la dirección IP desde la que se realizó, quién la realizó y cuándo.

El agente de SSM escribe información sobre ejecuciones, acciones programadas, errores y estados en los archivos de registro en cada instancia.

¿A dónde van?

AWS CloudTrail.

Amazon CloudWatch Logs y SSM Agent.

¿Están habilitados de forma predeterminada?

No, para los logs de los agentes de CloudWatch y de SSM, pueden ser enviados automáticamente a Amazon CloudWatch Logs.

Se puede configurar SNS para enviar notificaciones sobre el estado de los comandos que se envían mediante Run Command o Maintenance Windows.

Sí en CloudTrail.

¿Cómo habilitar?

Registro de llamadas a AWS Administrador de sistemas la API de con AWS CloudTrail

Envío de logs de instancias a Amazon CloudWatch Logs (Agente de CloudWatch)

Visualización de logs del Agente de SSM

Monitoreo de cambios de estado de Systems Manager con notificaciones Amazon SNS

 

AWS Trusted Advisor

AWS Trusted Advisor es un servicio completamente administrado que le proporciona asesoramiento para seguir las prácticas recomendadas de AWS. Lo ayuda a optimizar su infraestructura de AWS, mejorar la seguridad y el rendimiento, reducir los costos generales y monitorear los límites de servicios.

¿Qué se registra?

Trusted Advisor genera logs de las acciones de consola como eventos de CloudTrail.

¿A dónde van?

CloudTrail.

¿Están habilitados de forma predeterminada?

Sí.

¿Cómo habilitar?

No aplica.

 

Redes y entrega de contenido

Amazon Virtual Private Cloud (Amazon VPC)

Amazon Virtual Private Cloud (Amazon VPC) es un servicio que permite lanzar recursos de AWS en una red virtual aislada de forma lógica que se defina. Se pueden controlar todos los aspectos del entorno de red virtual, como la selección de un rango propio de direcciones IP, la creación de subredes y la configuración de tablas de enrutamiento y gateways de red. Es posible utilizar tanto IPv4 como IPv6 para la mayoría de los recursos de la nube virtual privada, lo que ayuda a garantizar el acceso seguro y fácil a los recursos y las aplicaciones.

¿Qué se registra?

Logs de flujo de red (VPC flow logs) o copia del tráfico (traffic mirroring).

¿A dónde van?

Los logs de flujo pueden ir a Amazon CloudWatch Logs y/o Amazon S3; las copias del tráfico pueden ir a una interfaz de red o a un Network Load Balancer.

¿Están habilitados de forma predeterminada?

No.

¿Cómo habilitar?

Cómo funciona Traffic Mirroring
Logs de flujo de VPC:

 

Amazon API Gateway

Ver sección Tecnología sin servidor (Serverless) en Parte 1.

 

Amazon CloudFront

Amazon CloudFront es un servicio rápido de red de entrega de contenido (CDN) que distribuye a clientes datos, videos, aplicaciones y API globalmente de forma segura, con baja latencia, altas velocidades de transferencia y dentro de un entorno fácil para desarrolladores.

Amazon CloudFront proporciona diferentes tipos de logs. Puede registrar las solicitudes que llegan a sus distribuciones de CloudFront o puede registrar la actividad del servicio CloudFront en su cuenta de AWS.

¿Qué se registra?

Los logs estándar de CloudFront proporcionan registros detallados sobre cada solicitud que se realiza a una distribución. Estos logs son útiles para muchos escenarios, incluidas las auditorías de seguridad y acceso.

Los logs en tiempo real de CloudFront proporcionan información sobre las solicitudes realizadas a una distribución, en tiempo real (se entregan en cuestión de segundos después de recibir las solicitudes). Puede elegir la tasa de muestreo para sus logs en tiempo real, es decir, el porcentaje de solicitudes para las que desea recibir logs en tiempo real. También puede elegir los campos específicos que desea recibir en estos logs.

Los logs de actividad de servicio de CloudFront proporcionan un registro de las acciones realizadas por un usuario, rol o servicio de AWS en CloudFront.

¿A dónde van?

Logs estándar: bucket de Amazon S3.

Logs en tiempo real: stream de datos de Amazon Kinesis Data Streams. Puede crear su propio consumidor de secuencia de datos de Kinesis o utilizar Amazon Kinesis Data Firehose para enviar los datos de logs a Amazon Simple Storage Service (Amazon S3), Amazon Redshift, Amazon Elasticsearch Service (Amazon ES) o a un servicio de procesamiento de logs de terceros.

Logs de actividad de servicio: AWS CloudTrail.

¿Están habilitados de forma predeterminada?

No. Los logs estándar y los logs en tiempo real pueden habilitarse.

Los logs de actividad de servicio sí se encuentran habilitados de forma predeterminada.

¿Cómo habilitar?

Configuración y uso de logs estándar (logs de acceso) de Amazon CloudFront

Logs en tiempo real de CloudFront

 

Amazon Route 53

Amazon Route 53 es un servicio de DNS (sistema de nombres de dominio) web escalable y de alta disponibilidad en la nube. Está diseñado para ofrecer a los desarrolladores y las empresas un método fiable y rentable para redirigir a los usuarios finales a las aplicaciones en Internet mediante la traducción de nombres legibles para las personas en direcciones IP numéricas que utilizan los equipos para conectarse entre ellos. Amazon Route 53 también cumple con IPv6.

Amazon Route 53 provee logs de consultas (queries) DNS y la habilidad de monitorear sus recursos utilizando health checks.

Parte de las características de Route 53 son los DNS resolver, servidores DNS que actúan como intermediario entre las solicitudes de usuario y los servidores de nombres DNS.  Cuando crea una VPC con Amazon VPC, Route 53 Resolver (Resolver) responde automáticamente a las consultas DNS de nombres de dominio de VPC locales para instancias EC2 y registros en zonas privadas. Para todos los demás nombres de dominio, Resolver realiza búsquedas recursivas en servidores de nombres públicos.  También puede integrar la resolución DNS entre Resolver y resolvers DNS en otras redes alcanzables desde su VPC (otra VPC peer o una red on-premises conectada con AWS Direct Connect, VPN o NAT gateway).

¿Qué se registra?

Logs de consultas (queries) públicas: por ejemplo, el dominio o subdominio solicitado, la fecha y hora de la solicitud y el tipo de registro DNS, como A o AAAA.

Logs de consultas de resolver (resolución VPC):

  • Consultas que se originan en VPCs que especifique, así como las respuestas a esas consultas DNS.
  • Consultas desde recursos on-premises que utilizan un inbound Resolver endpoint.
  • Consultas que utilizan un outbound Resolver endpoint para la resolución DNS recursiva.
  • Consultas que utilizan reglas de Route 53 Resolver DNS Firewall para bloquear, permitir o monitorear listas de dominios.

¿A dónde van?

Amazon CloudWatch Logs (logs de consultas públicas y logs de consultas de resolver)

Amazon S3 (logs de consultas de resolver)

Kinesis Data Firehose (logs de consultas de resolver).

¿Están habilitados de forma predeterminada?

No.

¿Cómo habilitar?

Logs de consultas DNS públicas

Logs de consultas de resolver

 

AWS PrivateLink

AWS PrivateLink proporciona conectividad privada entre las VPC, los servicios de AWS y las redes on-premises, sin exponer el tráfico a la internet pública. AWS PrivateLink facilita la conexión de servicios entre diferentes cuentas y las VPCs a fin de simplificar radicalmente la arquitectura de la red.

Al ser AWS PrivateLink un punto de conexión dentro de una VPC, los logs de este servicio corresponden a los logs del servicio Amazon VPC.  Se debe tener presente que VPC Flow Logs no genera logs de VPC endpoints ni de Network Load Balancers.

Hemos agregado este servicio en el blogpost, ya que brinda la posibilidad de establecer una conexión privada entre su VPC y Amazon CloudWatch Logs. Así, puede utilizar esta conexión para enviar logs a Amazon CloudWatch Logs sin tener que enviarlos a través de internet.  Para lograrlo, puede seguir las instrucciones en este enlace:

Uso de Amazon CloudWatch Logs con Interface VPC Endpoints

 

AWS App Mesh

AWS App Mesh es una malla de servicios que proporciona redes de nivel de aplicación para facilitar la comunicación entre servicios a través de diversos tipos de infraestructura informática. Cuando crea nodos virtuales, tiene la opción de configurar los logs de acceso de Envoy y enviarlos a nivel del contenedor a /dev/stdout, adicionalmente puede exportarlos a un servicio de procesamiento y almacenamiento de logs como CloudWatch Logs utilizando controladores de logs estándar de Docker, como awslogs. Estos logs son útiles para obtener información sobre la comunicación de Envoy con App Mesh y el tráfico entre servicios.

¿Qué se registra?

Logs de acceso y logs de proxy.

¿A dónde van?
/dev/stdout — mezclado con los logs de contenedores de Envoy.

¿Están habilitados de forma predeterminada?

No.

¿Cómo habilitar?
App Mesh observability

 

AWS Cloud Map

AWS Cloud Map es un servicio de detección de recursos en la nube. Con Cloud Map puede definir nombres personalizados para los recursos de su aplicación, y mantiene la ubicación actualizada de estos recursos que cambian dinámicamente. Esto aumenta la disponibilidad de su aplicación porque su servicio web siempre detecta las últimas ubicaciones de los recursos.

¿Qué se registra?

CloudTrail registra la mayoría de las acciones de AWS Cloud Map. Por ejemplo, las llamadas a las acciones CreateHttpNamespace, DeleteService y RegisterInstance generan entradas en los archivos de logs de CloudTrail. (CloudTrail no captura llamadas a la API de AWS Cloud Map DiscoverInstances).

¿A dónde van?

AWS CloudTrail.

¿Están habilitados de forma predeterminada?

Sí.

¿Cómo habilitar?

No aplica.

 

AWS Direct Connect

AWS Direct Connect es una solución de servicios en la nube que facilita el establecimiento de una conexión de red dedicada entre un entorno on-premises y AWS. Con AWS Direct Connect, establece una conexión privada entre AWS y el centro de datos, la oficina o el entorno de co-location. Esto puede aumentar el rendimiento del ancho de banda y proporcionar una experiencia de red más coherente que las conexiones basadas en internet.

AWS Direct Connect está integrado en AWS CloudTrail. AWS CloudTrail registra todas las acciones de AWS Direct Connect, que están documentadas en la AWS Direct Connect API Reference. Por ejemplo, las llamadas a las acciones CreateConnection y CreatePrivateVirtualInterface generan entradas en los archivos de log de CloudTrail. Cada entrada de log o evento contiene información acerca de quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente: Si la solicitud se realizó con credenciales de usuario root o de AWS Identity and Access Management (IAM). Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado. Si la solicitud la realizó otro servicio de AWS.

¿Qué se registra?

Mediante la información que recopila CloudTrail, se puede determinar la solicitud que se envió a AWS Direct Connect, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo la realizó y los detalles adicionales.

¿A dónde van?

AWS CloudTrail

¿Están habilitados de forma predeterminada?

Si.

¿Cómo habilitar?

No aplica.

 

AWS Global Accelerator

AWS Global Accelerator es un servicio de redes que envía el tráfico del usuario a través de la infraestructura de red de Amazon Web Services, lo que mejora hasta en un 60 % el rendimiento del usuario de Internet. Cuando Internet se congestiona, las mejoras de enrutamiento automático de Global Accelerator lo ayudarán a mantener un nivel bajo de pérdida de datos, fluctuación y latencia.

Los logs de flujo de AWS Global Accelerator proporcionan registros detallados sobre el tráfico que fluye a través de un acelerador hasta un endpoint. Los logs de flujo son útiles para muchas aplicaciones. Por ejemplo, la información de los logs de flujo puede ser útil en auditorías de seguridad y acceso.

¿Qué se registra?

Logs de flujo:  información sobre el tráfico IP que va hacia y desde las interfaces de red del acelerador de AWS Global Accelerator.

Logs de actividad:  todas las acciones de Global Accelerator.

¿A dónde van?

Los logs de flujo van a Amazon S3.

Los logs de actividad van a AWS CloudTrail.

¿Están habilitados de forma predeterminada?

Los logs de flujo pueden habilitarse.

Los logs de actividad están habilitados de forma predeterminada.

¿Cómo habilitar?

Logs de flujo en AWS Global Accelerator

 

AWS Transit Gateway

AWS Transit Gateway conecta las VPC y las redes on-premises a través de un hub central. Esto simplifica su red y pone fin a las complejas relaciones de peering. Actúa como un enrutador en la nube: cada conexión nueva se realiza solo una vez.

¿Qué se registra?

VPC Flow Logs: Información detallada sobre el tráfico que va a y desde las VPC que están conectadas a sus puertas de enlace de tránsito.

CloudTrail:  Todas las acciones de administración.

¿A dónde van?

VPC Flow Logs van hacia Amazon CloudWatch Logs o hacia Amazon S3.

CloudTrail.

¿Están habilitados de forma predeterminada?

VPC Flow Logs no se encuentran habilitados de forma predeterminada.

CloudTrail sí está habilitado de forma predeterminada.

¿Cómo habilitar?

CloudTrail no aplica.

Logs de flujo de VPC:

 

AWS Elastic Load Balancing (AWS ELB)

Elastic Load Balancing distribuye automáticamente el tráfico entrante de las aplicaciones, a través de varios destinos, tales como las instancias de Amazon EC2, los contenedores, las direcciones IP, las funciones Lambda y los appliances virtuales. Puede controlar la carga variable del tráfico de su aplicación en una única zona o en varias zonas de disponibilidad. Elastic Load Balancing ofrece cuatro tipos de balanceadores de carga que cuentan con el nivel necesario de alta disponibilidad, escalabilidad automática y seguridad para que sus aplicaciones sean tolerantes a errores:

  • Application Load Balancer (ALB)
  • Network Load Balancer (NLB)
  • Gateway Load Balancer (GWLB)
  • Classic Load Balancer

Elastic Load Balancing publica un archivo de log por cada nodo del balanceador de carga cada 5 minutos. La entrega de logs presenta consistencia final y además el balanceador de carga puede entregar varios logs para el mismo periodo. Esto suele ocurrir si el tráfico del sitio es elevado. Cada entrada de log contiene los detalles de una única solicitud (o conexión, en el caso de WebSockets) realizada al balanceador de carga. Para WebSockets, la entrada no se escribe hasta que se ha cerrado la conexión. Si la conexión actualizada no se puede establecer, la entrada será la misma que para una solicitud HTTP o HTTPS.

¿Qué se registra? 

Elastic Load Balancing registra las solicitudes enviadas al balanceador de carga, incluidas las que no han llegado a los destinos. Por ejemplo, si un cliente envía una solicitud con un formato incorrecto o no hay ningún destino en buen estado para responder, la solicitud se registra igualmente. Elastic Load Balancing no registra las solicitudes de comprobación de estado.

¿A dónde van? 

Amazon S3. Cada archivo de logs de acceso se cifra automáticamente mediante SSE-S3 antes de que se almacene en su bucket de Amazon S3 y se descifra al acceder al mismo. No es necesario que haga nada; el cifrado y descifrado se realizan de forma transparente. Cada archivo de logs se cifra con una clave única, que a su vez se cifra con una clave maestra que se rota periódicamente.

¿Están habilitados de forma predeterminada?
No.

¿Cómo habilitar?
Logs de acceso del Balanceador de carga de aplicaciones (ALB)

(El proceso es similiar para los demás tipos de ELB)

 

Almacenamiento

 

Amazon Simple Storage Service (Amazon S3)

Amazon Simple Storage Service (Amazon S3)  es un servicio de almacenamiento de objetos que ofrece escalabilidad, disponibilidad de datos, seguridad y rendimiento líderes en el sector. Gracias a Amazon S3, clientes de todos los tipos y sectores pueden almacenar y proteger cualquier volumen de datos para los más variados fines, como usarlos en lagos de datos, sitios web, aplicaciones móviles, procesos de copia de seguridad y restauración, operaciones de archivado, aplicaciones empresariales, dispositivos IoT y análisis de big data.

Puede registrar las acciones que realizan los usuarios, roles o servicios de AWS en recursos de Amazon S3 y mantener logs para fines de auditoría y conformidad. Para ello, puede utilizar los logs de acceso al servidor, los logs de AWS CloudTrail, o una combinación de ambos. En el enlace Opciones de registro para Amazon S3 puede encontrar una tabla comparativa entre las propiedades de estas opciones de logs de Amazon S3.

Los logs de acceso al servidor brindan información detallada para las solicitudes realizadas a un bucket. Los registros de acceso al servidor resultan útiles para muchas aplicaciones. Por ejemplo, la información del registro de acceso puede ser útil en auditorías de acceso y seguridad. También puede ayudarle a conocer mejor su base de clientes y entender su factura de Amazon S3.

¿Qué se registra?

Logs de acceso al servidor: campos para Object Size, Total Time, Turn-Around Time y HTTP Referer ; transiciones del ciclo de vida, finalizaciones, restauraciones; registro de claves en una operación de eliminación por lotes; errores de autenticación.

CloudTrail: llamadas a la API de Amazon S3.

¿A dónde van?

Hacia otro bucket de Amazon S3.

¿Están habilitados de forma predeterminada?

Los logs de acceso al servidor no están habilitados de forma predeterminada.

Los logs de CloudTrail sí están habilitados por defecto.

¿Cómo habilitar?

Logs de solicitudes mediante logs de acceso al servidor

No aplica para los logs de AWS CloudTrail.

 

Amazon Elastic Block Storage (Amazon EBS)

Amazon Elastic Block Store (EBS) es un servicio de almacenamiento de bloque de alto rendimiento fácil de usar, diseñado para usar con Amazon Elastic Compute Cloud (EC2) tanto en cargas de trabajo intensivas de rendimiento como de transacciones, a cualquier escala. En Amazon EBS se implementa una amplia gama de cargas de trabajo, como bases de datos relacionales y no relacionales, aplicaciones empresariales, aplicaciones en contenedores, motores de análisis de big data, sistemas de archivos y flujos de trabajo de contenido multimedia.

Amazon EC2 y Amazon EBS se integran con AWS CloudTrail, donde se registran las acciones realizadas por un usuario, un rol o un servicio de AWS en Amazon EC2 y Amazon EBS. AWS CloudTrail captura todas las llamadas API para Amazon EC2 y Amazon EBS como eventos, incluidas las llamadas desde la consola y las llamadas de código a las API.

¿Qué se registra?

Todas las acciones de Amazon EC2, y las acciones de administración de Amazon EBS.

¿A dónde van?

AWS CloudTrail.

¿Están habilitados de forma predeterminada?

Sí.

¿Cómo habilitar?

No aplica.

 

Amazon Elastic File System (Amazon EFS) y Amazon FSx

Amazon Elastic File System (Amazon EFS) ofrece un sistema de archivos elástico, sencillo, sin servidor, y que permite compartir datos de archivos sin necesidad de aprovisionar o administrar el almacenamiento. Se puede utilizar con los servicios en la nube de AWS y con los recursos on-premises y está diseñado para escalar bajo demanda a petabytes sin interrumpir las aplicaciones. Con Amazon EFS puede incrementar o reducir los sistemas de archivos automáticamente a medida que agrega y quita archivos, lo que elimina la necesidad de aprovisionar y administrar la capacidad para dar lugar al crecimiento.

Amazon FSx hace que sea fácil y rentable lanzar y ejecutar sistemas de archivos populares que son totalmente gestionados por AWS. Con Amazon FSx, puede aprovechar los completos conjuntos de funciones y el rápido rendimiento de los sistemas de archivos ampliamente utilizados de código abierto y con licencia comercial, al tiempo que evita tareas administrativas que requieren mucho tiempo, como el aprovisionamiento de hardware, la configuración del software, la aplicación de parches y las copias de seguridad. Proporciona una capacidad rentable con altos niveles de fiabilidad y se integra con una amplia cartera de servicios de AWS para permitir una innovación más rápida.

Amazon FSx ofrece dos sistemas de archivos entre los que elegir: Amazon FSx for Windows File Server para aplicaciones empresariales y Amazon FSx for Lustre para cargas de trabajo que requieren un uso intensivo de computación.

¿Qué se registra?

Puede utilizar Amazon CloudWatch Logs para monitorear, almacenar y acceder a sus archivos de logs de EFS.

Todas las llamadas a las APIs de EFS y de FSx son registradas en los logs de CloudTrail.

Amazon FSX for Windows File Server admite auditar el acceso del usuario final a archivos, carpetas y recursos compartidos de archivos. Esto le permite consultar, procesar, almacenar y archivar registros y activar acciones para avanzar aún más en sus objetivos de seguridad y cumplimiento.

¿A dónde van?

Amazon EFS envía logs a Amazon CloudWatch Logs y a CloudTrail.

Amazon FSx envía logs a CloudTrail.

Sesiones de usuario y archivos abiertos en Amazon FSx for Windows File Server se envían a Amazon CloudWatch Logs o a Amazon Kinesis Data Firehose.

¿Están habilitados de forma predeterminada?

Los logs de AmazonEFS a Amazon CloudWatch Logs no están habilitados por defecto.

Los logs de AmazonEFS y de Amazon FSx a CloudTrail sí están habilitados de forma predeterminada.

Los logs de sesiones de usuario y archivos abiertos no están habilitados por defecto.

¿Cómo habilitar?

Logs de Amazon EFS a Amazon CloudWatch Logs: ¿Cómo superviso el estado de montaje de mi sistema de archivos EFS?

Logs de sesiones de usuario y archivos abiertos de FSx for Windows File Server:

 

Amazon S3 Glacier

Amazon S3 Glacier y S3 Glacier Deep Archive es una clase de almacenamiento de Amazon S3 segura, duradera y de bajo costo para archivar datos y hacer copias de seguridad a largo plazo. Con S3 Glacier, puede almacenar sus datos por un precio muy económico durante meses, años o incluso décadas. S3 Glacier permite trasladar a AWS las cargas administrativas que supone tener que utilizar y escalar el almacenamiento para que no tengan que preocuparse por la planificación de la capacidad, el aprovisionamiento de hardware, la replicación de los datos, la detección y reparación de errores de hardware o las migraciones de hardware.

¿Qué se registra?

CloudTrail registra todas las acciones de S3 Glacier. Por ejemplo, las llamadas a las acciones de Create Vault (PUT vault), Delete Vault (DELETE vault), y List Vaults (GET vaults)  generan entradas en los archivos de log de CloudTrail.

¿A dónde van?

AWS CloudTrail.

¿Están habilitados de forma predeterminada?

Sí. Los logs de AWS CloudTrail se encuentran habilitados por defecto.

¿Cómo habilitar?

No aplica.

 

AWS Backup

AWS Backup le permite centralizar y automatizar la protección de datos entre servicios de AWS. Con AWS Backup, junto con AWS Organizations, puede implementar políticas de protección de datos (copia de seguridad) de forma centralizada para configurar, gestionar y controlar la actividad de copias de seguridad en todas las cuentas y recursos de AWS de su organización, incluidos instancias de Amazon Elastic Compute Cloud (Amazon EC2), volúmenes de Amazon Elastic Block Store (Amazon EBS), bases de datos de Amazon Relational Database Service (RDS) (incluidos clústeres de Amazon Aurora), tablas de Amazon DynamoDB, Amazon Elastic File System (EFS), Amazon FSx for Lustre, Amazon FSx for Windows File Server y volúmenes de AWS Storage Gateway.

¿Qué se registra? 

Cuando se produce una actividad en AWS Backup, dicha actividad se registra en un evento de CloudTrail. AWS Backup genera estos eventos de CloudTrail cuando realiza copias de seguridad, restauraciones o copias: BackupDeleted, BackupJobCompleted, BackupJobStarted, BackupSelectionDeletedDueToSLRDeletion, BackupTransitionedToCold, CopyJobCompleted, CopyJobStarted, RestoreCompleted, RestoreStarted. Estos eventos no se generan necesariamente mediante el uso de las API públicas de AWS Backup. Más bien, se generan a través de AWS Backup que ejecuta sus trabajos de forma asíncrona.

¿A dónde van?

AWS CloudTrail.

¿Están habilitados de forma predeterminada?

Sí.

¿Cómo habilitar?

No aplica.

 

AWS Storage Gateway

AWS Storage Gateway es un servicio de almacenamiento en la nube híbrida que le brinda acceso desde on-premises al almacenamiento en la nube prácticamente ilimitado.  Los casos de uso incluyen la migración de copias de seguridad a la nube, el uso de archivos compartidos en las instalaciones respaldados por el almacenamiento en la nube y el acceso de baja latencia a los datos en AWS para las aplicaciones on-premises.  Para dar soporte a estos casos de uso, Storage Gateway ofrece cuatro tipos diferentes de gateways: Amazon S3 File Gateway, Amazon FSx File Gateway, Tape Gateway y Volume Gateway.

AWS Storage Gateway está integrado con AWS CloudTrail, un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un servicio de AWS en Storage Gateway. Adicionalmente, puede configurar un file gateway, volume gateway o tape gateway con un log group de Amazon CloudWatch Logs.

¿Qué se registra?

AWS CloudTrail captura todas las llamadas a la API de Storage Gateway como eventos. Las llamadas capturadas incluyen las llamadas realizadas desde la consola de Storage Gateway y las llamadas de código a las operaciones de la API de Storage Gateway.

Puede recibir información sobre el estado del gateway y sobre los errores que encuentre el gateway en Amazon CloudWatch Logs.

¿A dónde van?

AWS CloudTrail.

Amazon CloudWatch Logs en el caso de estado y errores del gateway.

¿Están habilitados de forma predeterminada?

Si. Los logs de CloudTrail sí se encuentran habilitados por defecto.

Puede configurar un gateway para enviar logs a Amazon CloudWatch Logs.

¿Cómo habilitar?

No aplica para AWS CloudTrail.

Para Amazon CloudWatch Logs:

 

CloudEndure DR

Los desastres vinculados con TI, como los errores en los centros de datos, los daños en los servidores o los ataques cibernéticos no solo pueden interrumpir las operaciones comerciales, sino también provocar pérdida de datos, afectar los ingresos y dañar su reputación. CloudEndure Disaster Recovery minimiza el tiempo de inactividad y la pérdida de datos mediante la recuperación rápida y fiable en AWS, de servidores físicos y virtuales on-premises o en co-location, y basados en cualquier nube.

Puede usar CloudEndure Disaster Recovery para proteger las bases de datos más importantes, incluidas Oracle, MySQL y SQL Server, así como las aplicaciones empresariales, tales como SAP.

CloudEndure Disaster Recovery replica continuamente sus máquinas (incluidos sistemas operativos, configuraciones de estados de sistemas, bases de datos, aplicaciones y archivos) en un área de ensayo de bajo costo en su cuenta de AWS objetivo y su región preferida. En caso de que ocurra un desastre, puede indicarle a CloudEndure Disaster Recovery que inicie automáticamente miles de máquinas en el estado de aprovisionamiento completo en minutos.

¿Qué se registra?

El Event Log de CloudEndure contiene información sobre:

  • El nombre de cada evento individual.
  • Hora en la que se produjo ese evento.
  • Nombre de usuario del usuario que inició el evento.
  • Una breve descripción del evento.

¿A dónde van?

Event Log de CloudEndure.

¿Están habilitados de forma predeterminada?

Sí.

¿Cómo habilitar?

No aplica.

 

Conclusiones

Los logs contienen parte de la información más valiosa que puede recopilar y analizar sobre su infraestructura y aplicaciones. En medio de su contenido aparentemente aleatorio, puede haber trazas sobre el rendimiento, la seguridad, errores en el código, patrones de acceso y otros datos operativos donde con la implementación de buenas prácticas, pueden convertirse en la fuente número uno de información operativa y de negocio y mejorar la postura de seguridad en su organización. En este blogpost hemos presentado los principales aspectos de logging, como por ejemplo qué información se registra, a dónde van los logs, si están habilitados de forma predeterminada o no, y enlaces hacia los principales mecanismos de configuración para los servicios de bases de datos, gestión y gobernanza, redes y entrega de contenido, y almacenamiento.  En la siguiente entrega de este blogpost presentaremos estos aspectos para otras categorías de servicios de AWS.

En AWS, se pueden gestionar los logs con herramientas como AWS CloudTrail y Amazon CloudWatch Logs principalmente. Esto hace que la curva de aprendizaje para gestionar los logs de un servicio sea muy accesible y que se pueda replicar para muchos más, acelerando así la productividad de los equipos.

 


Sobre los autores

Giovanni Rodríguez es Arquitecto de Soluciones en Amazon Web Services para el Sector Público.  Giovanni ha ayudado a múltiples entidades de gobierno, organizaciones no gubernamentales, y empresas privadas, en Latinoamérica, a cumplir con sus misiones y objetivos de negocio.  Le apasionan los temas de cloud, seguridad de la información, y analítica.

 

 

 

Jhon Guzmán es Arquitecto de Soluciones de Partners en Amazon Web Services para el Sector Público. Jhon ha ayudado a múltiples socios de negocio de AWS en Latinoamérica para la adopción de nuevas tecnologías e implementación de soluciones cloud en sus clientes.

 

 

 

 

Revisores Técnicos

 

Matias “Lechu” Siri es Arquitecto de Soluciones de Partners en Amazon Web Services. Lechu ha ayudado a múltiples AWS Partners en Latinoamérica para la adopción de nuevas tecnologías e implementación de soluciones cloud en sus clientes.

 

 

 

 

Guillaume Cecchin es Arquitecto de Soluciones en Amazon Web Services para el Sector Público. Guillaume ha ayudado a múltiples entidades de gobierno y educación, en Latinoamérica, a cumplir con sus misiones y objetivos de negocio. Le apasionan los temas de cloud, base de datos, y contact center de nueva generación.