Ir al contenido principal

AWS CloudTrail vs AWS CloudWatch: Guía para principiantes

Explora las principales diferencias entre AWS CloudTrail y AWS CloudWatch. Ambos son sistemas de registro en AWS con objetivos ligeramente diferentes.
Actualizado 28 nov 2024  · 10 min de lectura

Amazon Web Services (AWS) ofrece muchas herramientas de registro diseñadas para ayudar a las organizaciones a supervisar, gestionar y proteger su infraestructura en la nube. Hay herramientas que se centran en auditar el cumplimiento (CloudTrail), las métricas de recursos (CloudWatch), el registro de redes (VPC Flow) y los registros de aplicaciones (X-Ray). 

Estos servicios ofrecen a los usuarios información sobre diferentes partes de su ecosistema AWS y les permiten tomar decisiones informadas sobre la gestión de sus servicios. De ellas, AWS CloudTrail y AWS CloudWatch tienen algunas de las características más "críticas", como la conformidad y la monitorización de recursos.

Estos dos sistemas contemplan necesidades esenciales diferentes: CloudTrail se centra en la gobernanza, la auditoría y el cumplimiento, mientras que CloudWatch se dedica a la supervisión del rendimiento y la eficiencia operativa. 

En este artículo, profundizaremos en los detalles específicos de los servicios CloudTrail frente a CloudWatch, exploraremos sus casos de uso y aclararemos sus diferencias clave para ayudarte a comprender cómo aprovecharlos eficazmente. Para obtener información sobre algunos de los otros mecanismos de registro y gestión de AWS, consulta nuestra hoja de trucos que compara los componentes de los servicios en la nube.

¿Qué es AWS CloudWatch?

AWS CloudWatch es un servicio de monitorización diseñado para recopilar y realizar un seguimiento de las métricas sobre los recursos y las aplicaciones que se ejecutan en AWS. CloudWatch garantiza la visibilidad del rendimiento del sistema e incluso tiene funciones de alerta que pueden notificar los problemas a los usuarios. Ofrece monitorización básica (gratuita) y detallada (de pago), según el servicio AWS.

Características principales de AWS CloudWatch

Las principales funciones de CloudWatch son los paneles de control, la recopilación de métricas, la supervisión de registros y las alarmas. Todos ellos se construyen en torno a un conjunto de sistemas de monitorización que examinan distintos componentes del ecosistema de AWS.

1. Recogida y seguimiento de métricas

  • Monitoriza métricas como el uso de la CPU, la utilización de la memoria, la E/S del disco y la actividad de la red en recursos de AWS como EC2, RDS y Lambda.
  • Las métricas suelen almacenarse en un bucket de Amazon EC2 y sirven como repositorio de métricas.

2. Sistemas de control

  • Una variedad de sistemas de supervisión, como la supervisión de aplicaciones, redes e infraestructuras.
  • La monitorización de aplicaciones se centra en la salud de la aplicación, como la latencia, la disponibilidad y los fallos.
  • La Monitorización de Red dispone de Monitor de Internet y Monitor de Red para rastrear tanto el tráfico global (Internet) como la latencia y la pérdida de paquetes híbridos (en las instalaciones con la nube).
  • La monitorización de la infraestructura puede incluir información sobre el uso de recursos de tus contenedores (Amazon Elastic y Kubernetes), como CPU, memoria, etc. También puede realizar un seguimiento de tus aplicaciones AWS Lambda para obtener las mismas métricas.

3. Cuadros de mando en tiempo real

  • Proporciona cuadros de mando personalizables para visualizar el rendimiento y las tendencias del sistema en tiempo real.
  • Puede mostrar las aplicaciones y métricas personalizadas que elijas

Panel de CloudWatch: Documentación de Amazon

4. Alarmas y umbrales

  • Establece alarmas para detectar y responder a anomalías en el rendimiento, activando automáticamente acciones o enviando alertas.
  • Algunas acciones, como lanzar más instancias o detener instancias infrautilizadas.

Casos de uso de AWS CloudWatch

Veamos algunos casos de uso específicos de AWS CloudWatch.

Optimización del rendimiento

AWS CloudWatch ayuda a identificar los cuellos de botella y a optimizar el uso de los recursos. Por ejemplo, Monitor de Internet puede detectar problemas de latencia en una plataforma global de juegos en la nube y recomendar el despliegue de servidores en regiones más óptimas para reducir el retraso.

Alerta automática

Configura alarmas basadas en umbrales predefinidos para el escalado de recursos o la detección de errores. Por ejemplo, cuando no se cumplen los Objetivos de Nivel de Servicio ( SLO) de una aplicación, CloudWatch puede enviar alertas y ofrecer recomendaciones procesables para mejorar las métricas de rendimiento.

Visibilidad continua

Utiliza cuadros de mando para mantener una visión en tiempo real de la salud del sistema. Los paneles son especialmente útiles para realizar un seguimiento del rendimiento de los flujos de datos de servicios como AWSKinesis y AWS Lambda. Una forma estupenda de entender este proceso es este curso sobre Streaming de datos con AWS Kinesis y Lambda, que te lleva en última instancia a crear cuadros de mando con AWS CloudWatch.

¿Qué es AWS CloudTrail?

AWS CloudTrail es un servicio de registro diseñado para rastrear toda la actividad de la API en tu cuenta de AWS, garantizando la rendición de cuentas. Registra las acciones de los usuarios, los cambios en los recursos y las interacciones con los servicios, proporcionando una pista de auditoría inmutable con fines de gobernanza y cumplimiento. Esto es especialmente útil para el cumplimiento de las normas de seguridad y para auditar el comportamiento de los usuarios. Si quieres saber más, consulta este curso sobre Seguridad en AWS y Gestión de Costes.

Características principales de AWS CloudTrail

Las funciones clave de CloudTrail giran en torno a la supervisión de la actividad de los usuarios. Dado que el objetivo de CloudTrail es mantener la responsabilidad y la capacidad de auditoría, tiene sentido que todas las acciones sean supervisadas y almacenadas.

1. Seguimiento de acciones

CloudTrail registra todas las acciones de los usuarios, y este seguimiento exhaustivo es fundamental para comprender el "quién, qué y cuándo" de tu entorno de AWS.

2. Apoyo al cumplimiento

Ayuda a las organizaciones a cumplir requisitos normativos como PCI DSS e HIPAA manteniendo registros del historial de eventos.

En caso de infracción, puede utilizarse para rastrear el momento exacto y la cuenta de usuario implicados en la infracción.

4. Integración con los servicios de AWS

CloudTrail puede enviar registros a S3 para almacenamiento a largo plazo o a Amazon Athena para consultas y análisis. Estas integraciones facilitan el análisis de tendencias o la investigación de anomalías.

Ejemplo de registros de CloudTrail: AWS CloudTrail Blog

Casos de uso de AWS CloudTrail

Hay algunos casos de uso clave para AWS CloudTrail que giran en torno a las auditorías y el seguimiento de la conformidad.

Auditorías de seguridad

CloudTrail permite una auditoría detallada para garantizar el cumplimiento de las normas reglamentarias y las políticas internas. En caso de incidente de seguridad, los registros de CloudTrail proporcionan los detalles necesarios para identificar la causa raíz y evaluar el impacto.

Registros de Auditoría de CloudTrail: Modelo de madurez de la seguridad de AWS

Cambiar la resolución de problemas

Revisando los registros, los equipos pueden rastrear los cambios en los recursos que podrían haber causado un comportamiento inesperado. Esto permite una forma más directa de resolver cualquier futuro problema posterior.

CloudTrail vs. CloudWatch: Diferencias clave

Como ya se ha dicho, tanto CloudTrail como CloudWatch son herramientas de registro fundamentales en el entorno de AWS. Sin embargo, ambos analizan distintos componentes del entorno de AWS y esta sección tratará esas diferencias clave, desde el enfoque hasta el coste.

Enfoque

CloudWatch y CloudTrail se centran en diferentes partes del entorno de AWS.

  • CloudWatch: Supervisa el rendimiento de los recursos y la salud operativa. El objetivo aquí es comprender cómo funcionan los componentes de AWS y si hay o no problemas de latencia, interacción con el cliente o limitaciones de recursos.
  • CloudTrail: Rastrea la actividad de la API para la gobernanza y el cumplimiento. El objetivo es mantener un "rastro de papel" claro para la rendición de cuentas.

Latencia de los datos

CloudWatch tiene una latencia casi nula, mientras que CloudTrail tiene cierta latencia.

  • CloudWatch: Proporciona información casi en tiempo real, con métricas actualizadas cada minuto. Es fundamental disponer de información en tiempo real, ya que CloudWatch debe ser capaz de proporcionar alertas instantáneas o realizar cambios en los recursos según sea necesario.
  • CloudTrail: Registra la actividad de la API con un retraso de unos minutos, centrándose en el análisis histórico. Dado que los registros se utilizan generalmente para consultar acciones históricas, un retraso de unos minutos es aceptable.

Integración

Ambos se integran perfectamente con servicios de AWS como Lambda, S3 y SNS.

  • CloudWatch: Lo mejor para la supervisión operativa y las respuestas automatizadas a las métricas de rendimiento. También puede integrarse con contenedores como Kubernetes, almacenamiento EC2 y otras aplicaciones para obtener un registro más detallado para casos de uso particulares.
  • CloudTrail: Ideal para auditorías de seguridad y seguimiento de las actividades de los usuarios. Se integrará con el almacenamiento EC2 para el almacenamiento de registros.

Coste

Ambos tienen un registro básico gratuito, pero ofrecen un registro avanzado con coste.

  • CloudWatch: El registro básico del uso de recursos, fallos y problemas suele ser gratuito. Un registro más detallado tiene costes basados en el volumen de métricas recogidas, alarmas establecidas y complejidad de los datos almacenados. Las distintas aplicaciones tienen distintos niveles de detalle de registro.
  • CloudTrail: El registro de eventos de gestión es gratuito, pero el registro de eventos de datos y el análisis avanzado conllevan cargos adicionales.

Registro de datos

El modo en que se recopilan y almacenan los registros difiere entre las dos herramientas en función de sus casos de uso únicos.

  • CloudWatch: Los datos se facilitan en tiempo real, pero pueden agregarse en función de los plazos. Como puede no ser necesario un detalle exacto, los datos facilitados se resumen generalmente en la escala de tiempo en que se recogieron.
  • CloudTrail: Con el objetivo de proporcionar pistas de auditoría precisas y detalladas, no agrega la actividad. En su lugar, proporciona información sobre cada acción que se llevó a cabo para crear un esquema claro de acciones.

Resumen de diferencias clave

Aquí tienes una tabla que resume las principales diferencias.

Función

AWS CloudWatch

AWS CloudTrail

Objetivo principal

Supervisa el rendimiento de los recursos y la salud operativa.

Haz un seguimiento de la actividad de la API para la gobernanza y la auditoría.

Enfoque

Supervisión del rendimiento y las métricas.

Seguridad, cumplimiento y registro de la actividad de los usuarios.

Latencia de los datos

Casi en tiempo real (actualizaciones cada minuto).

Retardado (registros grabados cada pocos minutos).

Tipos de troncos

Registros de aplicaciones y sistemas en tiempo real, agregados

Registros históricos de actividad de la API, no agregados

Integraciones

SNS, Lambda, Autoescalado para acciones operativas.

S3, Athena y herramientas de terceros para el análisis de registros.

Casos prácticos

Optimización del rendimiento, alertas automatizadas, cuadros de mando.

Auditorías de seguridad, análisis forense, cumplimiento.

Coste

Cobra en función de métricas, alarmas y almacenamiento de registros.

Gratis para eventos de gestión, cargos adicionales para eventos de datos.

CloudTrail vs. CloudWatch frente a Configuración AWS

Mientras CloudTrail y CloudWatch se encargan del registro y la monitorización, AWS Config se centra en el seguimiento de los cambios de configuración de los recursos de AWS. Esto lo hace útil para comprender cómo está afectando la configuración actual a tus recursos de AWS. AWS Config en sí no es una herramienta de registro, sino que te ayuda a comprender cómo han afectado los cambios a tu gestión de recursos de AWS.

  • CloudTrail: Registra la actividad de la API con fines de seguridad y auditoría para cumplir las normas de conformidad
  • CloudWatch: Monitoriza el rendimiento de los recursos de AWS y puede utilizarse para las alarmas 
  • Configuración AWS: Garantiza que los cambios de configuración se mantienen dentro de los límites y puede mostrar cómo los cambios afectaron a los recursos.

Conclusión: Cuándo utilizar CloudTrail y CloudWatch

Para los usuarios de AWS, la elección entre CloudTrail y CloudWatch se reduce a su objetivo. Utiliza CloudWatch si necesitas supervisar el rendimiento del sistema, realizar un seguimiento de las métricas operativas y automatizar las respuestas a las anomalías. Utiliza CloudTrail si te centras en la seguridad, el cumplimiento o la auditoría de las actividades de los usuarios. 

Comprender qué herramienta utilizar es fundamental para monitorizar, registrar y mantener de forma exhaustiva la infraestructura de AWS. Si quieres saber más sobre AWS y cómo funcionan estas herramientas, consulta algunos recursos:

Preguntas frecuentes sobre CloudTrail vs CloudWatch

¿Se pueden utilizar juntos AWS CloudTrail y AWS CloudWatch?

Sí. Por ejemplo, puedes configurar los registros de CloudTrail para que activen alarmas en CloudWatch cuando se produzcan eventos específicos, como llamadas no autorizadas a la API o cambios en recursos críticos. Esta integración ayuda a salvar la distancia entre la supervisión del rendimiento y la auditoría de seguridad.

¿Recopila CloudWatch automáticamente métricas para todos los servicios de AWS?

CloudWatch recopila por defecto métricas básicas para muchos servicios de AWS, como el uso de CPU de las instancias EC2 o el recuento de invocaciones de Lambda. Sin embargo, para obtener métricas detalladas, puede que necesites activar funciones de supervisión avanzadas, lo que puede suponer costes adicionales.

¿Cuánto tiempo se conservan los registros de CloudTrail, y pueden almacenarse durante periodos más largos?

Por defecto, CloudTrail conserva los registros durante 90 días en el historial de eventos. Sin embargo, puedes configurar CloudTrail para que envíe los logs a un bucket de Amazon S3 para su almacenamiento a largo plazo. Esto es útil para el cumplimiento de la normativa y las investigaciones forenses.

¿Cómo puedo reducir los costes asociados a los registros de CloudWatch?

Para minimizar los costes de los logs de CloudWatch, puedes utilizar filtros de logs para conservar sólo los logs necesarios, configurar políticas de retención de logs para eliminar automáticamente los logs antiguos, y comprimir y exportar logs a Amazon S3 para almacenarlos a largo plazo.

¿Hay alguna forma de analizar las métricas de CloudWatch o los registros de CloudTrail sin descargarlos?

CloudWatch: Las métricas pueden analizarse directamente en la consola de CloudWatch mediante paneles, alarmas y matemáticas métricas. Los logs pueden consultarse mediante CloudWatch Logs Insights.

CloudTrail: Los registros pueden analizarse mediante Amazon Athena sin necesidad de descargarlos. Al almacenar los registros de CloudTrail en un bucket de S3, puedes utilizar consultas SQL en Athena para extraer información rápidamente.

Tim Lu's photo
Author
Tim Lu
LinkedIn

Soy un científico de datos con experiencia en análisis espacial, aprendizaje automático y canalización de datos. He trabajado con GCP, Hadoop, Hive, Snowflake, Airflow y otros procesos de ciencia/ingeniería de datos.

Temas
AWS
Ingeniería de datos
Nube

Los mejores cursos de DataCamp

Programa

Profesional de AWS Cloud (CLF-C02)

0 min
Prepárate para el examen AWS Certified Cloud Practitioner (CLF-C02) de Amazon aprendiendo a utilizar y proteger los principales servicios informáticos, de bases de datos y de almacenamiento de AWS.
Ver detallesRight Arrow
Comienza el curso
Ver másRight Arrow
Relacionado

blog

AWS vs Azure: Una comparación en profundidad de los dos principales servicios en la nube

Explora las principales diferencias y similitudes entre Amazon Web Services (AWS) y Microsoft Azure. Este exhaustivo análisis abarca el rendimiento, los precios, las ofertas de servicios y la facilidad de uso para ayudar a los aspirantes a profesionales a determinar qué computación en nube se adapta mejor a sus necesidades.
Kurtis Pykes 's photo

Kurtis Pykes

12 min

blog

AWS frente a Certificaciones Azure: ¿Cuál es el mejor para ti?

Explora las diferencias entre las certificaciones de AWS y Azure, centrándote en las habilidades, las oportunidades profesionales y la demanda del sector para cada una de ellas. Esta guía te ayudará a determinar qué vía de certificación se ajusta mejor a tus objetivos en el panorama de la computación en nube.
Kurtis Pykes 's photo

Kurtis Pykes

15 min

blog

Los 13 mejores proyectos de AWS: De principiante a profesional

Explora 13 proyectos prácticos de AWS para todos los niveles. Mejora tus conocimientos sobre la nube con aplicaciones prácticas del mundo real y la orientación de expertos.
Joleen Bothma's photo

Joleen Bothma

12 min

blog

AWS Certified Cloud Practitioner: guía completa

Comprende la certificación y el examen AWS Certified Cloud Practitioner con nuestra guía completa. Descubre consejos, recursos y estrategias para garantizar tu éxito.
Srujana Maddula's photo

Srujana Maddula

13 min

Tutorial

Primeros pasos con AWS Athena: Guía práctica para principiantes

Esta guía práctica te ayudará a empezar a utilizar AWS Athena. Explora su arquitectura y características y aprende a consultar datos en Amazon S3 utilizando SQL.
Tim Lu's photo

Tim Lu

Tutorial

Cuentas de almacenamiento Azure: Tutorial paso a paso para principiantes

Esta guía te enseña a configurar y gestionar las Cuentas de Almacenamiento de Azure, paso a paso. También explora opciones avanzadas de configuración para un rendimiento óptimo y una optimización de costes.
Anneleen Rummens's photo

Anneleen Rummens

Ver másVer más