Monitoreo y auditoría con CloudWatch y CloudTrail

La observabilidad en AWS empieza con logs, sigue con métricas y culmina en alarmas que alertan sobre lo que ocurre en la aplicación y en la infraestructura. Con CloudWatch y CloudTrail podrás monitorear servicios como Lambda y auditar acciones en tu cuenta para mantener la seguridad bajo control.

Observabilidad: de logs a métricas y alarmas

La base son los logs, a partir de los cuales se generan métricas y, con ellas, alarmas que informan del estado de la aplicación y de los sistemas en AWS. No basta con mirar “dentro” del código: también es clave entender lo que pasa en la cuenta de AWS con múltiples desarrolladores.

¿Por qué los logs son la base de la observabilidad?

• Permiten convertir eventos en métricas accionables.
• Centralizan lo ocurrido en servicios como Lambda.
• Facilitan correlacionar cambios con incidentes.

¿Qué rol juegan las alarmas en la seguridad?

• Alertan sobre comportamientos inesperados.
• Acortan el tiempo de detección de fallos.
• Orientan la respuesta ante incidentes.

CloudWatch: monitoreo, dashboards y métricas de Lambda

CloudWatch es un sistema completo de monitoreo. Además de logs (integrados de forma sencilla con Lambdas), ofrece dashboards y métricas predefinidas por AWS. En Lambda, por ejemplo, hay “cuarenta y siete métricas” disponibles por defecto, organizadas por recurso, nombre de función o para todas las funciones.

¿Qué encuentras en los log groups de CloudWatch?

• Log groups por servicio, como Authorizer, GetMetrics o HandleGitHubWebhook.
• Registros listos para análisis y creación de métricas.
• Integración directa con funciones Lambda.

¿Cómo explorar las métricas de Lambda en CloudWatch?

• Revisa las métricas predefinidas por AWS para Lambda.
• Identifica la métrica Invocaciones y su descripción.
• Filtra por recurso, nombre de función o el conjunto de funciones.

¿Puedes crear métricas personalizadas según tus necesidades?

• Sí, además de las predefinidas de AWS.
• Son útiles cuando los logs exponen eventos específicos del negocio.
• Complementan el monitoreo de la aplicación.

CloudTrail: auditoría de cuentas y rastreo de eventos

Para auditar qué ocurre en la cuenta, CloudTrail registra llamadas a las APIs de AWS. Nota importante: tiene pricing y no está incluido en el free trial. Aun así, su rastro de eventos es esencial para saber quién hizo qué y cuándo.

¿Cómo crear un trail y dónde se guardan los logs?

• Asigna un nombre, por ejemplo, “Management Services”.
• Crea un bucket de S3 para almacenar los logs.
• Habilita la integración con otros servicios para enviar mensajes de texto, emails o activar sistemas.

¿Qué opciones activar para integridad e integración?

• Define un alias de KMS, por ejemplo, “CloudTrail KMS”.
• Activa Log File Validation para validar integridad de archivos.
• Habilita CloudWatch Logs para centralizar y consultar.
• Deja los management events activos, con lectura y escritura.

¿Cómo verificar cambios con Event history?

• Abre Event history para ver todo lo ejecutado en la cuenta.
• Realiza un cambio identificable en EC2 → Security Groups.
• Edita el Security Group de la base de datos y elimina la regla de acceso desde tu IP.
• Guarda los cambios y vuelve a Event history.
• Observa el evento RevokeSecurityGroupIngress, con detalles de qué ocurrió, quién lo hizo (por ejemplo, “mlenis”) y en qué recurso de EC2.

Con CloudTrail podrás responder preguntas clave: qué pasó, quién lo hizo y cuándo. Y con CloudWatch tendrás métricas y dashboards para entender el impacto operativo. Juntas, estas herramientas sostienen una estrategia de observabilidad y auditoría efectiva.

¿Tienes dudas o quieres compartir cómo monitoreas y auditas en AWS? Deja tu comentario y conversemos sobre buenas prácticas.