CloudWatch перетворився в observability-платформу

AWS оголосила про масштабне оновлення Amazon CloudWatch, яке суттєво змінює його роль. Сервіс, що раніше сприймався переважно як базовий інструмент моніторингу, тепер перетворюється на єдину observability-платформу для роботи з операційними, безпековими та compliance-логами у multi-account середовищах.

Оновлення закриває одну з ключових проблем великих організацій — фрагментоване керування логами. Раніше дані доводилося копіювати між різними інструментами, будувати ETL-пайплайни та підтримувати кілька сховищ, що збільшувало витрати й ускладнювало адміністрування.

Ключова зміна — робота з логами без ETL

Головною інновацією стала підтримка Apache Iceberg через Amazon S3 Tables. Це дає змогу виконувати запити до логів безпосередньо в S3, без попереднього перетворення або перенесення даних. Водночас логи залишаються сумісними з зовнішніми аналітичними інструментами.

Додатково CloudWatch отримав нативну підтримку стандартів Open Cybersecurity Schema Framework (OCSF) та OpenTelemetry (OTel). У поєднанні з новою архітектурою це позиціонує сервіс як потенційну альтернативу таким платформам, як Splunk чи Datadog — принаймні для компаній, які активно працюють в AWS.

Єдине сховище логів для AWS і сторонніх сервісів

CloudWatch тепер агрегує vended logs з різних акаунтів і регіонів AWS, інтегруючись з AWS Organizations. Підтримуються логи з:

1. AWS CloudTrail;
2. Amazon VPC Flow Logs;
3. AWS WAF access logs.

Окрім цього, з’явилася інтеграція зі сторонніми джерелами, зокрема CrowdStrike, Okta, Wiz, Zscaler, Microsoft Office 365 та ServiceNow CMDB. Сервіс забезпечує керовану конвертацію даних у формат OCSF, а для кастомного парсингу та роботи з полями використовується Grok.

У результаті лог-менеджмент зводиться до одного сервісу з вбудованими механізмами governance, без потреби зберігати кілька копій одних і тих самих даних у різних системах.

Запити, аналітика та зручна навігація

Користувачі можуть виконувати запити в CloudWatch кількома способами:

• через natural language;
• за допомогою LogsQL, PPL або SQL;
• через сторонні аналітичні інструменти, підключені до Apache Iceberg-таблиць.

Новий інтерфейс Facets дозволяє швидко фільтрувати дані за джерелом, застосунком, акаунтом, регіоном або типом логів. Підтримуються міжрегіональні та міжакаунтні запити з автоматичним визначенням параметрів.

Реакція спільноти та конкуренція

Архітектор Mphasis Суреш Раджашекерая відзначив, що протягом багатьох років компанії стикалися з розрізненими операційними та безпековими логами, що ускладнювало аудит, troubleshooting і відповідність вимогам. Оновлений CloudWatch, за його словами, вирішує цю проблему завдяки уніфікації та нормалізації даних з AWS і сторонніх систем.

Водночас критичні коментарі теж не забарилися. Відомий AWS-коментатор Corey Quinn іронічно зауважив:

«CloudWatch робить те саме, що Splunk 15 років тому, але з більшою кількістю назв AWS-сервісів у кожному реченні»

На відміну від Splunk, який забезпечує кросплатформну видимість для Azure, GCP та on-premises, AWS робить ставку на глибоку нативну інтеграцію та модель Zero-ETL, яка потенційно знижує витрати для AWS-орієнтованих команд. Datadog і Dynatrace пропонують потужний APM та гібридні інтерфейси, але часто супроводжуються вищими витратами на egress і індексацію даних.

Опенсорсне рішення на кшталт ELK Stack або Grafana Loki залишаються альтернативою для тих, хто прагне vendor independence, але вони вимагають самостійного керування інфраструктурою. CloudWatch, навпаки, знімає цей операційний тягар, водночас посилюючи залежність від AWS, що може бути критичним фактором для мультихмарних стратегій.

Доступність

Оновлення Amazon CloudWatch уже доступні в усіх регіонах AWS, окрім AWS GovCloud (US) та регіонів Китаю. Деталі щодо вартості можна знайти на офіційній сторінці ціноутворення AWS.