Funcionamiento de las reglas Creación de una regla de habilitación de telemetría Administración de reglas de telemetría Orígenes de datos admitidos

Reglas de habilitación de telemetría

Puede crear reglas de activación de telemetría para configurar automáticamente la recopilación de telemetría para sus recursos de AWS. Las reglas le ayudan a estandarizar la recopilación de telemetría en toda su organización o sus cuentas y a garantizar una cobertura de supervisión coherente.

Temas

Funcionamiento de las reglas
Creación de una regla de habilitación de telemetría
Administración de reglas de telemetría
Orígenes de datos admitidos

Funcionamiento de las reglas

La configuración de telemetría sigue patrones específicos al evaluar y aplicar reglas.

Jerarquía de evaluación de reglas

Las reglas de activación se evalúan según un patrón jerárquico. Primero se evalúan las reglas organizativas, seguidas de las reglas que se aplican a las unidades organizativas (OU) y, por último, las reglas que se aplican a las cuentas individuales. Las reglas por organización proporcionan la telemetría básica requerida para la organización. Las reglas por unidad organizativa y cuenta pueden recopilar datos de telemetría adicionales, pero no pueden recopilar menos datos de telemetría. Si se crea una regla de este tipo, se generará un conflicto de reglas.

Dentro de cada ámbito (organización, unidad organizativa o cuenta), las reglas deben mantener la exclusividad en función del tipo de recurso, el tipo de telemetría y la configuración de destino. Las reglas duplicadas generan una excepción de conflicto. Si la misma regla existe en ámbitos diferentes, como una regla de nivel de organización para los registros de flujos de Amazon VPC en CloudWatch y una regla por unidad organizativa para los registros de flujos de Amazon VPC, se aplica la regla más alta de la jerarquía. Sin embargo, si existen varias reglas en conflicto, no se aplica ninguna de las reglas.

Cuando se aplican varias reglas al mismo recurso, la configuración de telemetría resuelve los conflictos según estas prioridades:

Las reglas por organización tienen prioridad sobre las reglas por cuenta
Las coincidencias de etiquetas más específicas tienen prioridad sobre las reglas generales
Si hay varias reglas en conflicto, no se aplica ninguna de las reglas. Debe resolver los conflictos primero.

Comportamiento de las reglas en las actualizaciones

Si actualiza una regla de habilitación, solo los recursos nuevos que coincidan con la regla adoptan la configuración actualizada. La configuración de telemetría existente permanece sin cambios para los recursos ya existentes. Si un recurso deja de cumplir una regla existente debido a la eliminación manual de los datos de telemetría, la nueva regla de activación se adopta una vez que el recurso vuelve a ser conforme.

Para Registros de flujo de Amazon VPC, la configuración de telemetría solo crea nuevos registros de flujo para los recursos que coinciden con el ámbito de la regla. No elimina ni afecta los registros de flujo de Amazon VPC ya existentes, incluso si difieren de los parámetros de la regla actual. En el caso de los Registros de CloudWatch, los grupos de registros existentes se mantienen siempre que coincidan con el patrón de recursos.

Integración con AWS Config

La auditoría y la configuración de telemetría de CloudWatch se integran con AWS Config para detectar automáticamente los recursos que cumplen con su regla de activación y aplicarlos a la recopilación de datos de telemetría. Al crear una regla de activación, la configuración de telemetría crea el registrador de AWS Config correspondiente. Este registrador incluye elementos de configuración para los tipos de recursos específicos que defina en la regla de activación.

Amazon CloudWatch utiliza registrador vinculado a servicios internos de AWS Config. No se le cobrarán los CI que CloudWatch utilice como parte de los registradores vinculados a servicios internos.

nota

Al crear una regla de activación, detectamos los recursos no conformes (aquellos que no tienen la telemetría activada) a través de los elementos de configuración (CI) de AWS Config antes de activarlos en función del ámbito de la regla de activación. En algunos casos, la detección inicial de recursos puede tardar hasta 24 horas en completarse.

La configuración de telemetría utiliza AWS Config para lo siguiente:

Detección de recursos en su organización o sus cuentas
Seguimiento de los cambios de configuración de telemetría

Reglas en las regiones

Cuando crea una regla con regiones de destino, la región actual se convierte en la región principal de esa regla. La regla se replica automáticamente en las regiones satélite que seleccione.

Conceptos clave para reglas multirregión:

Las reglas replicadas no se pueden editar ni eliminar en las regiones satélite. Debe ir a la región principal para modificarlas o eliminarlas.
Si selecciona Todas las regiones, las nuevas regiones se incluyen automáticamente cuando las habilite.
El sistema realiza periódicamente una reconciliación de las reglas entre regiones para corregir cualquier desviación entre la región principal y las regiones satélite.
Las etiquetas aplicadas a las reglas en la región principal se replican en las regiones satélite.

Cuando se crea, actualiza o elimina una regla replicada en una región satélite, AWS CloudTrail registra un AwsServiceEvent en la región satélite. Estos eventos se registran con observabilityadmin.amazonaws.com como el servicio invocador e incluyen el ARN de la regla en la región satélite. Puedes usar estos eventos para auditar la actividad de replicación de reglas multirregión.

El siguiente es un ejemplo de evento AWS CloudTrail registrado cuando se crea una regla replicada en una región satélite:


{
    "eventVersion": "1.11",
    "userIdentity": {
        "accountId": "123456789012",
        "invokedBy": "observabilityadmin.amazonaws.com"
    },
    "eventTime": "2026-04-06T19:50:37Z",
    "eventSource": "observabilityadmin.amazonaws.com",
    "eventName": "CreateTelemetryRule",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "observabilityadmin.amazonaws.com",
    "userAgent": "observabilityadmin.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "eventID": "435d6da2-d099-4775-8944-1e039418de6f",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::ObservabilityAdmin::TelemetryRule",
            "ARN": "arn:aws:observabilityadmin:us-east-1:123456789012:telemetry-rule/my-multi-region-rule"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

El campo eventName refleja la operación realizada sobre la regla replicada: CreateTelemetryRule, UpdateTelemetryRule o DeleteTelemetryRule. El eventType siempre es AwsServiceEvent porque la operación la realiza el servicio ObservabilityAdmin en nombre del cliente, no una llamada a la API directa del cliente.

Creación de una regla de habilitación de telemetría

Al crear la regla de activación de la telemetría, especifica lo siguiente:

El ámbito de la regla (organización, unidad organizativa o cuenta)
Los tipos de recurso a los que se aplica la regla
Los tipos de telemetría que se activarán (métricas, registros o seguimientos)
Etiquetas opcionales para filtrar los recursos a los que afecta la regla
Regiones de destino opcionales para replicar la regla en múltiples regiones

Creación de una regla de activación de la telemetría

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, elija Ingesta.
Elija la pestaña Reglas de activación.
Seleccione Agregar regla.
En Nombre de la regla, ingrese un nombre para la regla.
En Ámbito de la regla, elija una de las siguientes opciones:
- Organización: la regla se aplica en toda la AWS Organizations
- Unidad organizativa: la regla se aplica a una unidad organizativa específica
- Cuenta: la regla se aplica a una sola cuenta
En Origen de datos, seleccione el servicio de AWS que desee configurar.
En Tipo de telemetría, seleccione los tipos de telemetría que desee activar.
(Optativo) Agregue etiquetas para filtrar qué recursos afecta la regla.
(Optativo) En Regiones de destino, seleccione las regiones donde desea que se aplique esta regla. La región actual se designa automáticamente como la región principal de la regla. Si selecciona Todas las regiones, las nuevas regiones se incluyen automáticamente cuando las habilite.
Seleccione Creación de regla.

Administración de reglas de telemetría

Tras crear las reglas, puede editarlas o eliminarlas. También puede ver a qué recursos afecta cada regla y supervisar el cumplimiento de las reglas.

Administración de una regla existente

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, elija Ingesta.
Elija la pestaña Reglas de activación.
Seleccione una regla para ver sus detalles o elija una de estas acciones:
- Editar regla: modifique la configuración de la regla
- Eliminar: elimine la regla

Administración de reglas replicadas

Cuando visualiza una regla replicada en una región satélite, la consola muestra una alerta informativa que indica que la regla se ha replicado desde otra región. Las acciones Editar regla y Eliminar están deshabilitadas para las reglas replicadas en regiones satélite.

Para editar o eliminar una regla replicada, vaya a la región principal donde se creó originalmente la regla. La región principal se muestra en la alerta informativa.

Puede agregar o modificar etiquetas en reglas replicadas en regiones satélite. Los cambios de etiquetas realizados en regiones satélite solo se aplican a la copia local de la regla y no se replican de vuelta en la región principal.

Orígenes de datos admitidos

Los siguientes orígenes de datos son compatibles con las reglas de habilitación de telemetría. Cada origen de datos tiene un comportamiento específico y consideraciones de configuración.

registros de flujo de Amazon VPC

Al crear registros de flujo:

Se utiliza el patrón predeterminado /aws/vpc/vpc-id si no se especifica ninguno
Se conservan los registros de flujo existentes creados por el cliente
Las actualizaciones de las reglas solo afectan a los nuevos registros de flujo
Puede usar las macros <vpc-id> y <account-id> para dividir grupos de registro.
CloudWatch no crea registros de flujos para las VPC que ya ingieren registros a Registros de CloudWatch.

Registros del plano de control de Amazon EKS

Al activar el registro de plano de control:

Utiliza el patrón de grupo de registro de CloudWatch predeterminado /aws/eks/<cluster-name>/cluster. Amazon EKS crea automáticamente un grupo de registro por clúster.
Las actualizaciones de reglas solo afectan a los clústeres nuevos o solo a los clústeres que no tengan activados los tipos de registro acotados.
Puede activar los tipos de registro específico: api, audit, authenticator, controllerManager, scheduler

AWS Registros de ACL web de WAF

Al crear registros de WAF:

Utiliza el patrón de grupo de registro de CloudWatch predeterminado y siempre utiliza el prefijo aws-waf-logs-
Las actualizaciones de reglas solo afectan a las ACL web nuevas o a las ACL web existentes que no tengan activado el registro en Registros de CloudWatch.
CloudWatch no permite los registros para las ACL web que ya ingieren registros a Registros de CloudWatch.

Registros de Amazon Route 53 Resolver

Al activar el registro de consultas de Resolver:

Utiliza el patrón de grupo de registro de CloudWatch predeterminado /aws/route53resolver si no se especifica ninguno.
Puede usar las macros <account-id> para dividir grupos de registro.
CloudWatch no crea registros de consultas de Resolver para las VPC que ya ingieren registros a Registros de CloudWatch.
Las reglas de habilitación configuran el registro de consultas de Amazon Route 53 para las VPC en función del ámbito de la regla. CloudWatch no detecta perfiles de Route 53 ni las configuraciones relacionadas.

Registros de acceso de NLB

Al activar los registros de acceso:

Usa el patrón predeterminado del grupo de registro de CloudWatch con el prefijo /aws/nlb/access-logs si no se especifica ninguno
CloudWatch no permite las entregas de registros para NLB que ya ingieren registros a Registros de CloudWatch.

Registros de CloudTrail que usan un canal vinculado a servicios

Al activar los registros de CloudTrail mediante la ruta de SLC:

Utiliza grupos de registro de CloudWatch administrados aws/cloudtrail/<event-types>
Se conservan las configuraciones de reenvío de CloudTrail Trail existentes creadas por el cliente.
Las reglas de activación de CloudWatch solo utilizan un canal vinculado a servicios para ingerir registros.
Los eventos utilizan el periodo de retención configurado para el grupo de registro
En el caso de los eventos de CloudTrail, como parte del asistente de activación, puede elegir al menos un tipo de evento para ingerirlo a CloudWatch.
Si los eventos se entregan con retraso (indicado mediante el motivo del apéndice DELIVERY_DELAY) y anteriormente configuró un periodo de retención más corto, es posible que los eventos retrasados solo estén disponibles durante el periodo de retención más corto.

sugerencia

Para configurar los registros de CloudTrail en varias regiones, utilice el selector de regiones de destino al crear la regla de habilitación. Esto replica la regla en las regiones seleccionadas automáticamente desde la región principal.

Métricas detalladas de Amazon EC2

Al activar la supervisión detallada:

Los cambios en el estado de la instancia pueden afectar a la recopilación de métricas

AWS Security Hub

Al activar los registros de Security Hub:

Utiliza el patrón de grupo de registro administrado de CloudWatch aws/securityhub_cspm/findings
CloudWatch no habilita la entrega de registros para Security Hub que ya ingieren registros en Registros de CloudWatch administrados.

Amazon Bedrock AgentCore

Active tanto los registros como los rastros que se emiten desde todas las primitivas de Bedrock AgentCore disponibles, como Tiempo de ejecución, Herramientas del navegador, Herramientas del intérprete de código, etc. Siga la experiencia de la consola de configuración de telemetría para crear una regla de entrega de registros y, a continuación, cree una regla de entrega de rastros.
Al crear una regla de entrega de rastros, se activará la búsqueda de transacciones y se creará una política de permisos adicional para permitir que CloudWatch X-Ray envíe el rastro correlacionado al grupo de registro administrado de su cuenta. Además, se creará una política de recursos de X-Ray para permitir que las primitivas de Bedrock AgentCore actuales y nuevas envíen rastros a su cuenta.

Puerta de enlace de Amazon Bedrock AgentCore

Al activar los registros de Puerta de enlace AgentCore de Bedrock:

Utiliza el patrón de grupo de registro de CloudWatch predeterminado /aws/bedrock/agentcore si no se especifica ninguno.
CloudWatch no permite las entregas de registros para Puerta de enlace AgentCore de Bedrock que ya envían registros a instancias de Registros de CloudWatch.

Memoria de Amazon Bedrock AgentCore

Al activar los registros de Memoria de AgentCore de Bedrock:

Utiliza el patrón de grupo de registro de CloudWatch predeterminado /aws/bedrock/agentcore si no se especifica ninguno.
CloudWatch no permite las entregas de registros para Memoria de AgentCore de Bedrock que ya envían registros a instancias de Registros de CloudWatch.

Distribución de Amazon CloudFront

Al activar los registros de Distribución de CloudFront:

CloudWatch no permite las entregas de registros para distribuciones de CloudFront que ya envían registros a instancias de Registros de CloudWatch administradas.

Métricas de clúster de Amazon MSK

Al habilitar las métricas del clúster de MSK:

Solo se admite el tipo de telemetría MÉTRICAS
Puede configurar niveles de supervisión mejorada (PER_BROKER, PER_TOPIC_PER_BROKER, etc.) para controlar el nivel de detalle de las métricas recopiladas
Las reglas con distintos niveles de supervisión mejorada pueden coexistir para el mismo clúster de MSK

Métricas de enriquecimiento de OpenTelemetry

Al habilitar las métricas de enriquecimiento de OpenTelemetry:

Solo se admite el tipo de telemetría MÉTRICAS
Se trata de una habilitación a nivel de cuenta sin ningún destino configurable por el usuario
No se admiten criterios de selección a nivel de recurso

Identidad de carga de trabajo de Amazon Bedrock AgentCore

Al habilitar el registro para la identidad de carga de trabajo de Amazon Bedrock AgentCore:

Utiliza el patrón de grupo de registro de CloudWatch predeterminado /aws/bedrock/agentcore si no se especifica ninguno.
CloudWatch no habilita la entrega de registros para la Identidad de carga de trabajo de Bedrock AgentCore cuyos registros ya se ingieren en Registros de CloudWatch

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Detección de recursos

Solución de problemas de configuración de telemetría