Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de registros:
CloudWatch Logs proporciona funciones avanzadas de administración de registros que le ayudan a organizar, transformar y analizar los datos de registro de manera más eficaz. Estas funciones incluyen la [centralización de datos entre cuentas y regiones](CloudWatchLogs_Centralization.md), el [descubrimiento automático de datos y la administración de esquemas](data-source-discovery-management.md), la [transformación de los registros durante la ingestión](CloudWatch-Logs-Transformation.md) y el [análisis mejorado con facetas](CloudWatchLogs-Facets.md) para la exploración interactiva de los registros.
**Topics**
+ [Descubrimiento y administración de fuentes de datos](data-source-discovery-management.md)
+ [Funciones habilitadas por las fuentes de datos](features-enabled-by-data-sources.md)
+ [Compatible con Servicios de AWS fuentes de datos](supported-aws-services-data-sources.md)
+ [Fuentes de terceros compatibles para las fuentes de datos](supported-third-party-sources-data-sources.md)
# Descubrimiento y administración de fuentes de datos
CloudWatch Logs descubre y clasifica automáticamente los datos de registro por fuente y tipo de datos, lo que facilita la comprensión y la administración de los registros a escala. Esta función proporciona la detección de esquemas para fuentes AWS vendidas, como Amazon VPC Flow Logs y Route 53 CloudTrail, así como herramientas de seguridad de terceros.
La consola de administración de registros proporciona una vista de alto nivel de los registros organizados por fuente y tipo de datos, en lugar de limitarse a grupos de registros. Esta organización le ayuda a:
+ Consulta los registros clasificados por AWS servicios, fuentes de terceros (como Okta o CrowdStrike) y fuentes personalizadas
+ Comprenda automáticamente el esquema y la estructura de sus datos de registro
+ Cree políticas de indexación de campos basadas en los campos de esquema descubiertos
+ Administre los registros de manera más eficiente en diferentes fuentes de datos
+ Consulte los registros por diferentes fuentes de datos
Al [habilitar el registro de CloudWatch registros para AWS los servicios compatibles](AWS-logs-and-resource-policy.md), CloudWatch Logs aplica automáticamente el esquema correspondiente a sus registros. Esta aplicación de esquema automático ayuda a mantener la coherencia y proporciona información inmediata sobre la estructura de los registros.
## ¿Qué son las fuentes de datos de CloudWatch registros?
CloudWatch Las fuentes de datos de los registros son una función que proporciona una nueva forma de organizar y clasificar los datos de los registros en función de la fuente que los genera. Si bien CloudWatch Logs suele utilizar grupos de registros para organizar los registros, Data Sources ofrece una capa adicional de organización que agrupa los registros por servicio de origen y tipo de registro.
### Cómo funcionan las fuentes de datos
Las fuentes de datos proporcionan una organización de registros basada en servicios y un descubrimiento simplificado en toda su AWS infraestructura. Puede localizar fácilmente los registros de servicios específicos y filtrarlos por tipo de registro sin necesidad de conocer los nombres o estructuras individuales de los grupos de registros.
Para las fuentes de terceros y, opcionalmente, para las fuentes de registros de aplicaciones, las fuentes de datos funcionan con CloudWatch canalizaciones para clasificar los registros. Al configurar una canalización para ingerir y transformar los registros, se especifica el nombre y el tipo de la fuente de datos. CloudWatch A continuación, Logs clasifica automáticamente todos los registros que procesa la canalización. Para obtener más información, consulta [CloudWatch las canalizaciones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-pipelines.html) en la *Guía del CloudWatch usuario de Amazon*.
Las fuentes de datos clasifican los registros mediante dos identificadores clave:
+ **Nombre de la fuente de datos**: el AWS servicio, la fuente de terceros o la aplicación que genera los registros (por ejemplo, Route 53, Amazon VPC CloudTrail, Okta SSO o Falcon). CrowdStrike
+ **Tipo de fuente de datos**: el tipo específico de registro generado por ese servicio.
Un esquema define la estructura de los datos de registro, incluidos los campos que están presentes y la forma en que se organiza la información. Una sola fuente de datos puede producir varios tipos de registros con diferentes esquemas y propósitos. Por ejemplo, la fuente de AWS CloudTrail datos tiene dos tipos: eventos de administración (que rastrean las operaciones del plano de control, como la creación o eliminación de recursos) y eventos de datos (que rastrean las operaciones del plano de datos, como el acceso a objetos desde S3). Cada tipo tiene un esquema diferente porque capturan distintos tipos de información.
## Cómo comenzar
CloudWatch Los registros clasifican los registros en fuentes de datos según su origen. El método depende del tipo de registros con los que trabajes:
### Servicio de AWS registros
Los registros [compatibles Servicios de AWS](supported-aws-services-data-sources.md) se agrupan automáticamente por fuente de datos sin necesidad de configuración alguna. CloudWatch Logs reconoce estos registros y aplica el nombre y el tipo de fuente de datos adecuados en función del servicio de origen.
### Registros de terceros
Los registros de terceros requieren canalizaciones para la categorización de las fuentes de datos. Cuando configura una canalización para ingerir registros de fuentes de terceros compatibles, como Microsoft Office 365, Okta o Palo Alto Networks CrowdStrike, especifica el [nombre y el tipo de la fuente de datos](supported-third-party-sources-data-sources.md) en la configuración de la canalización. CloudWatch Logs clasifica automáticamente todos los registros que procesa la canalización utilizando esos identificadores.
Opcionalmente, Pipelines puede transformar los registros de terceros al formato Open Cybersecurity Schema Framework (OCSF) para un análisis estandarizado de los eventos de seguridad. Cuando la transformación de OCSF está habilitada, el nombre y el tipo de la fuente de datos se determinan automáticamente en función del mapeo del esquema de OCSF. Sin la transformación OCSF, debe especificar el nombre y el tipo de la fuente de datos en la configuración de la canalización.
### Registros de aplicaciones
En el caso de los registros de aplicaciones personalizados, puede clasificarlos por fuente de datos mediante uno de estos métodos:
+ **Etiquetas de grupos de registros: añada etiquetas a sus grupos de registros utilizando las claves `cw:datasource:name` y especificando el nombre y `cw:datasource:type` el tipo de la fuente de datos, respectivamente, para todos los registros ingeridos en el grupo** de registros. Los valores de las etiquetas pueden tener un máximo de 64 caracteres y solo pueden contener letras minúsculas, números y caracteres de subrayado. Deben empezar por una letra o un número y no pueden contener guiones dobles (\$1\$1).
+ **Configuración de canalización**: configure la información de la fuente de datos mediante canalizaciones de procesamiento de registros al ingerir los registros de las aplicaciones.
**nota**
Los nombres de las fuentes de datos no pueden empezar por «aws» o «amazon» para evitar conflictos con los registros de AWS servicio.
## Campos del sistema
CloudWatch Los registros agregan automáticamente tres campos del sistema a los registros clasificados por fuente de datos. Estos campos sirven como facetas predeterminadas:
+ `@data_source_name`- Contiene el nombre de la fuente de datos o «Desconocido» si no se ha determinado
+ `@data_source_type`- Contiene el tipo de fuente de datos o «Desconocido» si no se ha determinado
+ `@data_format`- Indica el formato de los datos de registro
Si no se puede determinar el nombre o el tipo de la fuente de datos, estos campos se configuran como «Desconocido». Las fuentes de datos con valores «desconocidos» siguen visibles en las facetas y en la tabla de fuentes de datos situada en la sección «Administración de registros» de la consola, lo que permite identificar los registros no clasificados y del grupo de registros del que provienen.
El `@data_format` campo puede contener uno de los siguientes valores:
+ `Default`- Registros ingeridos sin modificación.
+ `Custom`- Los registros se procesan a través de procesadores de canalización o los registros se ingieren en un grupo de registros con etiquetas de fuentes name/type de datos.
+ `OCSF-`- Los registros se procesan con procesadores OCSF (Open Cybersecurity Schema Framework) en canalizaciones.
+ `AWS-OTEL-LOG-V`- OpenTelemetry registros ingeridos a través del punto final OTLP CloudWatch .
+ `AWS-OTEL-TRACE-V`- los OpenTelemetry rastros ingeridos a través del punto final de la OTLP CloudWatch .
Estos campos del sistema le permiten filtrar y consultar los registros en función de su origen y formato, lo que facilita el trabajo con registros de diferentes orígenes y procesos de procesamiento.
## Acceso a orígenes de datos
### Consola
En la consola de CloudWatch registros, se utiliza la pestaña **Administración de registros** para acceder a las fuentes de datos. CloudWatch Logs consolida automáticamente los datos de registro por fuentes y tipos de datos, y descubre continuamente los datos recién ingresados. Desde la lista de fuentes de datos, puede crear canalizaciones y definir índices y facetas de campos.
### AWS CLI
Usa el siguiente comando para enumerar las distintas fuentes de datos y tipos de registros de tu cuenta:
```
aws logs list-aggregate-log-group-summaries --group-by DATA_SOURCE_NAME_AND_TYPE
```
## Relación con los grupos de registros
Las fuentes de datos complementan, no sustituyen, a los grupos de registros. Los registros se siguen almacenando en grupos de registros como antes, pero ahora también se etiquetan automáticamente con la información de la fuente de datos. Esta organización dual le permite:
+ Utilice grupos de registros para obtener políticas detalladas de retención y control de acceso
+ Utilice las fuentes de datos para el descubrimiento y el análisis de registros basados en servicios
+ Consulte los registros mediante cualquiera de los dos métodos organizativos en función de sus necesidades
Las fuentes de datos facilitan el trabajo con los registros a escala, ya que proporcionan una visión centrada en el servicio de los datos de registro en toda la infraestructura. AWS
# Funciones habilitadas por las fuentes de datos
Las fuentes de datos permiten capacidades avanzadas de procesamiento y análisis de registros mediante el descubrimiento de campo y estructuras de datos consistentes.
+ **Facetas: las** facetas son campos de registro indexados que proporcionan filtrado y análisis interactivos sin necesidad de escribir consultas. CloudWatch Los registros crean automáticamente facetas para el nombre y el tipo de la fuente de datos, y puede crear políticas de facetas en los campos detectados para acelerar la solución de problemas. Las facetas muestran las distribuciones de valores y los recuentos en CloudWatch Logs Insights, lo que facilita la identificación de patrones mediante la exploración. point-and-click
+ **Canalizaciones**: cree canalizaciones de transformación que se apliquen a todos los registros de un nombre y tipo de fuente de datos específicos. Esto le permite definir reglas de procesamiento coherentes para los registros de la misma fuente.
+ **Detección de campos**: CloudWatch los registros descubren automáticamente los campos y sus tipos de datos para cada combinación de nombre y tipo de fuente de datos en función de los procesadores de canalización. En el AWS caso de los registros gestionados, las estructuras de campos están predefinidas. Para los registros de aplicaciones, recomendamos mantener formatos de registro consistentes para maximizar la compatibilidad con las herramientas de análisis, como las tablas de Amazon S3, que requieren estructuras de campo bien definidas.
Puede ver la lista completa de campos y sus tipos para cualquier fuente de datos mediante la `GetLogFields` API:
```
aws logs get-log-fields --data-source-name --data-source-type
```
Esta detección y coherencia de los campos permiten realizar análisis e integraciones avanzados, ya que las herramientas externas pueden trabajar con estructuras de campo predecibles al procesar los datos de registro.
# Compatible con Servicios de AWS fuentes de datos
En la siguiente tabla se enumeran las Servicios de AWS que los CloudWatch registros clasifican automáticamente como fuentes de datos:
| Nombre de la fuente de datos (campo @data\$1source\$1name) | Tipo de fuente de datos (campo @data\$1source\$1type) |
| --- | --- |
| amazon\$1api\$1gateway | access |
| amazon\$1bedrock\$1agentcore | browser\$1usage |
| amazon\$1bedrock\$1agentcore | code\$1interpreter\$1application |
| amazon\$1bedrock\$1agentcore | code\$1interpreter\$1usage |
| amazon\$1bedrock\$1agentcore | gateway\$1application |
| amazon\$1bedrock\$1agentcore | identity\$1workload\$1application |
| amazon\$1bedrock\$1agentcore | memory\$1application |
| amazon\$1bedrock\$1agentcore | online\$1evaluation\$1config |
| amazon\$1bedrock\$1agentcore | runtime\$1application |
| amazon\$1bedrock\$1agentcore | runtime\$1usage |
| amazon\$1bedrock\$1agents | application |
| amazon\$1bedrock\$1agents | event |
| amazon\$1bedrock\$1knowledge\$1bases | application |
| amazon\$1cloudfront | access |
| amazon\$1cloudfront | connection |
| amazon\$1cloudwatch | rum\$1app\$1monitor |
| amazon\$1cognito | user\$1pool |
| amazon\$1ec2 | verified\$1access |
| amazon\$1eks | api\$1server |
| amazon\$1eks | audit |
| amazon\$1eks | authenticator |
| amazon\$1eks | controller\$1manager |
| amazon\$1eks | scheduler |
| amazon\$1elasticache | cluster |
| amazon\$1eventbridge | eventbus\$1error |
| amazon\$1eventbridge | eventbus\$1info |
| amazon\$1eventbridge | pipes\$1execution |
| amazon\$1interactive\$1video\$1service | chat |
| amazon\$1managed\$1prometheus | scraper |
| amazon\$1managed\$1prometheus | workspace |
| amazon\$1msk | broker |
| amazon\$1msk | connect |
| amazon\$1opensearch\$1service | pipeline |
| amazon\$1q\$1business | events |
| amazon\$1q\$1business | sync\$1job |
| amazon\$1q\$1connect | events |
| amazon\$1route53 | global\$1resolver\$1query |
| amazon\$1route53 | hosted\$1zones |
| amazon\$1route53 | profiles\$1resolver\$1query |
| amazon\$1route53 | resolver\$1query |
| amazon\$1sagemaker | workteam\$1activity |
| amazon\$1ses | ingress\$1endpoints |
| amazon\$1ses | rule\$1sets |
| amazon\$1ses | traffic\$1policy |
| amazon\$1vpc | flow |
| amazon\$1vpc | route\$1server\$1peer |
| amazon\$1vpc\$1lattice | access |
| amazon\$1vpc\$1lattice | resource\$1access |
| amazon\$1workmail | access\$1control |
| amazon\$1workmail | authentication |
| amazon\$1workmail | personal\$1access |
| amazon\$1workmail | workmail\$1access |
| amazon\$1workmail | workmail\$1availability |
| aws\$1b2b\$1data\$1interchange | execution |
| aws\$1backup | data\$1access |
| aws\$1backup | hypervisor |
| aws\$1clean\$1rooms | analysis |
| aws\$1client\$1vpn | connection |
| aws\$1client\$1vpn | event |
| aws\$1cloudtrail | data |
| aws\$1cloudtrail | management |
| aws\$1elemental\$1mediapackage | egress\$1access |
| aws\$1elemental\$1mediapackage | ingress\$1access |
| aws\$1elemental\$1mediatailor | ad\$1decision |
| aws\$1elemental\$1mediatailor | manifest |
| aws\$1elemental\$1mediatailor | transcode |
| aws\$1entity\$1resolution | id\$1mapping\$1workflow |
| aws\$1entity\$1resolution | matching\$1workflow |
| aws\$1iot\$1fleetwise | error |
| aws\$1mainframe\$1modernization | batch\$1job |
| aws\$1mainframe\$1modernization | config |
| aws\$1mainframe\$1modernization | console |
| aws\$1mainframe\$1modernization | dataset\$1import |
| aws\$1network\$1firewall | alert |
| aws\$1network\$1firewall | flow |
| aws\$1network\$1firewall | tls |
| aws\$1nlb | access |
| aws\$1pcs | job\$1completion |
| aws\$1pcs | scheduler |
| aws\$1security\$1hub\$1cspm | asff\$1finding |
| aws\$1shield | protection\$1flow |
| aws\$1step\$1functions | express |
| aws\$1step\$1functions | standard |
| aws\$1transfer\$1family | server |
| aws\$1waf | access |
# Fuentes de terceros compatibles para las fuentes de datos
En la siguiente tabla se enumeran las fuentes de terceros que los CloudWatch registros clasifican automáticamente como fuentes de datos cuando se ingieren a través de canalizaciones:
| Nombre de la fuente de datos (campo @data\$1source\$1name) | Tipo de fuente de datos (campo @data\$1source\$1type) |
| --- | --- |
| crowdstrike\$1falcon | detection\$1finding |
| crowdstrike\$1falcon | process\$1activity |
| github\$1auditlogs | account\$1change |
| github\$1auditlogs | api\$1activity |
| github\$1auditlogs | entity\$1management |
| microsoft\$1entraid | account\$1change |
| microsoft\$1entraid | authentication |
| microsoft\$1entraid | entity\$1management |
| microsoft\$1entraid | user\$1access\$1management |
| microsoft\$1office365 | account\$1change |
| microsoft\$1office365 | application\$1lifecycle |
| microsoft\$1office365 | authentication |
| microsoft\$1office365 | compliance\$1finding |
| microsoft\$1office365 | detection\$1finding |
| microsoft\$1office365 | email\$1activity |
| microsoft\$1office365 | file\$1hosting\$1activity |
| microsoft\$1office365 | group\$1management |
| microsoft\$1office365 | incident\$1finding |
| microsoft\$1office365 | user\$1access\$1management |
| microsoft\$1office365 | vulnerability\$1finding |
| microsoft\$1office365 | web\$1resources\$1activity |
| microsoft\$1windows | account\$1change |
| microsoft\$1windows | authentication |
| microsoft\$1windows | entity\$1management |
| microsoft\$1windows | event\$1log\$1activity |
| microsoft\$1windows | file\$1system\$1activity |
| microsoft\$1windows | group\$1management |
| microsoft\$1windows | kernel\$1activity |
| okta\$1auth0 | api\$1activity |
| okta\$1auth0 | authentication |
| okta\$1sso | api\$1activity |
| okta\$1sso | authentication |
| okta\$1sso | detection\$1finding |
| okta\$1sso | entity\$1management |
| paloaltonetworks\$1nextgenerationfirewall | authentication |
| paloaltonetworks\$1nextgenerationfirewall | detection\$1finding |
| paloaltonetworks\$1nextgenerationfirewall | network\$1activity |
| paloaltonetworks\$1nextgenerationfirewall | process\$1activity |
| sentinelone\$1endpointsecurity | dns\$1activity |
| sentinelone\$1endpointsecurity | file\$1system\$1activity |
| sentinelone\$1endpointsecurity | http\$1activity |
| sentinelone\$1endpointsecurity | process\$1activity |
| servicenow\$1cmdb | api\$1activity |
| servicenow\$1cmdb | datastore\$1activity |
| servicenow\$1cmdb | entity\$1management |
| wiz\$1cnapp | api\$1activity |
| wiz\$1cnapp | authentication |
| wiz\$1cnapp | compliance\$1finding |
| wiz\$1cnapp | detection\$1finding |
| wiz\$1cnapp | vulnerability\$1finding |
| zscaler\$1internetaccess | authentication |
| zscaler\$1internetaccess | dns\$1activity |
| zscaler\$1internetaccess | http\$1activity |
| zscaler\$1internetaccess | network\$1activity |