Pular para o conteúdo principal

AWS CloudTrail vs. AWS CloudWatch: Um guia para iniciantes

Explore as principais diferenças entre o AWS CloudTrail e o AWS CloudWatch. Ambos são sistemas de registro na AWS com objetivos ligeiramente diferentes.
Actualizado 28 de nov. de 2024  · 10 min de leitura

O Amazon Web Services (AWS) oferece muitas ferramentas de registro projetadas para ajudar as organizações a monitorar, gerenciar e proteger sua infraestrutura de nuvem. Há ferramentas que se concentram na auditoria de conformidade (CloudTrail), métricas de recursos (CloudWatch), registro de rede (VPC Flow) e registros de aplicativos (X-Ray). 

Esses serviços fornecem aos usuários informações sobre diferentes partes do ecossistema da AWS e permitem que eles tomem decisões informadas sobre o gerenciamento de seus serviços. Dentre eles, o AWS CloudTrail e o AWS CloudWatch têm alguns dos recursos mais "críticos", como conformidade e monitoramento de recursos.

Esses dois sistemas atendem a necessidades essenciais diferentes: O CloudTrail se concentra em governança, auditoria e conformidade, enquanto o CloudWatch se dedica ao monitoramento do desempenho e à eficiência operacional. 

Neste artigo, vamos nos aprofundar nas especificidades dos serviços CloudTrail e CloudWatch, explorar seus casos de uso e esclarecer suas principais diferenças para ajudar você a entender como aproveitá-los de forma eficaz. Para obter informações sobre alguns dos outros mecanismos de registro e gerenciamento do AWS, consulte nossa folha de dicas que compara os componentes do serviço de nuvem.

O que é o AWS CloudWatch?

O AWS CloudWatch é um serviço de monitoramento projetado para coletar e rastrear métricas sobre recursos e aplicativos executados no AWS. O CloudWatch garante a visibilidade do desempenho do sistema e ainda tem recursos de alerta que podem notificar os usuários sobre problemas. Ele oferece monitoramento básico (gratuito) e detalhado (pago), dependendo do serviço da AWS.

Principais recursos do AWS CloudWatch

Os principais recursos do CloudWatch incluem painéis de controle, coleta de métricas, monitoramento de registros e alarmes. Todos eles são criados em torno de um conjunto de sistemas de monitoramento que analisam diferentes componentes do ecossistema da AWS.

1. Coleta e rastreamento de métricas

  • Monitora métricas como uso de CPU, utilização de memória, E/S de disco e atividade de rede em recursos do AWS, como EC2, RDS e Lambda.
  • Normalmente, as métricas são armazenadas em um bucket do Amazon EC2 e servem como um repositório de métricas.

2. Sistemas de monitoramento

  • Uma variedade de sistemas de monitoramento, como monitoramento de aplicativos, redes e infraestrutura.
  • O monitoramento de aplicativos concentra-se na integridade do aplicativo, como latência, disponibilidade e falhas.
  • O monitoramento de rede tem o Internet Monitor e o Network Monitor para rastrear o tráfego global (Internet) e a latência híbrida (no local com a nuvem) e a perda de pacotes.
  • O monitoramento da infraestrutura pode incluir insights sobre seus contêineres (Amazon Elastic e Kubernetes) quanto ao uso de recursos, como CPU, memória e assim por diante. Ele também pode rastrear seus aplicativos AWS Lambda para as mesmas métricas.

3. Painéis de controle em tempo real

  • Fornece painéis personalizáveis para visualizar o desempenho e as tendências do sistema em tempo real.
  • Você pode apresentar aplicativos personalizados e métricas de sua escolha

Painel de controle do CloudWatch: Documentação da Amazon

4. Alarmes e limites

  • Define alarmes para detectar e responder a anomalias no desempenho, acionando automaticamente ações ou enviando alertas.
  • Algumas ações, incluindo o lançamento de mais instâncias ou a interrupção de instâncias pouco usadas.

Casos de uso do AWS CloudWatch

Vamos analisar alguns casos de uso específicos do AWS CloudWatch.

Otimização do desempenho

O AWS CloudWatch ajuda a identificar gargalos e otimizar o uso de recursos. Por exemplo, o Internet Monitor pode detectar problemas de latência em uma plataforma global de jogos em nuvem e recomendar a implantação de servidores em regiões mais ideais para reduzir o atraso.

Alerta automatizado

Configure alarmes com base em limites predefinidos para dimensionamento de recursos ou detecção de erros. Por exemplo, quando os objetivos de nível de serviço (SLOs) de um aplicativo não são atingidos, o CloudWatch pode enviar alertas e oferecer recomendações acionáveis para melhorar as métricas de desempenho.

Visibilidade contínua

Use painéis para manter insights em tempo real sobre a integridade do sistema. Os painéis são particularmente úteis para acompanhar o desempenho dos fluxos de dados de serviços como o AWSKinesis e o AWS Lambda. Uma ótima maneira de entender esse processo é este curso sobre Streaming de dados com o AWS Kinesis e o Lambda, no qual você criará painéis com o AWS CloudWatch.

O que é o AWS CloudTrail?

O AWS CloudTrail é um serviço de registro projetado para rastrear todas as atividades de API na sua conta do AWS, garantindo a responsabilidade. Ele registra ações de usuários, alterações de recursos e interações de serviços, fornecendo uma trilha de auditoria imutável para fins de governança e conformidade. Isso é particularmente útil para conformidade de segurança e auditoria do comportamento do usuário. Se você quiser saber mais, confira este curso sobre segurança e gerenciamento de custos da AWS.

Principais recursos do AWS CloudTrail

Os principais recursos do CloudTrail giram em torno do monitoramento da atividade do usuário. Como o objetivo do CloudTrail é manter a responsabilidade e a capacidade de auditoria, faz sentido que todas as ações sejam monitoradas e armazenadas.

1. Rastreamento de ações

O CloudTrail registra todas as ações do usuário, e esse rastreamento abrangente é essencial para que você entenda "quem, o quê e quando" do seu ambiente AWS.

2. Suporte à conformidade

Ajuda as organizações a atender aos requisitos normativos, como PCI DSS e HIPAA, mantendo registros do histórico de eventos.

Em caso de violações, ele pode ser usado para rastrear o momento exato e a conta de usuário envolvida na violação.

4. Integração com os serviços do AWS

O CloudTrail pode enviar logs para o S3 para armazenamento de longo prazo ou para o Amazon Athena para consulta e análise. Essas integrações facilitam a análise de tendências ou a investigação de anomalias.

Exemplo de registros do CloudTrail: AWS CloudTrail Blog

Casos de uso do AWS CloudTrail

Há alguns casos de uso importantes para o AWS CloudTrail que giram em torno de auditorias e rastreamento de conformidade.

Auditorias de segurança

O CloudTrail permite uma auditoria detalhada para garantir a conformidade com os padrões regulatórios e as políticas internas. No caso de um incidente de segurança, os registros do CloudTrail fornecem os detalhes necessários para identificar a causa raiz e avaliar o impacto.

Registros de auditoria do CloudTrail: Modelo de maturidade de segurança da AWS

Alterar a solução de problemas

Ao analisar os logs, as equipes podem rastrear as alterações nos recursos que podem ter causado um comportamento inesperado. Isso permite uma maneira mais direta de resolver qualquer problema futuro de downstream.

CloudTrail vs. CloudWatch: Principais diferenças

Como dito anteriormente, o CloudTrail e o CloudWatch são ferramentas de registro fundamentais no ambiente da AWS. No entanto, ambos analisam diferentes componentes do ambiente da AWS, e esta seção abordará as principais diferenças, do foco ao custo.

Foco

O CloudWatch e o CloudTrail se concentram em diferentes partes do ambiente da AWS.

  • CloudWatch: Monitora o desempenho dos recursos e a integridade operacional. O objetivo aqui é entender como os componentes do AWS estão sendo executados e se há ou não problemas de latência, interação com o cliente ou limitações de recursos.
  • CloudTrail: Rastreia a atividade da API para governança e conformidade. O objetivo aqui é manter uma "trilha de papel" clara para a prestação de contas.

Latência de dados

O CloudWatch tem latência quase nula, enquanto o CloudTrail tem alguma latência.

  • CloudWatch: Fornece insights quase em tempo real, com métricas atualizadas a cada minuto. É fundamental ter insights em tempo real, pois o CloudWatch precisa ser capaz de fornecer alertas instantâneos ou fazer alterações nos recursos conforme necessário.
  • CloudTrail: Registra a atividade da API com um atraso de alguns minutos, concentrando-se na análise histórica. Como os logs geralmente são usados para analisar ações históricas, um atraso de alguns minutos é aceitável.

Integração

Ambos se integram perfeitamente aos serviços do AWS, como Lambda, S3 e SNS.

  • CloudWatch: Ideal para monitoramento operacional e respostas automatizadas a métricas de desempenho. Ele também pode se integrar a contêineres como Kubernetes, armazenamento EC2 e outros aplicativos para obter um registro mais detalhado para casos de uso específicos.
  • CloudTrail: Ideal para auditoria de segurança e rastreamento das atividades do usuário. Ele será integrado ao armazenamento EC2 para armazenamento de registros.

Custo

Ambos têm um registro básico gratuito, mas oferecem registro avançado a um custo.

  • CloudWatch: O registro básico de uso de recursos, falhas e problemas geralmente é gratuito. O registro mais detalhado tem custos baseados no volume de métricas coletadas, alarmes definidos e complexidade dos dados armazenados. Aplicativos diferentes têm níveis variados de detalhes de registro.
  • CloudTrail: O registro de eventos de gerenciamento é gratuito, mas o registro de eventos de dados e a análise avançada incorrem em cobranças adicionais.

Registro de dados

O modo como os registros são coletados e armazenados difere entre as duas ferramentas com base em seus casos de uso exclusivos.

  • CloudWatch: Os dados são fornecidos em tempo real, mas podem ser agregados com base em períodos de tempo. Como os detalhes exatos podem não ser necessários, os dados fornecidos são geralmente resumidos na escala de tempo em que foram coletados.
  • CloudTrail: Com o objetivo de fornecer trilhas de auditoria precisas e detalhadas, ele não agrega atividades. Em vez disso, ele fornece informações sobre cada ação que foi tomada para criar um esboço claro das ações.

Resumo das principais diferenças

Aqui está uma tabela que resume as principais diferenças.

Recurso

AWS CloudWatch

AWS CloudTrail

Objetivo principal

Monitore o desempenho dos recursos e a integridade operacional.

Acompanhe a atividade da API para governança e auditoria.

Foco

Monitoramento de desempenho e métricas.

Segurança, conformidade e registro de atividades do usuário.

Latência de dados

Quase em tempo real (atualizações a cada minuto).

Atrasado (registros gravados a cada poucos minutos).

Tipos de registro

Registros de aplicativos e sistemas em tempo real, agregados

Registros históricos de atividade da API, não agregados

Integrações

SNS, Lambda, Auto Scaling para ações operacionais.

S3, Athena e ferramentas de terceiros para análise de registros.

Casos de uso

Otimização do desempenho, alertas automatizados, painéis de controle.

Auditorias de segurança, análise forense, conformidade.

Custo

Cobranças baseadas em métricas, alarmes e armazenamento de registros.

Gratuito para eventos de gerenciamento, taxas adicionais para eventos de dados.

CloudTrail vs. CloudWatch vs. Configuração do AWS

Enquanto o CloudTrail e o CloudWatch lidam com o registro e o monitoramento, o AWS Config se concentra no rastreamento das alterações de configuração dos recursos da AWS. Isso o torna útil para entender como a configuração atual está afetando seus recursos do AWS. O AWS Config em si não é uma ferramenta de registro, mas ajuda você a entender como as alterações afetaram o gerenciamento de recursos do AWS.

  • CloudTrail: Registra a atividade da API para segurança e auditoria para atender aos padrões de conformidade
  • CloudWatch: Monitora o desempenho dos recursos do AWS e pode ser usado para alarmes 
  • Configuração do AWS: Garante que as alterações de configuração permaneçam dentro dos limites e pode mostrar como as alterações afetaram os recursos.

Conclusão: Quando usar o CloudTrail e o CloudWatch

Para os usuários do AWS, a escolha entre o CloudTrail e o CloudWatch se resume ao seu objetivo. Use o CloudWatch se você precisar monitorar o desempenho do sistema, rastrear métricas operacionais e automatizar respostas a anomalias. Use o CloudTrail se o seu foco for a segurança, a conformidade ou a auditoria das atividades do usuário. 

Entender qual ferramenta usar é essencial para o monitoramento, o registro e a manutenção abrangentes da infraestrutura da AWS. Se você quiser saber mais sobre a AWS e como essas ferramentas funcionam, confira alguns recursos:

Perguntas frequentes sobre o CloudTrail e o CloudWatch

O AWS CloudTrail e o AWS CloudWatch podem ser usados juntos?

Sim. Por exemplo, você pode configurar os logs do CloudTrail para acionar alarmes no CloudWatch quando ocorrerem eventos específicos, como chamadas de API não autorizadas ou alterações em recursos críticos. Essa integração ajuda a preencher a lacuna entre o monitoramento de desempenho e a auditoria de segurança.

O CloudWatch coleta métricas automaticamente para todos os serviços da AWS?

O CloudWatch coleta métricas básicas para muitos serviços do AWS por padrão, como o uso da CPU da instância do EC2 ou a contagem de invocações do Lambda. No entanto, para obter métricas detalhadas, talvez você precise ativar recursos avançados de monitoramento, o que pode acarretar custos adicionais.

Por quanto tempo os registros do CloudTrail são mantidos e podem ser armazenados por períodos mais longos?

Por padrão, o CloudTrail retém os registros por 90 dias no histórico de eventos. No entanto, você pode configurar o CloudTrail para fornecer logs a um bucket do Amazon S3 para armazenamento de longo prazo. Isso é útil para investigações forenses e de conformidade.

Como posso reduzir os custos associados aos registros do CloudWatch?

Para minimizar os custos de log do CloudWatch, você pode usar filtros de log para reter apenas os logs necessários, configurar políticas de retenção de log para excluir automaticamente os logs antigos e compactar e exportar logs para o Amazon S3 para armazenamento de longo prazo.

Existe uma maneira de analisar as métricas do CloudWatch ou os registros do CloudTrail sem baixá-los?

CloudWatch: As métricas podem ser analisadas diretamente no console do CloudWatch usando painéis, alarmes e cálculos de métricas. Os registros podem ser consultados usando o CloudWatch Logs Insights.

CloudTrail: Os registros podem ser analisados usando o Amazon Athena sem a necessidade de baixá-los. Ao armazenar os logs do CloudTrail em um bucket S3, você pode usar consultas SQL no Athena para extrair insights rapidamente.


Tim Lu's photo
Author
Tim Lu
LinkedIn

Sou um cientista de dados com experiência em análise espacial, machine learning e pipelines de dados. Trabalhei com GCP, Hadoop, Hive, Snowflake, Airflow e outros processos de engenharia/ciência de dados.

Temas

Principais cursos da DataCamp

curso

AWS Cloud Technology and Services

3 hr
5.6K
Master AWS cloud technology with hands-on learning and practical applications in the AWS ecosystem.
Ver DetalhesRight Arrow
Iniciar curso
Ver maisRight Arrow
Relacionado

blog

AWS Certified Cloud Practitioner: um guia completo

Saiba mais sobre a certificação e o exame AWS Certified Cloud Practitioner com nosso guia completo. Descubra dicas, recursos e estratégias para garantir que você tenha sucesso.
Srujana Maddula's photo

Srujana Maddula

27 min

blog

Certificações da AWS em 2024: Níveis, custos e como passar

Explore nosso guia completo sobre as certificações da AWS, incluindo qual é a melhor para você e como passar nos exames. Além disso, descubra os recursos do DataCamp para ajudar!
Adel Nehme's photo

Adel Nehme

20 min

blog

As 20 principais perguntas e respostas para entrevistas sobre o AWS Lambda em 2024

O AWS Lambda é um serviço de computação sem servidor e um assunto cada vez mais comum em entrevistas técnicas. Quer você seja novo na computação em nuvem ou um profissional experiente, é essencial entender o AWS Lambda.
Zoumana Keita 's photo

Zoumana Keita

12 min

tutorial

Primeiros passos com o AWS Athena: Um guia prático para iniciantes

Este guia prático ajudará você a começar a usar o AWS Athena. Explore sua arquitetura e seus recursos e saiba como consultar dados no Amazon S3 usando SQL.
Tim Lu's photo

Tim Lu

28 min

tutorial

Tutorial de armazenamento do AWS: Uma introdução prática ao S3 e ao EFS

O guia completo para armazenamento de arquivos no AWS com S3 e EFS.
Zoumana Keita 's photo

Zoumana Keita

16 min

tutorial

O guia completo para machine learning na AWS com o Amazon SageMaker

Este tutorial abrangente ensina você a usar o AWS SageMaker para criar, treinar e implantar modelos de machine learning. Nós guiamos você por todo o fluxo de trabalho, desde a configuração do seu ambiente AWS e a criação de uma instância de notebook do SageMaker até a preparação de dados, modelos de treinamento e sua implementação como endpoints.
Bex Tuychiev's photo

Bex Tuychiev

25 min

See MoreSee More