🧠FFVAcademy
📊

Monitoramento: CloudWatch, CloudTrail, Config

9 min de leitura·+45 XP

Observabilidade na AWS se apoia em 3 pilares: métricas (CloudWatch), auditoria de API (CloudTrail) e estado de configuração (Config). Cada um responde a uma pergunta diferente. Misturá-los é um dos erros mais comuns no CLF-C02.

Onde isso entra no exame

📘 Domain 3 — Cloud Technology and Services· 34%

Monitoramento aparece em cerca de 15% do domínio 3, geralmente em formato "qual serviço respondo para esta pergunta". Decore: métrica/log → CloudWatch; API call → CloudTrail; drift de config → Config.

A trindade da observabilidade

🗺️ Qual serviço responde qual pergunta

┌──────────────────┬────────────────────┬────────────────────┐
│   CloudWatch     │   CloudTrail       │      Config        │
├──────────────────┼────────────────────┼────────────────────┤
│ "Como a EC2 está │ "Quem deletou a    │ "O bucket tinha    │
│  performando?"   │  EC2 ontem?"       │  versioning on?"   │
├──────────────────┼────────────────────┼────────────────────┤
│ Métricas + Logs  │ Log de API calls   │ Histórico de       │
│ + Alarms +       │ (quem/quando/      │ configurações      │
│ Dashboards       │ onde/o quê)        │ dos recursos       │
├──────────────────┼────────────────────┼────────────────────┤
│ 15 meses de      │ 90 dias grátis     │ 7 anos (S3)        │
│ retenção (paga)  │ (Event history)    │ com Config         │
│                  │ Indefinido (S3)    │ Recorder           │
└──────────────────┴────────────────────┴────────────────────┘

Amazon CloudWatch

Três sub-serviços principais:

Sub-serviçoO que coletaUso típico
MetricsPontos numéricos ao longo do tempoCPU, disk, network, latência ALB, throttling Lambda
LogsLinhas de log de apps / serviçosLogs do Lambda, CloudTrail, VPC Flow Logs
Events / EventBridgeEventos em tempo real (ex: EC2 state change)Triggers para Lambda, SQS, Step Functions

Outros componentes:

  • Alarms — thresholds em métricas disparam ações
  • Dashboards — visualização customizada
  • Logs Insights — query SQL-like em logs (pay-per-query)
  • Container Insights — métricas para ECS/EKS
  • Lambda Insights — métricas estendidas para Lambda
  • Synthetics — canários que simulam requisições de usuário
  • RUM (Real User Monitoring) — telemetria de navegadores reais

Métricas detalhadas vs básicas

TipoIntervaloCustoUso
Basic (padrão)5 minutosGrátisWorkloads com mudança lenta
Detailed Monitoring1 minutoPagoCargas com picos rápidos, Auto Scaling responsivo
High-resolution custom metrics1 segundoPagoAPM, apps críticas
💡
Exame: EC2 só publica métricas de fora da instância (CPU, network, disk I/O). Para métricas internas (memória, disk usage real), você instala o CloudWatch Agent.

AWS CloudTrail

Todas as chamadas de API na conta são registradas: quem (IAM principal), quando, IP de origem, o que foi chamado, com quais parâmetros, o resultado. Por padrão, Event History mantém 90 dias grátis.

Para retenção longa e queries avançadas:

  • • Criar um Trail que entrega eventos a S3 (retenção ilimitada)
  • • Habilitar Log File Validation (SHA-256 de integridade)
  • • Integrar com CloudWatch Logs para alertas em tempo real
  • • Usar CloudTrail Lake para queries SQL em eventos históricos

Tipos de evento:

  • Management Events — operações no control plane (create/delete recursos). Habilitado por padrão.
  • Data Events — operações no data plane (S3 GetObject, Lambda Invoke). Desabilitado por padrão (custo).
  • Insights Events — detecta atividade incomum via ML.

AWS Config

Registra o estado de configuração de cada recurso ao longo do tempo. Permite responder: "como estava esta Security Group em 15/abril às 14:00?". Integra com regras (Config Rules) que avaliam compliance continuamente.

Componentes:

  • Configuration Recorder — captura snapshots de recursos
  • Configuration Items (CIs) — snapshots versionados
  • Config Rules — managed (AWS) ou custom (Lambda) que avaliam compliance
  • Remediation Actions — ações automáticas para corrigir drift (ex: habilitar versioning)
  • Conformance Packs — coleções de rules (ex: PCI-DSS, HIPAA)
  • Aggregators — consolidam dados de múltiplas contas/Regiões

VPC Flow Logs

Registram metadata de todo tráfego que passa por uma VPC, subnet ou ENI. Entregues a CloudWatch Logs ou S3. Úteis para troubleshooting de conectividade, forensics e análise de custos de transferência.

exemplo de linha VPC Flow Log
2 123456789012 eni-abc 10.0.1.5 54.210.x.x 443 49152 6 20 4500 1711456789 1711456819 ACCEPT OK

X-Ray — tracing distribuído

Para apps microservices/serverless, X-Ray traceia uma requisição passando por vários serviços (API GW → Lambda → RDS), identificando latência e erros em cada salto. Integra com SDKs Java, Python, Node, Go, etc.

Cenários de decisão

📋 Alertar em Slack se latência da ALB ultrapassar 500ms por 2 min

CloudWatch Alarm → SNS → Lambda → Slack webhook

Alarm avalia métrica ALB.TargetResponseTime. SNS notifica assinantes. Lambda formata payload para Slack.

📋 Descobrir quem deletou um IAM Role crítico 3 dias atrás

CloudTrail Event History (ou Trail em S3)

CloudTrail registra quem (ARN do caller), quando e de onde a chamada DeleteRole foi feita. Event History grátis cobre 90 dias.

📋 Garantir que todos os buckets S3 tenham criptografia default sempre ligada

AWS Config + Rule s3-bucket-server-side-encryption-enabled + Remediation

Config detecta drift e a remediation action pode automaticamente habilitar encryption. Avaliação contínua em vez de snapshot pontual.

📋 Troubleshoot: API em Lambda lenta e não sei se o gargalo é DynamoDB, Lambda ou API GW

AWS X-Ray

X-Ray rastreia a requisição em todos os saltos, mostrando o tempo em cada segmento. Visual timeline identifica o verdadeiro gargalo.

Exemplos de CLI

bash
# CloudWatch — criar alarme de CPU
aws cloudwatch put-metric-alarm \
  --alarm-name high-cpu \
  --metric-name CPUUtilization \
  --namespace AWS/EC2 \
  --statistic Average --period 60 \
  --threshold 80 --comparison-operator GreaterThanThreshold \
  --evaluation-periods 3 \
  --alarm-actions arn:aws:sns:...:avisos \
  --dimensions Name=InstanceId,Value=i-abc123

# CloudTrail — criar trail
aws cloudtrail create-trail \
  --name meu-trail \
  --s3-bucket-name meu-bucket-trails

# Config — status do recorder
aws configservice describe-configuration-recorders
⚠️
Pegadinha: CloudWatch Events foi renomeado para EventBridge (funcionalmente o mesmo + mais features, como schema registry e custom event buses). O exame pode mencionar os dois nomes.

Perguntas típicas (Q&A)

CloudWatch Logs pode receber logs de quê?

Lambda (auto), EC2 (via CloudWatch Agent), VPC Flow Logs, CloudTrail, Route 53 (DNS queries), RDS (enhanced monitoring), ECS/EKS, e qualquer app via SDK ou API.

Como a AWS garante que os logs de CloudTrail não foram adulterados?

Log File Validation — CloudTrail gera hash SHA-256 de cada arquivo de log e assina digitalmente. Você valida com aws cloudtrail validate-logs.

Qual serviço dispara uma Lambda quando uma EC2 muda de estado para 'running'?

EventBridge (antes CloudWatch Events). Regra que matcha pattern de EC2 state change e invoca Lambda como target.

Como visualizar custos por tag?

AWS Cost Explorer + Cost Allocation Tags ativadas. Não é CloudWatch. Para detalhes granulares, use AWS Cost and Usage Report (CUR) no S3.
Take-aways: CloudWatch = métricas + logs + alarms. CloudTrail = audit de API calls (90 dias grátis, ilimitado no S3). Config = estado de configuração + rules de compliance + remediation. VPC Flow Logs = tráfego de rede. X-Ray = tracing distribuído. EventBridge = reage a eventos em tempo real. Para memória/disk interno EC2 = CloudWatch Agent.
🧩

Quiz rápido

3 perguntas · Acerte tudo e ganhe o badge 🎯 Gabarito