Análisis y búsqueda

Construcción de infraestructura de análisis de logs con Amazon OpenSearch Service - Diseño de índices y paneles

Explicación de la construcción de infraestructura de análisis de logs con Amazon OpenSearch Service. Se presenta OpenSearch Serverless, la recopilación de logs, el diseño de índices y la gestión del ciclo de vida.

約 8 分で読めます

Descripción general de OpenSearch Service y Serverless

Amazon OpenSearch Service es un servicio gestionado para búsqueda y análisis compatible con Elasticsearch, que proporciona respuestas de búsqueda en milisegundos sobre datos a escala de petabytes. Se utiliza ampliamente para análisis de logs, búsqueda de texto completo, monitoreo de aplicaciones y análisis de seguridad. Con dominios provisionados, se configura un clúster especificando tipos de instancia y número de nodos, pero OpenSearch Serverless elimina por completo la gestión del clúster. Serverless ofrece dos tipos de colecciones: búsqueda (optimizada para baja latencia) y series temporales (optimizada para análisis de logs). El tipo de series temporales está optimizado para la ingesta de alto rendimiento y migra automáticamente los datos antiguos a almacenamiento de menor costo. Los dominios provisionados permiten un ajuste fino pero conllevan carga operativa por la recuperación automática de fallos de nodos y el rebalanceo de shards. Para cargas de trabajo de logs con fluctuaciones significativas entre volúmenes de ingesta diurnos y nocturnos, el autoescalado de Serverless ofrece ventajas tanto en costo como en simplicidad operativa.

Recopilación de logs y diseño de índices

La recopilación de logs utiliza Kinesis Data Firehose como patrón estándar, soportando escrituras por lotes de hasta 1,000 registros por segundo. Los filtros de suscripción de CloudWatch Logs envían logs a Firehose, que los escribe por lotes en OpenSearch. Los índices se crean diariamente (logs-2026-04-03), limitando el alcance de búsqueda por fecha para mantener el rendimiento de consultas. Los mappings (esquemas) se predefinen con plantillas de índice, especificando explícitamente los tipos de campo (keyword, text, date, ip). El tipo text se usa para búsqueda de texto completo, mientras que keyword se usa para coincidencias exactas y agregaciones. Para logs con estructura variable se puede usar dynamic mapping, pero hay que tener cuidado con la explosión de campos (mapping explosion). El límite predeterminado es 1,000 campos por índice, pero en entornos donde cada microservicio agrega campos personalizados diferentes, se alcanza fácilmente. Las contramedidas efectivas incluyen dividir índices por servicio, o almacenar campos no estructurados como una cadena JSON única en un campo keyword y analizarlos con scripts cuando sea necesario. El número de shards debe apuntar a 10-50 GB por shard; shards demasiado pequeños aumentan la sobrecarga del clúster, mientras que demasiado grandes extienden los tiempos de recuperación.

Gestión del ciclo de vida y optimización de costos

Las políticas ISM automatizan la gestión del ciclo de vida de índices. Un diseño típico mantiene los índices en nodos calientes (SSD rápidos) durante los primeros 7 días, los migra a UltraWarm (almacenamiento de bajo costo basado en S3) de 7-30 días, los mueve a Cold Storage de 30-90 días y los elimina después de 90 días. UltraWarm reduce costos hasta un 90% comparado con nodos calientes, con rendimiento de búsqueda ligeramente reducido pero suficiente para investigar logs históricos. Cold Storage retiene datos a costo aún menor, y los índices pueden re-adjuntarse al clúster para consultas cuando sea necesario. Un error común en el diseño de políticas ISM es la configuración incorrecta de condiciones de rollover. Si se establece max_size en 50 GB y max_age en 1 día, se crea un nuevo índice cuando se cumple primero cualquiera de las condiciones. En entornos de bajo volumen, depender solo de max_size puede dejar índices abiertos por periodos prolongados, retrasando la migración a UltraWarm y aumentando costos. OpenSearch Dashboards proporciona Discover (búsqueda de logs), Visualize (creación de gráficos) y Dashboard (integración de múltiples gráficos) para construir paneles de monitoreo de logs en tiempo real. Para aprender sobre análisis de logs y observabilidad, libros técnicos (Amazon) son útiles como referencia.

Comparación con CloudWatch Logs Insights

CloudWatch Logs Insights es otra opción para análisis de logs. Logs Insights consulta directamente los logs almacenados en CloudWatch Logs, no requiere infraestructura adicional y cobra solo por la cantidad de datos escaneados. OpenSearch, por otro lado, destaca en agregaciones complejas que abarcan múltiples campos, visualización en tiempo real con dashboards, búsqueda de texto completo y análisis facetado. Como criterio de selección: si el volumen mensual de logs es inferior a unas decenas de GB y las consultas son simples (filtrado + agregación), Logs Insights es más eficiente en costos. Cuando el volumen mensual supera varios cientos de GB, se necesita análisis de correlación o alertas flexibles, o se requiere búsqueda cruzada de logs de múltiples cuentas AWS, OpenSearch es más adecuado. Un enfoque híbrido también es efectivo: usar Logs Insights para resolución inmediata de problemas y consolidar análisis de tendencias a largo plazo y dashboards avanzados en OpenSearch. Este patrón combinado se adopta ampliamente en entornos de producción.

Mejores prácticas de diseño y errores comunes

A continuación se resumen los problemas frecuentes en producción y sus contramedidas. Primero, para manejar picos de ingesta, ajuste el tamaño del buffer y el intervalo de buffer de Firehose para prevenir rechazos masivos (HTTP 429) en OpenSearch. Establecer el intervalo de buffer en 60-300 segundos suaviza las ráfagas de alto volumen de logs. Para la estabilidad del clúster, despliegue 3 nodos maestros dedicados para prevenir escenarios de split-brain y asegurar la gestión segura de reasignación de shards cuando fallan nodos de datos. Diseñe el almacenamiento para que el uso total de disco en nodos de datos no supere el 80%; exceder este umbral cambia los índices a modo solo lectura y detiene las escrituras. En seguridad, restrinja el acceso al dominio dentro de una VPC y configure el Control de Acceso de Grano Fino (FGAC) para permisos a nivel de índice y campo. Habilitar el registro de auditoría para registrar operaciones de usuarios y cumplir requisitos de compliance también es importante. Finalmente, al elegir Serverless, note la configuración mínima de OCU (OpenSearch Compute Unit): establecer OCUs mínimas en 0 causa arranques en frío en consultas iniciales, potencialmente añadiendo varios segundos de latencia de respuesta.

Resumen

Amazon OpenSearch Service es la opción estándar para plataformas de análisis de logs. Serverless elimina la gestión del clúster, las políticas ISM optimizan costos de almacenamiento y Dashboards habilita el monitoreo en tiempo real. La integración con Kinesis Data Firehose permite construir una plataforma que recopila y analiza automáticamente logs de servicios AWS. Distinguiendo claramente cuándo usar CloudWatch Logs Insights y aplicando mejores prácticas para diseño de shards, políticas ISM y configuración de seguridad, se puede operar una infraestructura de análisis de logs que escala de forma confiable.

Servicios relacionados

Amazon OpenSearch ServiceServicio gestionado de búsqueda y análisis para análisis de logs y búsqueda de texto completoAmazon KinesisServicio para recopilar, procesar y analizar datos de streaming en tiempo realAmazon CloudWatchUn servicio que proporciona monitoreo, gestión de logs y alarmas para recursos AWS y aplicaciones

Artículos relacionados

Construcción de un almacén de datos en la nube con Amazon Redshift - Elección entre Serverless y RA3Conozca los criterios para elegir entre clústeres Serverless y RA3 provisionados, y cómo prevenir silos de datos mediante el uso compartido de datos y la integración con data lakes a través de Spectrum.Construcción de un panel de observabilidad integrado con Amazon Managed GrafanaSe presenta la metodología para construir un panel de observabilidad multi-fuente integrando fuentes de datos de CloudWatch, Prometheus y OpenSearch.Infraestructura adaptable a la demanda con AWS Auto Scaling - Diseño y optimización de políticas de escaladoPresenta cómo utilizar los 3 tipos de políticas (Target Tracking, Predictive y Scheduled) y lograr la optimización de costos con instancias Spot mediante Mixed Instances Policy.

Más sobre este tema

Uso práctico de Amazon Quick - Casos de uso por departamento y patrones de diseño para automatización de flujos de trabajoPresentamos escenarios de uso concretos para departamentos de ventas, TI y finanzas, así como patrones de diseño para notificaciones, aprobaciones y flujos de trabajo de múltiples etapas con Quick Flows.Visualización de dashboards BI - Plataforma de decisiones basada en datos con Amazon QuickSightExplicamos la construcción de dashboards BI interactivos con Amazon QuickSight y una plataforma de análisis de datos serverless con integración Athena. Presentamos la visualización de alta velocidad con el motor SPICE y métodos prácticos para compartir insights en toda la organización.Construcción de redes blockchain - Aprovechamiento de libros mayores distribuidos con Amazon Managed Blockchain y QLDBExplicamos la construcción de redes blockchain con Amazon Managed Blockchain y el uso de Amazon QLDB como base de datos de libro mayor verificable. Presentamos casos de uso prácticos como gestión de cadena de suministro y transparencia en transacciones financieras.Colaboración de datos con preservación de privacidad con AWS Clean RoomsEjecute análisis conjuntos entre múltiples empresas sin compartir ni copiar datos. Aprenda sobre reglas de agregación para prevenir la identificación individual y Cryptographic Computing para análisis cifrado.Unificación de identidad de clientes - Resolución de entidades de datos de clientes dispersos con AWS Entity ResolutionResolución de entidades (name matching) de datos de clientes con AWS Entity Resolution. Matching basado en ML, matching basado en reglas, protección de privacidad e integración con Clean Rooms.Aprovechamiento de datos de terceros con AWS Data Exchange - Adquisición de datos y gestión de suscripcionesAdquiera productos de datos de terceros a través de Marketplace y construya pipelines de entrega automática a S3. También se presentan técnicas de productización y monetización de datos propios.Construcción de data lake con Amazon S3 y Lake Formation - Patrones de diseño y gobernanzaPatrones de diseño de data lake con S3 como base de almacenamiento y control de acceso granular con Lake Formation. También se explican pipelines ETL y optimización de costos.Gobernanza de data lake - Control de acceso centralizado con AWS Lake FormationConstrucción, control de acceso y gobernanza de data lake con AWS Lake Formation. Gestión granular de permisos a nivel de columna y fila para data lakes basados en S3, e integración con Glue y Athena.

Artículos y servicios similares

Amazon OpenSearch ServiceMotor de búsqueda y análisis gestionado compatible con Elasticsearch que soporta búsqueda de texto completo, análisis de logs y dashboards en tiempo real entre otros casos de usoBúsqueda y análisis de datos - Construcción de plataforma de búsqueda de texto completo y visualización con OpenSearchTécnicas de diseño de búsqueda y análisis de datos con Amazon OpenSearch Service. Construcción de plataforma de análisis con búsqueda de texto completo, análisis de logs y visualización con dashboards.Por qué los costos de CloudWatch Logs se vuelven inesperadamente altos - Estructura de costos de ingesta, almacenamiento y análisisExplicamos la estructura de precios donde el costo de ingesta de CloudWatch Logs es más de 20 veces el costo de almacenamiento, la explosión de costos causada por VPC Flow Logs y logs de Lambda, y las estrategias de optimización con la clase Infrequent Access y la exportación a S3.La capacidad de integración del stack de observabilidad de AWS - La transparencia operativa lograda por CloudWatch, X-Ray y CloudTrailComparamos el nivel de integración del stack de observabilidad de AWS centrado en CloudWatch, X-Ray y CloudTrail con Azure Monitor y GCP Cloud Logging, explicando la diferencia en calidad operativa que aportan los tres pilares de métricas, trazas y logs.