CloudWatch

CloudWatch recopila datos de monitoreo y operativos en forma de registros/métricas/eventos proporcionando una vista unificada de los recursos de AWS, aplicaciones y servicios. Los eventos de registro de CloudWatch tienen una limitación de tamaño de 256KB en cada línea de registro. Puede establecer alarmas de alta resolución, visualizar registros y métricas lado a lado, tomar acciones automatizadas, solucionar problemas y descubrir información para optimizar aplicaciones.

Se pueden monitorear, por ejemplo, registros de CloudTrail. Eventos que se monitorean:

• Cambios en Grupos de Seguridad y NACLs

• Inicio, detención, reinicio y terminación de instancias EC2

• Cambios en Políticas de Seguridad dentro de IAM y S3

• Intentos de inicio de sesión fallidos en la Consola de Administración de AWS

• Llamadas a la API que resultaron en autorización fallida

• Filtros para buscar en CloudWatch: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

Registros de CloudWatch

Permite agregar y monitorear registros de aplicaciones y sistemas de servicios de AWS (incluido CloudTrail) y de aplicaciones/sistemas (el Agente de CloudWatch se puede instalar en un host). Los registros se pueden almacenar indefinidamente (según la configuración del Grupo de Registros) y se pueden exportar.

Elementos:

Monitoreo y Eventos de CloudWatch

CloudWatch básico agrega datos cada 5 minutos (el detallado lo hace cada 1 minuto). Después de la agregación, verifica los umbrales de las alarmas en caso de que necesite activar una. En ese caso, CloudWatch puede estar preparado para enviar un evento y realizar algunas acciones automáticas (funciones Lambda de AWS, temas SNS, colas SQS, flujos de Kinesis)

Instalación del Agente

Puedes instalar agentes dentro de tus máquinas/contenedores para enviar automáticamente los registros de vuelta a CloudWatch.

• Crea un rol y asócialo a la instancia con permisos que permitan a CloudWatch recopilar datos de las instancias además de interactuar con el administrador de sistemas de AWS SSM (CloudWatchAgentAdminPolicy y AmazonEC2RoleforSSM)

• Descarga e instala el agente en la instancia EC2 (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Puedes descargarlo desde dentro de la EC2 o instalarlo automáticamente usando AWS System Manager seleccionando el paquete AWS-ConfigureAWSPackage

• Configura y inicia el Agente de CloudWatch

Un grupo de registros tiene muchos flujos. Un flujo tiene muchos eventos. Y dentro de cada flujo, los eventos están garantizados de estar en orden.

Acciones

Enumeración

# Dashboards
aws cloudwatch list-dashboards
aws cloudwatch get-dashboard --dashboard-name <dashboard_name>

# Alarms
aws cloudwatch describe-alarms
aws cloudwatch describe-alarm-history
aws cloudwatch describe-alarms-for-metric --metric-name <metric_name> --namespace <namespace>
aws cloudwatch describe-alarms-for-metric --metric-name IncomingLogEvents --namespace AWS/Logs

# Anomaly Detections
aws cloudwatch describe-anomaly-detectors
aws cloudwatch describe-insight-rules

# Logs
aws logs tail "<log_group_name>" --follow
aws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# Events enumeration
aws events list-rules
aws events describe-rule --name <name>
aws events list-targets-by-rule --rule <name>
aws events list-archives
aws events describe-archive --archive-name <name>
aws events list-connections
aws events describe-connection --name <name>
aws events list-endpoints
aws events describe-endpoint --name <name>
aws events list-event-sources
aws events describe-event-source --name <name>
aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Referencias

• https://cloudsecdocs.com/aws/services/logging/cloudwatch/