Ingestão de logs via HTTP no CloudWatch
A AWS anunciou, em março de 2026, o suporte a ingestão de logs através de protocolo HTTP no CloudWatch Logs. Essa funcionalidade oferece uma alternativa importante para cenários onde a integração nativa com o SDK da AWS não é possível — como acontece frequentemente com softwares de terceiros e aplicações empacotadas.
A novidade suporta múltiplos formatos e padrões de envio de logs, cada um adequado a diferentes casos de uso e padrões de integração:
Formatos e endpoints disponíveis
HTTP Log Collector (HLC)
O endpoint https://logs.<region>.amazonaws.com/services/collector/event foi desenvolvido para processar eventos JSON. Essa opção é ideal para organizações que já possuem pipelines de logs estabelecidos e desejam migrá-los para o CloudWatch sem redesenhar a infraestrutura.
ND-JSON (newline-delimited JSON)
Disponível em https://logs.<region>.amazonaws.com/ingest/bulk, esse formato é otimizado para cenários de alto volume. Cada linha representa um evento de log independente, tornando-o especialmente adequado para ingestão em lote (bulk) e streaming contínuo de dados.
Structured JSON
Por meio do endpoint https://logs.<region>.amazonaws.com/ingest/json, é possível enviar um único objeto JSON ou um array de objetos. Essa flexibilidade permite adaptar diferentes estruturas de dados de log.
OpenTelemetry (OTEL)
O endpoint https://logs.<region>.amazonaws.com/v1/logs aceita logs no formato OTLP, em codificação JSON ou Protobuf. Essa integração reforça o suporte da AWS ao padrão aberto de observabilidade.
Segurança e configuração
Para ativar o endpoint HTTP Log Collector, os usuários devem acessar as configurações do CloudWatch no console da AWS e gerar uma chave de API. O CloudWatch cria automaticamente um usuário IAM com credenciais específicas do serviço e permissões apropriadas.
As chaves de API podem ser configuradas com períodos de expiração de 1, 5, 30, 90 ou 365 dias, permitindo flexibilidade na estratégia de rotação de credenciais. Além disso, antes que um grupo de logs possa receber eventos via HTTP, é necessário habilitar explicitamente a autenticação por bearer token — uma medida de proteção que evita ingestão não intencional de dados.
Para maior controle, os administradores podem utilizar Service Control Policies para bloquear a criação de credenciais específicas do serviço, reforçando os controles de segurança em nível organizacional.
Disponibilidade regional
No lançamento inicial, esses endpoints estão disponíveis nas seguintes regiões da AWS: US East (N. Virginia), US West (N. California), US West (Oregon) e US East (Ohio).
Próximos passos
Para explorar detalhes técnicos sobre o endpoint HLC e as melhores práticas de segurança, consulte a documentação do CloudWatch Logs.
Fonte
Amazon CloudWatch Logs now supports log ingestion using HTTP-based protocol (https://aws.amazon.com/about-aws/whats-new/2026/03/cloudwatch-http-log-collector/)
Leave a Reply