Editor Top
|
|
Hoy estamos ampliando las capacidades de Amazon CloudWatch para unificar y administrar datos de registro en casos de uso operativos, de seguridad y de cumplimiento con análisis flexibles y potentes en un solo lugar y con costos y duplicación de datos reducidos.
Esta mejora significa que CloudWatch puede normalizar y procesar datos automáticamente para ofrecer coherencia entre fuentes con soporte integrado para Open Cybersecurity Schema Framework (OCSF) y Telemetría Abierta (OTel) formatos, para que pueda centrarse en análisis y conocimientos. CloudWatch también presenta el acceso compatible con Apache Iceberg a sus datos a través de tablas de Amazon Simple Storage Service (Amazon S3), para que pueda ejecutar análisis, no solo localmente sino también utilizando Amazon Athena, Amazon SageMaker Unified Studio o cualquier otra herramienta compatible con Iceberg.
También puede correlacionar sus datos operativos en CloudWatch con otros datos comerciales de sus herramientas preferidas para correlacionarlos con otros datos. Este enfoque unificado agiliza la gestión y proporciona una correlación integral entre los casos de uso de seguridad, operativos y empresariales.
Aquí están las mejoras detalladas:
- Optimice la ingesta y normalización de datos – CloudWatch recopila automáticamente registros vendidos de AWS entre cuentas y regiones de AWS, integrándose con organizaciones de AWS desde servicios de AWS, incluidos AWS CloudTrail, registros de flujo de Amazon Virtual Private Cloud (Amazon VPC), registros de acceso de AWS WAF, registros de resolución de Amazon Route 53 y conectores prediseñados para fuentes de terceros como endpoint (CrowdStrike, SentinelOne), identidad (Okta, Entra ID), seguridad en la nube (Wiz), seguridad de red (Zscaler, Palo Alto). Redes), productividad y colaboración (Microsoft Office 365, Windows Event Logs y GitHub), junto con administrador de servicios de TI con ServiceNow CMBD. Para normalizar y procesar sus datos a medida que se incorporan, CloudWatch ofrece conversión OCSF administrada para varias fuentes de datos de AWS y de terceros y otros procesadores como Grok para análisis personalizados, operaciones a nivel de campo y manipulaciones de cadenas.
- Reduzca la costosa gestión de datos de registro – CloudWatch consolida la gestión de registros en un único servicio con capacidades de gobernanza integradas sin almacenar ni mantener múltiples copias de los mismos datos en diferentes herramientas y almacenes de datos. El almacén de datos unificado de CloudWatch elimina la necesidad de procesos ETL complejos y reduce los costos operativos y los gastos generales de administración necesarios para mantener múltiples almacenes de datos y herramientas separados.
- Descubra información empresarial a partir de datos de registro – Puede ejecutar consultas en CloudWatch utilizando consultas en lenguaje natural y lenguajes de consulta populares como LogsQL, PPL y SQL a través de una única interfaz, o consultar sus datos utilizando sus herramientas de análisis preferidas a través de tablas compatibles con Apache Iceberg. La nueva interfaz Facets le brinda un filtrado intuitivo por fuente, aplicación, cuenta, región y tipo de registro, que puede utilizar para ejecutar consultas en grupos de registros de múltiples cuentas y regiones de AWS con inferencia inteligente de parámetros.
En las siguientes secciones, exploramos las nuevas funciones de análisis y administración de registros de CloudWatch Logs.
1. Descubrimiento y gestión de datos por fuentes y tipos de datos
Puede ver una descripción general de alto nivel de los registros y todas las fuentes de datos con una nueva Vista de administración de registros en la consola de CloudWatch. Para comenzar, vaya a la consola de CloudWatch y elija Gestión de registros bajo el Registros menú en el panel de navegación izquierdo. En el Resumen En la pestaña, puede observar las fuentes y tipos de datos de sus registros, información sobre el rendimiento de sus grupos de registros durante la ingesta y anomalías.
Elige el Fuentes de datos para buscar y administrar sus datos de registro por fuentes de datos, tipos y campos. CloudWatch ingiere y clasifica automáticamente fuentes de datos por servicios de AWS, terceros o fuentes personalizadas, como registros de aplicaciones.
Elige el Acciones de origen de datos para integrar tablas S3 para realizar registros futuros para fuentes de datos seleccionadas. Tiene la flexibilidad de analizar los registros a través de Athena y Amazon Redshift y otros motores de consulta como Spark utilizando patrones de acceso compatibles con Iceberg. Con esta integración, los registros de CloudWatch están disponibles en formato de solo lectura aws-cloudwatch Cubo de mesas S3.
Cuando elige una fuente de datos específica, como los datos de CloudTrail, puede ver los detalles de la fuente de datos que incluye información sobre el formato de datos, canalización, índices de facetas/campos, asociación de tablas S3 y la cantidad de registros con esa fuente de datos. Puede observar todos los grupos de registros incluidos en esta fuente de datos y escribir y editar una política de índice de campo de fuente/tipo utilizando el nuevo soporte de esquema.
Para obtener más información sobre cómo administrar sus fuentes de datos y su política de índice, visite Fuentes de datos en la Guía del usuario de Amazon CloudWatch Logs.
2. Ingestión y transformación mediante canalizaciones de CloudWatch
Puede crear canalizaciones para agilizar la recopilación, transformación y enrutamiento de datos de seguridad y telemetría, al mismo tiempo que estandariza los formatos de datos para optimizar la observabilidad y la gestión de datos de seguridad. La nueva función de canalización de CloudWatch conecta datos de un catálogo de fuentes de datos, de modo que pueda agregar y configurar procesadores de canalización desde una biblioteca para analizar, enriquecer y estandarizar datos.
En el Tubería pestaña, elija Agregar canalización. Le muestra el asistente de configuración de tuberías. Este asistente lo guía a través de cinco pasos donde puede elegir la fuente de datos y otros detalles de la fuente, como los tipos de fuente de registro, configurar el destino, configurar hasta 19 procesadores para realizar una acción en sus datos (como filtrar, transformar o enriquecer) y, finalmente, revisar e implementar la canalización.
También tiene la opción de crear canalizaciones a través del nuevo Ingestión experiencia en CloudWatch. Para obtener más información sobre cómo configurar y administrar las canalizaciones, visite Canalizaciones en la Guía del usuario de Amazon CloudWatch Logs.
3. Análisis y consultas mejorados basados en fuentes de datos
Puede mejorar los análisis con soporte para Facetas y consultas basadas en fuentes de datos. Las facetas permiten la exploración interactiva y la profundización de los registros y sus valores se extraen automáticamente en función del período de tiempo seleccionado.
Elige el facetas pestaña en el Información de registro bajo el Registros menú en el panel de navegación izquierdo. Puede ver las facetas y valores disponibles que aparecen en el panel. Elija una o más facetas y valores para explorar interactivamente sus datos. Elijo Facetas con respecto a un grupo y una acción de Registros de flujo de VPC, hago consultas para enumerar los cinco patrones más frecuentes en mis Registros de flujo de VPC a través del generador de consultas de IA y obtengo los patrones de resultados.
Puede guardar su consulta con las Facetas seleccionadas y los valores que haya especificado. La próxima vez que elija su consulta guardada, los registros que se consultarán tendrán las facetas y valores preespecificados. Para obtener más información sobre la administración de facetas, visite Facetas en la Guía del usuario de CloudWatch Logs.
Como señalé anteriormente, puede integrar fuentes de datos en tablas S3 y realizar consultas juntas. Por ejemplo, al utilizar un editor de consultas en Athena, puede consultar la correlación del tráfico de red con la actividad de la API de AWS desde un rango de IP específico (174.163.137.*) uniendo registros de flujo de VPC con registros de CloudTrail basados en direcciones IP de origen coincidentes.
Este tipo de búsqueda integrada es particularmente valiosa para el monitoreo de seguridad, la investigación de incidentes y la detección de comportamientos sospechosos. Puede ver si una IP que realiza conexiones de red también realiza operaciones confidenciales de AWS, como crear usuarios, modificar grupos de seguridad o acceder a datos.
Para obtener más información, visite Integración de S3 Tables con CloudWatch en la Guía del usuario de CloudWatch Logs.
Ahora disponible
Las nuevas funciones de administración de registros de Amazon CloudWatch están disponibles hoy en todas las regiones de AWS, excepto en las regiones de AWS GovCloud (EE. UU.) y China. Para conocer la disponibilidad regional y la hoja de ruta futura, visite el Capacidades de AWS por región. No hay compromisos iniciales ni tarifas mínimas, y usted paga por el uso de CloudWatch Logs existente para la ingesta, el almacenamiento y las consultas de datos. Para obtener más información, visite la página de precios de CloudWatch.
Pruébelo en la consola de CloudWatch. Para obtener más información, visite la página del producto CloudWatch y envíe sus comentarios a AWS re: Publicación para registros de CloudWatch o a través de sus contactos habituales de AWS Support.
— chany
