CloudWatch

CloudWatch coleta monitoramento e dados operacionais na forma de logs/métricas/eventos fornecendo uma visão unificada dos recursos da AWS, aplicativos e serviços. Os Eventos de Log do CloudWatch têm uma limitação de tamanho de 256KB em cada linha de log. Ele pode definir alarmes de alta resolução, visualizar logs e métricas lado a lado, tomar ações automatizadas, solucionar problemas e descobrir insights para otimizar aplicativos.

Você pode monitorar, por exemplo, logs do CloudTrail. Eventos que são monitorados:

• Alterações em Grupos de Segurança e NACLs

• Iniciando, Parando, reiniciando e terminando instâncias EC2

• Alterações em Políticas de Segurança dentro do IAM e S3

• Tentativas de login malsucedidas no Console de Gerenciamento da AWS

• Chamadas de API que resultaram em autorização falhada

• Filtros para pesquisar no cloudwatch: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

Logs do CloudWatch

Permite agregar e monitorar logs de aplicativos e sistemas de serviços da AWS (incluindo CloudTrail) e de aplicativos/sistemas (o Agente CloudWatch pode ser instalado em um host). Os logs podem ser armazenados indefinidamente (dependendo das configurações do Grupo de Logs) e podem ser exportados.

Elementos:

Monitoramento e Eventos do CloudWatch

O CloudWatch básico agrega dados a cada 5 minutos (o detalhado faz isso a cada 1 minuto). Após a agregação, ele verifica os limites dos alarmes no caso de precisar acionar um. Nesse caso, o CloudWatch pode estar preparado para enviar um evento e realizar algumas ações automáticas (funções AWS lambda, tópicos SNS, filas SQS, fluxos Kinesis)

Instalação do Agente

Você pode instalar agentes em suas máquinas/contêineres para enviar automaticamente os logs de volta para o CloudWatch.

• Crie uma função e anexe a ela a instância com permissões que permitam ao CloudWatch coletar dados das instâncias, além de interagir com o AWS Systems Manager SSM (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)

• Baixe e instale o agente na instância EC2 (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Você pode baixá-lo de dentro da EC2 ou instalá-lo automaticamente usando o AWS System Manager selecionando o pacote AWS-ConfigureAWSPackage

• Configure e inicie o Agente CloudWatch

Um grupo de logs tem muitos fluxos. Um fluxo tem muitos eventos. E dentro de cada fluxo, os eventos são garantidos a estar em ordem.

Ações

Enumeração

# Dashboards
aws cloudwatch list-dashboards
aws cloudwatch get-dashboard --dashboard-name <dashboard_name>

# Alarms
aws cloudwatch describe-alarms
aws cloudwatch describe-alarm-history
aws cloudwatch describe-alarms-for-metric --metric-name <metric_name> --namespace <namespace>
aws cloudwatch describe-alarms-for-metric --metric-name IncomingLogEvents --namespace AWS/Logs

# Anomaly Detections
aws cloudwatch describe-anomaly-detectors
aws cloudwatch describe-insight-rules

# Logs
aws logs tail "<log_group_name>" --follow
aws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# Events enumeration
aws events list-rules
aws events describe-rule --name <name>
aws events list-targets-by-rule --rule <name>
aws events list-archives
aws events describe-archive --archive-name <name>
aws events list-connections
aws events describe-connection --name <name>
aws events list-endpoints
aws events describe-endpoint --name <name>
aws events list-event-sources
aws events describe-event-source --name <name>
aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Referências

• https://cloudsecdocs.com/aws/services/logging/cloudwatch/