Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Gestione las cargas de trabajo en la detección y respuesta a incidentes
<a name="manage-workloads-idr"></a>

Una parte clave de una gestión eficaz de incidentes es contar con los procesos y procedimientos adecuados para incorporar, probar y mantener las cargas de trabajo supervisadas. En esta sección se describen los pasos esenciales, como la elaboración de manuales y planes de respuesta exhaustivos para guiar a sus equipos ante los incidentes, probar y validar exhaustivamente las nuevas cargas de trabajo antes de incorporarlas, solicitar cambios para actualizar la supervisión de las cargas de trabajo y desvincular adecuadamente las cargas de trabajo cuando sea necesario.

**Topics**
+ [Desarrolle manuales y planes de respuesta](idr-workloads-dev-runbook.md)
+ [Pruebe las cargas de trabajo incorporadas](idr-workloads-testing.md)
+ [Solicita cambios en una carga de trabajo](idr-workloads-change-request.md)
+ [Suprima las alarmas](idr-workloads-suppress-alarms.md)
+ [Elimine una carga de trabajo](idr-workloads-offboard.md)

# Desarrolle manuales y planes de respuesta para responder a un incidente en el marco de la detección y respuesta a incidentes
<a name="idr-workloads-dev-runbook"></a>

Incident Detection and Response utiliza la información recopilada de su cuestionario de incorporación para desarrollar manuales y planes de respuesta para la gestión de los incidentes que afecten a sus cargas de trabajo. Los manuales documentan las medidas que toman los administradores de incidentes al responder a un incidente. Se asigna un plan de respuesta a al menos una de sus cargas de trabajo. El equipo de gestión de incidentes crea estas plantillas a partir de la información proporcionada por usted durante el descubrimiento de la [carga](idr-gs-discovery.md) de trabajo. Los planes de respuesta son plantillas de documentos AWS Systems Manager (SSM) que se utilizan para desencadenar incidentes. [Para obtener más información sobre los documentos SSM, consulte AWS Systems Manager Documentos.](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html) Para obtener más información sobre Incident Manager, consulte [¿Qué es? Administrador de incidentes de AWS Systems Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/index.html)

**Resultados clave:**
+ Finalización de la definición de la carga de trabajo en AWS Incident Detection and Response.
+ Finalización de las alarmas, los manuales de ejecución y la definición del plan de respuesta en AWS Incident Detection and Response.

También puede descargar un ejemplo del Runbook de detección y respuesta a incidentes de AWS: [aws-idr-runbook-example.zip.](samples/aws-idr-runbook-example.zip)

Ejemplo de manual:

```
Runbook template for AWS Incident Detection and Response
# Description
This document is intended for [CustomerName] [WorkloadName].  
  
[Insert short description of what the workload is intended for].

## Step: Priority
**Priority actions**
1. When a case is created with Incident Detection and Response, lock the case to yourself, verify the Customer Stakeholders in the Case from *Engagement Plans - Initial Engagement*. 
2. Send the first correspondence on the support case to the customer as below. If there is no support case or if it is not possible to use the support case then backup communication details are listed in the steps that follow.

```
Hello,

This is <<Engineer's name>> from AWS Incident Detection and Response. An alarm has triggered for your workload <<application name>>. I am currently investigating and will update you in a few minutes after I have finished initial investigation.

Alarm Identifier - <insert CloudWatch Alarm ARN or APM Response Identifier>
```

**Compliance and regulatory requirements for the workload**   
<<e.g. The workload deals with patient health records which must be kept secured and confidential. Information not to be shared with any third parties.>>

**Actions required from Incident Detection and Response in complying**   
<<e.g Incident Management Engineers must not shared data with third parties.>>

## Step: Information
**Review of common information**

* This section provides a space for defining common information which may be needed through the life of the incident.  
* The target user of this information is the Incident Management Engineer and Operations Engineer.
* The following steps may reference this information to complete an action (for example, execute the "Initial Engagement" plan).

---
**Engagement plans**

Describe the engagement plans applicable to this runbook. This section contains only contact details. Engagement plans will be referenced in the step by step **Communication Plans**. 

* **Initial engagement** 

AWS Incident Detection and Response Team will add customer stakeholder addresses below to the Support Case. AWS Stakeholders are for additional stakeholders that may need to be made aware of any issues.  
When updating customer stakeholders details in this plan also update the Backup Mailto links. 
  * ***Customer Stakeholders***:  customeremail1; customeremail2; etc
  * ***AWS Stakeholders***: aws-idr-oncall@amazon.com; tam-team-email; etc.   
  * ***One Time Only Contacts***: [These are email contacts that are included on only the first communication. Remove these contacts after the first communication has gone out. These could be customer paging email addresses such as pager-duty that must not be paged for every correspondence]
  * ***Backup Mailto Impact Template***: <*Insert Impact Template Mailto Link here*>
    * Use the backup Mailto when communication over cases is not possible.   
  * ***Backup Mailto No Impact Template***: <*Insert No Impact Mailto Link here*>
    * Use the backup Mailto when communication over cases is not possible.  


* **Engagement Escalation**

AWS Incident Detection and Response will reach out to the following contacts when the contacts from the **Initial engagement** plan do not respond to incidents.   
For each Escalation Contact indicate if they must be added to the support case, phoned or both.  
  * ***First Escalation Contact***: [escalationEmailAddress#1] / [PhoneNumber] - Wait XX Minutes before escalating to this contact. 
    * [add Contact to Case / phone] this contact. 
  * ***Second Escalation Contact***: [escalationEmailAddress#2] / [PhoneNumber] - Wait XX Minutes before escalating to this contact. 
    * [add Contact to Case / phone] this contact. 
  * Etc;
---
**Communication plans**

Describe how Incident Management Engineer communicates with designated stakeholders outside the incident call and communication channels.

* **Impact Communication plan**  
This plan is initiated when Incident Detection and Response have determined from step **Triage** that an alert indicates potential impact to a customer.  
Incident Detection and Response will request the customer to join the predetermined bridge (Chime Bridge/Customer Provided Bridge / Customer Static Bridge) as indicated in **Engagement plans - Incident call setup**.  
All backup email templates for use when cases can't be used are in **Engagement plans - Initial engagement**.  
  * 1 – Before sending the impact notification, verify then remove and/or add customer contacts from the Support Case CC based on the contacts listed in the **Initial engagement** Engagement plan. 
  * 2 – Send the engagement notification to the customer based the following Template:  
    (choose one and remove the rest)  
    ***Impact Template - Chime Bridge***  
    ```
    The following alarm has engaged AWS Incident Detection and Response to an Incident bridge: 
        Alarm Identifier - <insert CloudWatch Alarm ARN or APM Response Identifier>
        Alarm State Change Reason -  <insert state change reason>
        Alarm Start Time - <Example: 1 January 2023, 3:30 PM UTC>
    Please join the Chime Bridge below so we can start the steps outlined in your Runbook: 
        <insert Chime Meeting ID>
        <insert Link to Chime Bridge>
        International dial-in numbers: https://chime.aws/dialinnumbers/ 
    ```
   
    ***Impact Template - Customer Provided Bridge***
    ```
    The following alarm has engaged AWS Incident Detection and Response: 
        Alarm Identifier - <insert CloudWatch Alarm ARN or APM Response Identifier> 
        Alarm State Change Reason - <insert state change reason> 
        Alarm Start Time - <Example: 1 January 2023 3:30 PM UTC>
    Please respond with your internal bridge details so we can join and start the steps outlined in your Runbook. 
    ```  
    ***Impact Template - Customer Static Bridge***  
    ```
    The following alarm has engaged AWS Incident Detection and Response to an Incident bridge: 
        Alarm Identifier - <insert CloudWatch Alarm ARN or APM Response Identifier> 
        Alarm State Change Reason - <insert state change reason> 
        Alarm Start Time - <Example: 1 January 2023, 3:30 PM UTC> 
    Please join the Bridge below so we can start the steps outlined in your Runbook: 
        Conference Number: <insert conference number>
        Conference URL : <insert bridgeURL>
    ```
  * 3 - Set the Case to Pending Customer Action
  * 4 - Follow **Engagement Escalation** plan as mentioned above.
  * 5 - If the customer does not respond within 30 minutes, disengage and continue to monitor until the alarm recovers.
  
* **No Impact Communication plan**  
This plan is initiated when an alarm recovers before Incident Detection and Response have completed initial **Triage**.  
  * 1 - Before sending the no impact notification, verify then remove and/or add customer contacts from the Support Case CC based on the contacts listed in the **Engagement plans - Initial engagement** Engagement plan.
  * 2 - Send a no engagement notification to the customer based on the below template:  
  ***No Impact Template***  
  ```
  AWS Incident Detection and Response received an alarm that has recovered for your workload. 
      Alarm Identifier -  <insert CloudWatch Alarm ARN or APM Response Identifier>
      Alarm State Change Reason -  <insert state change reason>
      Alarm Start Time -  <Example: 1 January 2023, 3:30 PM UTC>
      Alarm End Time -  <Example: 1 January 2023, 3:35 PM UTC>
  This may indicate a brief customer impact that is currently not ongoing. 
  If there is an ongoing impact to your workload, please let us know and we will engage to assist. 
  ```
  * 3 - Put the case in to Pending Customer Action. 
  * 4 - If the customer does not respond within 30 minutes Resolve the case. 
  
* **Updates**  
If AWS Incident Detection and Response is expected to provide regular updates to customer stakeholders, list those stakeholders here. Updates must be sent via the same support case.  
Remove this section if not needed. 
  * Update Cadence: Every XX minutes
  * External Update Stakeholders: customeremailaddress1; customeremailaddress2; etc
  * Internal Update Stakeholders: awsemailaddress1; awsemailaddress2; etc

---
**Application architecture overview**

This section provides an overview of the application/workload architecture for Incident Management Engineer and Operations Engineer awareness.

* **AWS Accounts and Regions with key services** - list of AWS accounts with regions supporting this application. Assists Engineers in assessing underlying infrastructure supporting the application.
    * 123456789012 
      * US-EAST-1 - brief desc as appropriate    
        * EC2 - brief desc as appropriate        
        * DynamoDB - brief desc as appropriate                    
        * etc.
      * US-WEST-1 - brief desc as appropriate              
      * etc.
    * another-account-etc.
    
* **Resource identification** - describe how engineers determine resource association with application
    * Resource groups: etc.
    * Tag key/value: AppId=123456

* **CloudWatch Dashboards** - list dashboards relevant to key metrics and services
  * 123456789012 
    * us-east-1 
      * some-dashboard-name
      * etc.
  * some-other-dashboard-name-in-current-acct
  
## Step: Triage
**Evaluate incident and impact**
This section provides instructions for triaging of the incident to determine correct impact, description, and overall correct runbook being executed.

* **Evaluation of initial incident information**
  * 1 - Review Incident Alarm, noting time of first detected impact as well as the alarm start time. 
  * 2 - Identify which service(s) in the customer application is seeing impact. 
  * 3 - Review AWS Service Health for services listed under **AWS Accounts and Regions with key services**.
  * 4 - Review any customer provided dashboards listed under **CloudWatch Dashboards**

---
* **Impact**  
Impact is determined when either the customer's metrics do not recover, appear to be trending worse or if there is indication of AWS Service Impact. 
  * 1 – Start **Communication plans - Impact Communication plan**
  * 2 - Start **Engagement plans - Engagement Escalation** if no response is received from the **Initial Engagement** contacts.
  * 3 - Start **Communication plans - Updates** if specified in **Communication plans**

* **No Impact**  
No Impact is determined when the customer's alarm recovers before Triage is complete and there are no indications of AWS service impact or sustained impact on the customer's CloudWatch Dashboards. 
  * 1 - Start **Communication plans - No Impact Communication plan**
  
## Step: Investigate
**Investigation**  

  This section describes performing investigation of known and unknown symptoms.

**Known issue**
  * *List all known issues with the application and their standard actions here*

**Unknown issues** 
  * Investigate with the customer and AWS Premium Support.
  * Escalate internally as required.  
  
## Step: Mitigation
**Collaborate**  
* Communicate any changes or important information from the **Investigate** step to the members of the incident call.

**Implement mitigation**  
* ***List customer failover plans / Disaster Recovery plans / etc here for implementing mitigation.
      
## Step: Recovery
**Monitor customer impact**
* Review metrics to confirm recovery.
* Ensure recovery is across all Availability Zones / Regions / Services
* Get confirmation from the customer that impact is over and the application has recovered.

**Identify action items**  
* Record key decisions and actions taken, including temporary mitigation that might have been implemented.
* Ensure outstanding action items have assigned owners.
* Close out any Communication plans that were opened during the incident with a final confirmation of recovery notification.
```

# Pruebe las cargas de trabajo integradas en Detección y respuesta a incidentes
<a name="idr-workloads-testing"></a>

**nota**  
El AWS Identity and Access Management usuario o el rol que utilice para las pruebas de alarmas debe tener `cloudwatch:SetAlarmState` permiso.

El último paso del proceso de incorporación consiste en dedicar un día de juego a tu nueva carga de trabajo. Una vez completada la ingesta de alarmas, AWS Incident Detection and Response confirmará la fecha y la hora que elija para empezar el día de juego.

Su día de juego tiene dos objetivos principales:
+ **Validación funcional:** confirma que AWS Incident Detection and Response puede recibir correctamente sus eventos de alarma. Además, la validación funcional confirma que los eventos de alarma activan los manuales de ejecución adecuados y cualquier otra acción deseada, como la creación automática de cajas si la seleccionó durante la ingesta de alarmas.
+ **Simulación:** El día de juego es una simulación completa de lo que puede ocurrir durante un incidente real. AWS Incident Detection and Response sigue los pasos del manual prescrito para proporcionarle información sobre cómo podría desarrollarse un incidente real. El día del partido es una oportunidad para hacer preguntas o perfeccionar las instrucciones a fin de mejorar la participación.

Durante la prueba de alarma, AWS Incident Detection and Response trabaja con usted para solucionar cualquier problema identificado.

## CloudWatch alarmas
<a name="idr-workloads-testing-cw"></a>

AWS Incident Detection and Response pone a prueba CloudWatch las alarmas de Amazon monitorizando el cambio de estado de la alarma. Para ello, cambie manualmente la alarma al estado de **alarma** mediante el AWS Command Line Interface. También puede acceder al AWS CLI desde AWS CloudShell. AWS Incident Detection and Response le proporciona una lista de AWS CLI comandos para que los utilice durante las pruebas.

Para evitar acciones no deseadas, por ejemplo, el reinicio de la instancia Amazon EC2, desactive cualquier acción de CloudWatch alarma antes de cambiar el estado de la alarma. Puede volver a activar las acciones de CloudWatch alarma una vez finalizadas las pruebas. Para obtener más información sobre cómo habilitar o deshabilitar las acciones de alarma, consulta [DisableAlarmActions](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DisableAlarmActions.html)y consulta [EnableAlarmActions](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_EnableAlarmActions.html)la *Amazon CloudWatch API Reference*.

Ejemplo de AWS CLI comando para configurar un estado de alarma:

```
aws cloudwatch set-alarm-state --alarm-name "ExampleAlarm" --state-value ALARM --state-reason "Testing AWS Incident Detection and Response" --region us-east-1
```

Para obtener más información sobre cómo cambiar manualmente el estado de CloudWatch las alarmas, consulte [SetAlarmState](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_SetAlarmState.html).

Para obtener más información sobre los permisos necesarios para las operaciones de la CloudWatch API, consulta la [referencia de CloudWatch permisos de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/permissions-reference-cw.html).

## Alarmas APM de terceros
<a name="idr-workloads-testing-third-party-alarms"></a>

Las cargas de trabajo que utilizan una herramienta de monitoreo del rendimiento de las aplicaciones (APM) de terceros, como Datadog, Splunk, New Relic o Dynatrace, requieren instrucciones diferentes para simular una alarma. Al comienzo del día de juego, AWS Incident Detection and Response le solicita que cambie temporalmente los umbrales de alarma o los operadores de comparación para forzar la alarma al estado de **ALARMA**. Este estado activa una carga útil para AWS Incident Detection and Response.

## Resultados clave
<a name="idr-workloads-testing-key-outputs"></a>

Resultados clave:
+ La entrada de la alarma se ha realizado correctamente y la configuración de la alarma es correcta.
+ AWS Incident Detection and Response crea y recibe correctamente las alarmas.
+ Se crea un caso de soporte para su contratación y se notifica a los contactos prescritos.
+ AWS Incident Detection and Response puede contactar con usted a través de los medios de conferencia prescritos.
+ Se resuelven todas las alarmas y los casos de asistencia generados durante el día del partido.
+ Se envía un correo electrónico de Go-Live confirmando que AWS Incident Detection and Response está supervisando su carga de trabajo.

# Solicite cambios en una carga de trabajo integrada en Incident Detection and Response
<a name="idr-workloads-change-request"></a>

Para solicitar cambios en una carga de trabajo incorporada, complete los siguientes pasos para crear un caso de soporte con AWS Incident Detection and Response.

1. Vaya al [AWS Support Centro](https://console.aws.amazon.com/support/home#/) y, a continuación, seleccione **Crear caso**, como se muestra en el siguiente ejemplo:  
![\[AWS Ejemplo de Support Center.\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/images/workload-change-request1.png)

1. Elija **Técnico**.

1. En **Servicio**, elija **Detección y respuesta a incidentes**.

1. En **Categoría**, elija **Solicitud de cambio de carga** de trabajo.

1. En **Gravedad**, selecciona **Guía general**.

1. Introduzca un **asunto** para este cambio. Por ejemplo:

   Detección y respuesta a incidentes de AWS - *workload\$1name* 

1. Introduzca una **descripción** para este cambio. Por ejemplo, escriba «Esta solicitud se refiere a cambios en una carga de trabajo existente integrada en AWS Incident Detection and Response». Asegúrese de incluir la siguiente información en su solicitud:
   + **Nombre de la carga de trabajo:** el nombre de su carga de trabajo.
   + **Identificadores de cuenta:** ID1 ID2 ID3,,, etc.
   + **Detalles del cambio:** introduce los detalles del cambio solicitado.

1. En la sección **Contactos adicionales (opcional)**, introduce cualquier correo electrónico con el IDs que desees recibir correspondencia sobre este cambio.

   A continuación se muestra un ejemplo de la sección **Contactos adicionales: opcional**.  
![\[Introduzca los contactos en la sección Contactos adicionales (opcional) resaltada.\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/images/workload-change-request2.png)
**importante**  
Si no se añade el correo electrónico IDs en la sección **Contactos adicionales (opcional)**, se podría retrasar el proceso de cambio.

1. Seleccione **Enviar**.

   Después de enviar la solicitud de cambio, puede añadir correos electrónicos adicionales de su organización. Para añadir correos electrónicos, selecciona los **detalles de **Responder** en caso** de que se trate, como se muestra en el siguiente ejemplo:  
![\[La página de detalles que muestra el botón Responder resaltado.\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/images/workload-change-request3.png)

   A continuación, añade el correo electrónico IDs en la sección **Contactos adicionales (opcional)**.

   El siguiente es un ejemplo de la página de **respuesta** que muestra dónde puede introducir correos electrónicos adicionales.  
![\[La página de respuesta, donde puedes añadir correos electrónicos adicionales.\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/images/workload-change-request4.png)

# Evite que las alarmas activen la detección y respuesta a incidentes
<a name="idr-workloads-suppress-alarms"></a>

Especifique cuáles de sus alarmas de carga de trabajo integradas se activan con la supervisión de AWS Incident Detection and Response suprimiéndolas temporalmente o de forma programada. Por ejemplo, puede suprimir temporalmente las alarmas de carga de trabajo durante el mantenimiento planificado para evitar que las alarmas activen la función de detección y respuesta a incidentes. O bien, puede suprimir las alarmas de forma programada si tiene actividad de reinicio diaria. Puede suprimir las alarmas en la fuente de la alarma, como Amazon CloudWatch, o puede enviar una solicitud de cambio de carga de trabajo.

**Topics**
+ [

# Suprima las alarmas en la fuente de alarma
](suppress-alarms-at-source.md)
+ [

# Envíe una solicitud de cambio de carga de trabajo para suprimir las alarmas
](suppress-alarms-at-source-wcr.md)
+ [

# Tutorial: Utilice una función matemática métrica para suprimir una alarma
](suppress-alarms-tutorial-suppress.md)
+ [

# Tutorial: Elimine una función matemática métrica para desactivar una alarma
](suppress-alarms-tutorial-unsuppress.md)

# Suprima las alarmas en la fuente de alarma
<a name="suppress-alarms-at-source"></a>

Especifique qué alarmas se activan con la detección y respuesta a incidentes y cuándo lo hacen suprimiendo las alarmas en la fuente de alarma.

**Topics**
+ [

## Utilice una función matemática métrica para suprimir una alarma CloudWatch
](#suppress-alarms-at-source-cw)
+ [

## Elimine una función matemática métrica para desactivar una alarma CloudWatch
](#suppress-alarms-metric-math-unsuppress)
+ [

## Ejemplos de funciones matemáticas métricas y casos de uso asociados
](#suppress-alarms-example-functions)
+ [

## Suprima las alarmas de un APM de terceros
](#suppress-alarms-third-party-apm)

## Utilice una función matemática métrica para suprimir una alarma CloudWatch
<a name="suppress-alarms-at-source-cw"></a>

Para suprimir la supervisión de la detección de incidentes y la respuesta a CloudWatch las alarmas de Amazon, utiliza una [función matemática métrica](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-metric-math.html) para evitar que CloudWatch las alarmas entren en el `ALARM` estado durante un período designado.

**nota**  
Si desactivas **las acciones de alarma** en una CloudWatch alarma, no se suprime la supervisión de las alarmas mediante la detección y la respuesta a incidentes. Los cambios de estado de alarma se ingieren a través de Amazon EventBridge, no a través de acciones CloudWatch de alarma.

Para utilizar una función matemática métrica para suprimir una CloudWatch alarma, complete los siguientes pasos:

1. Inicie sesión en Consola de administración de AWS y abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Seleccione **Alarmas** y, a continuación, localice la alarma a la que desee añadir la función matemática métrica.

1. Selecciona **Acciones** y, a continuación, selecciona **Editar** para cambiar la alarma.

1. Seleccione **Editar métrica** para modificar la métrica de la alarma.

1. Elija **Añadir matemática** y **empezar con una expresión vacía**.

1. Introduce tu expresión matemática y, a continuación, selecciona **Aplicar**.

1. Deseleccione la métrica existente que la alarma monitorizó.

1. Seleccione la expresión que acaba de crear y, a continuación, elija **Seleccionar métrica**.

1. Elija **Saltar a la vista previa y crear**.

1. Revisa los cambios para asegurarte de que la función matemática métrica se aplica según lo previsto y, a continuación, selecciona **Actualizar alarma**.

Para ver un ejemplo paso a paso de cómo suprimir una CloudWatch alarma con una función matemática métrica, consulte[Tutorial: Utilice una función matemática métrica para suprimir una alarma](suppress-alarms-tutorial-suppress.md).

Para obtener más información sobre la sintaxis y las funciones disponibles, consulte [Funciones y sintaxis de las matemáticas métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-metric-math.html#metric-math-syntax) en la *Guía del CloudWatch usuario de Amazon*. 

## Elimine una función matemática métrica para desactivar una alarma CloudWatch
<a name="suppress-alarms-metric-math-unsuppress"></a>

Desactiva una CloudWatch alarma quitando la función matemática métrica. Para eliminar una función matemática métrica de una alarma, complete los siguientes pasos:

1. Inicie sesión en Consola de administración de AWS y abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Seleccione **Alarmas** y, a continuación, localice la alarma o alarmas de las que desee eliminar la expresión matemática métrica.

1. En la sección de matemáticas métricas, elija **Editar**.

1. Para eliminar la métrica de la alarma, selecciona **Editar** en la métrica y, a continuación, pulsa el botón **x** situado junto a la expresión matemática métrica.

1. Seleccione la métrica original y, a continuación, elija **Seleccionar métrica**.

1. Elija **Saltar a la vista previa y crear**. 

1. Revisa los cambios para asegurarte de que la función matemática métrica se aplica según lo previsto y, a continuación, selecciona **Actualizar alarma**.

## Ejemplos de funciones matemáticas métricas y casos de uso asociados
<a name="suppress-alarms-example-functions"></a>

La siguiente tabla contiene ejemplos de funciones matemáticas métricas, junto con los casos de uso asociados y una explicación de cada componente métrico.


| Función matemática métrica | Caso de uso | Explicación | 
| --- | --- | --- | 
|  `IF((DAY(m1) == 2 && HOUR(m1) >= 1 && HOUR(m1) < 3), 0, m1)`  |  Desactive la alarma todos los martes entre la 1:00 y las 3:00 a.m. UTC sustituyendo los puntos de datos reales por 0 durante este período.   |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/suppress-alarms-at-source.html)  | 
|  `IF((HOUR(m1) >= 23 \|\| HOUR(m1) < 4), 0, m1)`  |  Suprima la alarma entre las 11:00 p. m. y las 4:00 a. m. UTC, todos los días sustituyendo los puntos de datos reales por 0 durante este período.   |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/suppress-alarms-at-source.html)  | 
|  `IF((HOUR(m1) >= 11 && HOUR(m1) < 13), 0, m1) `  |  Desactive las alarmas todos los días entre las 11:00 y las 13:00, hora peninsular española, sustituyendo los puntos de datos reales por 0 durante este período.  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/suppress-alarms-at-source.html)  | 
|  `IF((DAY(m1) == 2 && HOUR(m1) >= 1 && HOUR(m1) < 3), 99, m1)`  |  Desactive la alarma entre la 1:00 y las 3:00 a. m. UTC de todos los martes sustituyendo los puntos de datos reales por 99 durante este período.  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/suppress-alarms-at-source.html)  | 
|  `IF((HOUR(m1) >= 23 \|\| HOUR(m1) < 4), 100, m1)`  |  Suprima la alarma todos los días entre las 23:00 y las 16:00, hora peninsular española, sustituyendo los puntos de datos reales por 100 durante este período.   |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/suppress-alarms-at-source.html)  | 
|  `IF((HOUR(m1) >= 11 && HOUR(m1) < 13), 99, m1) `  |  Desactive las alarmas todos los días entre las 11:00 y las 13:00, hora peninsular española, sustituyendo los puntos de datos reales por 99 durante este período.   |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/suppress-alarms-at-source.html)  | 

## Suprima las alarmas de un APM de terceros
<a name="suppress-alarms-third-party-apm"></a>

Consulte la documentación de su proveedor de APM externo para obtener instrucciones sobre cómo suprimir las alarmas. Algunos ejemplos de proveedores de APM externos son New Relic, Splunk, Dynatrace, Datadog y. SumoLogic

# Envíe una solicitud de cambio de carga de trabajo para suprimir las alarmas
<a name="suppress-alarms-at-source-wcr"></a>

Si no puede suprimir las alarmas en su origen como se describe en la sección anterior, envíe una solicitud de cambio en la carga de trabajo para indicar a Detección y Respuesta a los incidentes que supriman manualmente la supervisión de algunas o todas las alarmas de la carga de trabajo.

Para obtener instrucciones detalladas sobre cómo crear una solicitud de cambio de carga de trabajo, consulte [Solicitar cambios en una carga de trabajo integrada en Detección y respuesta a incidentes](https://docs.aws.amazon.com/IDR/latest/userguide/idr-workloads-change-request.html). Al presentar una solicitud de cambio de carga de trabajo para solicitar la supresión de las alarmas, asegúrese de proporcionar la siguiente información obligatoria
+ **Nombre de la carga de trabajo:** el nombre de su carga de trabajo.
+ **ID de cuenta:** ID1 ID2 ID3,, etc.
+ **Detalles del cambio:** supresión de alarmas
+ **Hora de inicio de la supresión:** fecha, hora y zona horaria.
+ **Hora de finalización de la supresión:** fecha, hora y zona horaria.
+ **Alarmas que se deben suprimir:** una lista de identificadores de CloudWatch alarmas ARNs o eventos de APM de terceros que se deben suprimir.

Tras crear la solicitud de cambio de carga de trabajo para la supresión de alarmas, recibirá las siguientes notificaciones de Detección y Respuesta a Incidentes:
+ Reconocimiento de su solicitud de cambio de carga de trabajo.
+ Notificación cuando se suprimen las alarmas.
+ Notificación cuando las alarmas se vuelven a activar para su supervisión.

# Tutorial: Utilice una función matemática métrica para suprimir una alarma
<a name="suppress-alarms-tutorial-suppress"></a>

En el siguiente tutorial, se explica cómo suprimir una CloudWatch alarma mediante la matemática métrica.

**Escenario de ejemplo**

Hay una actividad planificada que tendrá lugar entre la 1:00 y las 3:00 a. m. UTC del próximo martes. Desea crear una función matemática CloudWatch métrica que sustituya los puntos de datos reales durante este tiempo por 0 (un punto de datos que esté por debajo del umbral establecido). 

1. Evalúa los criterios que hacen que se active la alarma. En la siguiente captura de pantalla se muestra un ejemplo de los criterios de alarma:  
![\[CloudWatch pantalla que muestra los detalles de la alarma.\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/images/metric-math-assess-alarm-criteria.png)

   La alarma que se muestra en la captura de pantalla anterior monitorea la `UnHealthyHostCount` métrica de un grupo objetivo de Application Load Balancer. Esta alarma entra en `ALARM` estado cuando la `UnHealthyHostCount` métrica es mayor o igual a 3 para 5 de los 5 puntos de datos. La alarma considera que los datos faltantes son incorrectos (sobrepasando el umbral configurado).

1. Cree la función matemática métrica.

   En este ejemplo, la actividad planificada tendrá lugar entre la 1:00 y las 3:00 a. m. UTC del próximo martes. Por lo tanto, cree una función matemática CloudWatch métrica que sustituya los puntos de datos reales durante este tiempo por 0 (un punto de datos que esté por debajo del umbral establecido). 

   Tenga en cuenta que el punto de datos de reemplazo que debe configurar varía según la configuración de la alarma. Por ejemplo, si tiene una alarma que monitorea la tasa de éxito de HTTP, con un umbral inferior a 98, sustituya los puntos de datos reales durante la actividad planificada por un valor superior al umbral configurado, 100. El siguiente es un ejemplo de función matemática métrica para este escenario.

   ```
   IF((DAY(m1) == 2 && HOUR(m1) >= 1 && HOUR(m1) < 3), 0, m1)
   ```

   La función matemática métrica anterior contiene los siguientes elementos:
   + **DÍA (m1) == 2**: Garantiza que sea martes (lunes = 1, domingo = 7).
   + **HORA (m1) >= 1 && HORA (m1) < 3: Especifica el intervalo de tiempo comprendido entre la 1 a. m. y las 3** a. m. UTC.
   + **IF (condition, value\$1if\$1true, value\$1if\$1false)**: si las condiciones son verdaderas, la función reemplaza el valor métrico por 0. De lo contrario, se devuelve el valor original (m1).

   Para obtener información adicional sobre la sintaxis y las funciones disponibles, consulte [Funciones y sintaxis de las matemáticas métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-metric-math.html#metric-math-syntax) en la *Guía del CloudWatch usuario de Amazon*

1. Inicie sesión en Consola de administración de AWS y abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Seleccione **Alarmas** y, a continuación, localice la alarma a la que desee añadir la función matemática métrica.

1. En la sección de matemáticas métricas, selecciona **Editar**.

1. Elija **Añadir matemática**, **comience con una expresión vacía**.

1. Introduzca la expresión matemática y, a continuación, seleccione **Aplicar**.

   La métrica existente que supervisa la alarma se convierte automáticamente en **m1** y la expresión matemática en **e1**, como se muestra en el siguiente ejemplo:  
![\[CloudWatch pantalla que muestra expresiones matemáticas métricas.\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/images/metric-math-expression.png)

1. (Opcional) Edita la etiqueta de la expresión matemática métrica para que otros usuarios entiendan su función y el motivo por el que se creó, como se muestra en el siguiente ejemplo:  
![\[CloudWatch pantalla que muestra la edición de una etiqueta de expresión de coincidencia métrica.\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/images/metric-math-edit-label.png)

1. **Deseleccione **m1**, seleccione **e1** y, a continuación, elija Seleccionar métrica.** Esto configura la alarma para que supervise directamente la expresión matemática en lugar de la métrica subyacente.

1. Elija **Saltar a la vista previa y crear**.

1. Compruebe que la alarma esté configurada según lo previsto y, a continuación, seleccione **Actualizar alarma para guardar el cambio**.

En el ejemplo anterior, sin la función matemática métrica aplicada, la `UnHealthyHostCount` métrica real se habría registrado durante la actividad planificada. Esto habría provocado que la CloudWatch alarma entrara en `ALARM` estado y activara la función de detección y respuesta a incidentes, como se muestra en el siguiente ejemplo:

![\[CloudWatch pantalla que muestra los puntos de datos que conducen a un estado de alarma.\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/images/metric-math-example-alarm-state.png)


Una vez implementada la función matemática métrica, los puntos de datos reales se sustituyen por 0 durante la actividad y la alarma permanece en ese `OK` estado, lo que impide la detección de incidentes y la respuesta. 

![\[CloudWatch pantalla que muestra los puntos de datos sin estado de alarma.\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/images/metric-math-datapoints-no-alarm.png)


# Tutorial: Elimine una función matemática métrica para desactivar una alarma
<a name="suppress-alarms-tutorial-unsuppress"></a>

Si suprimes una CloudWatch alarma para una actividad única, elimina la función matemática métrica de la alarma una vez finalizada la actividad para reanudar la supervisión regular de la alarma. Para desactivar la alarma de forma regular, por ejemplo, si tienes una rutina de aplicación de parches semanal programada que hace que, por ejemplo, se reinicie el mismo día y a la misma hora cada semana, deja activa la función matemática métrica.

En el siguiente tutorial se explica cómo eliminar una función matemática métrica para desactivar una alarma CloudWatch 

1. Inicie sesión en Consola de administración de AWS y abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Seleccione **Alarmas** y, a continuación, localice la alarma a la que desee añadir la función matemática métrica.

1. En la sección de matemáticas métricas, selecciona **Editar**.

1. Para eliminar la supresión de la alarma, pulse el botón **x** situado junto a la expresión matemática métrica.  
![\[CloudWatch pantalla que muestra el botón x para eliminar una función matemática métrica.\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/images/metric-math-unsuppress.png)

1. Seleccione la métrica para reanudar la supervisión de la métrica real y, a continuación, elija **Seleccionar métrica**.  
![\[CloudWatch pantalla que muestra el botón Seleccionar métrica.\]](http://docs.aws.amazon.com/es_es/IDR/latest/userguide/images/metric-math-unsuppress-2.png)

1. Seleccione **Saltar a la vista previa y crear**.

1. Compruebe que la alarma esté configurada según lo previsto y, a continuación, seleccione **Actualizar alarma para guardar el cambio**.

# Elimine una carga de trabajo de la detección y respuesta a incidentes
<a name="idr-workloads-offboard"></a>

Para excluir una carga de trabajo de AWS Incident Detection and Response, cree un nuevo caso de soporte para cada carga de trabajo. Al crear el caso de soporte, tenga en cuenta lo siguiente:
+ Para eliminar una carga de trabajo que está en una sola AWS cuenta, crea el caso de soporte desde la cuenta de la carga de trabajo o desde tu cuenta de pagador.
+ **Para eliminar una carga de trabajo que abarca varias AWS cuentas, crea el caso de soporte desde tu cuenta de pagador.** En el cuerpo del caso de soporte, incluye todas las cuentas IDs que deseas eliminar.

**importante**  
Si crea un caso de soporte para retirar una carga de trabajo de la cuenta incorrecta, es posible que se produzcan retrasos y se solicite información adicional antes de poder descargar las cargas de trabajo.

**Solicitud para eliminar una carga de trabajo**

1. Ve al [AWS Support Centro](https://console.aws.amazon.com/support/home#/) y, a continuación, selecciona **Crear caso**.

1. Elija **Técnico**.

1. En **Servicio**, selecciona **Detección y respuesta a incidentes**.

1. En **Categoría**, elija **Workload Offlboarding**.

1. En **Gravedad**, selecciona **Guía general**.

1. Introduzca un **asunto** para este cambio. Por ejemplo:

   [Fuera de bordo] Detección y respuesta a incidentes de AWS - *workload\$1name*

1. Introduzca una **descripción** para este cambio. Por ejemplo, escriba «Esta solicitud es para eliminar una carga de trabajo existente incorporada en AWS Incident Detection and Response». Asegúrese de incluir la siguiente información en su solicitud:
   + **Nombre de la carga de trabajo:** el nombre de su carga de trabajo.
   + **Identificadores de cuenta:** ID1 ID2 ID3,,, etc.
   + **Motivo de la desvinculación: indica** el motivo de la desvinculación de la carga de trabajo.

1. En la sección **Contactos adicionales (opcional)**, introduce cualquier correo electrónico con el IDs que desees recibir correspondencia sobre esta solicitud de exclusión.

1. Seleccione **Enviar**.