La observabilidad en AWS empieza con logs, sigue con métricas y culmina en alarmas que alertan sobre lo que ocurre en la aplicación y en la infraestructura. Con CloudWatch y CloudTrail podrás monitorear servicios como Lambda y auditar acciones en tu cuenta para mantener la seguridad bajo control.
Observabilidad: de logs a métricas y alarmas
La base son los logs, a partir de los cuales se generan métricas y, con ellas, alarmas que informan del estado de la aplicación y de los sistemas en AWS. No basta con mirar “dentro” del código: también es clave entender lo que pasa en la cuenta de AWS con múltiples desarrolladores.
¿Por qué los logs son la base de la observabilidad?
- Permiten convertir eventos en métricas accionables.
- Centralizan lo ocurrido en servicios como Lambda.
- Facilitan correlacionar cambios con incidentes.
¿Qué rol juegan las alarmas en la seguridad?
- Alertan sobre comportamientos inesperados.
- Acortan el tiempo de detección de fallos.
- Orientan la respuesta ante incidentes.
CloudWatch: monitoreo, dashboards y métricas de Lambda
CloudWatch es un sistema completo de monitoreo. Además de logs (integrados de forma sencilla con Lambdas), ofrece dashboards y métricas predefinidas por AWS. En Lambda, por ejemplo, hay “cuarenta y siete métricas” disponibles por defecto, organizadas por recurso, nombre de función o para todas las funciones.
¿Qué encuentras en los log groups de CloudWatch?
- Log groups por servicio, como Authorizer, GetMetrics o HandleGitHubWebhook.
- Registros listos para análisis y creación de métricas.
- Integración directa con funciones Lambda.
¿Cómo explorar las métricas de Lambda en CloudWatch?
- Revisa las métricas predefinidas por AWS para Lambda.
- Identifica la métrica Invocaciones y su descripción.
- Filtra por recurso, nombre de función o el conjunto de funciones.
¿Puedes crear métricas personalizadas según tus necesidades?
- Sí, además de las predefinidas de AWS.
- Son útiles cuando los logs exponen eventos específicos del negocio.
- Complementan el monitoreo de la aplicación.
CloudTrail: auditoría de cuentas y rastreo de eventos
Para auditar qué ocurre en la cuenta, CloudTrail registra llamadas a las APIs de AWS. Nota importante: tiene pricing y no está incluido en el free trial. Aun así, su rastro de eventos es esencial para saber quién hizo qué y cuándo.
¿Cómo crear un trail y dónde se guardan los logs?
- Asigna un nombre, por ejemplo, “Management Services”.
- Crea un bucket de S3 para almacenar los logs.
- Habilita la integración con otros servicios para enviar mensajes de texto, emails o activar sistemas.
¿Qué opciones activar para integridad e integración?
- Define un alias de KMS, por ejemplo, “CloudTrail KMS”.
- Activa Log File Validation para validar integridad de archivos.
- Habilita CloudWatch Logs para centralizar y consultar.
- Deja los management events activos, con lectura y escritura.
¿Cómo verificar cambios con Event history?
- Abre Event history para ver todo lo ejecutado en la cuenta.
- Realiza un cambio identificable en EC2 → Security Groups.
- Edita el Security Group de la base de datos y elimina la regla de acceso desde tu IP.
- Guarda los cambios y vuelve a Event history.
- Observa el evento RevokeSecurityGroupIngress, con detalles de qué ocurrió, quién lo hizo (por ejemplo, “mlenis”) y en qué recurso de EC2.
Con CloudTrail podrás responder preguntas clave: qué pasó, quién lo hizo y cuándo. Y con CloudWatch tendrás métricas y dashboards para entender el impacto operativo. Juntas, estas herramientas sostienen una estrategia de observabilidad y auditoría efectiva.
¿Tienes dudas o quieres compartir cómo monitoreas y auditas en AWS? Deja tu comentario y conversemos sobre buenas prácticas.
