S4 Logs
Archiva CloudWatch Logs en S3 con zstd
Reduce tu factura de CloudWatch Logs un 70–90%: drenaje multicuenta a S3 con zstd, cumplimiento WORM/Object Lock y dashboard de costes.
S4 Logs Commercial archiva CloudWatch Logs en S3 comprimido con zstd y evita el ingest con un gateway compatible con PutLogEvents. La capa comercial añade drenaje multicuenta de AWS Organizations, retención WORM de S3 Object Lock (Governance y Compliance, SEC 17a-4) y un dashboard de ahorro de costes y búsqueda de restauración. Los archivos siguen siendo legibles con zstd estándar y Athena — sin lock-in.
El problema
CloudWatch Logs cobra $0.50/GB por ingesta y $0.03/GB-mes por almacenamiento. La mayoría de los logs se escriben una vez y casi nunca se vuelven a leer, por lo que sigue pagando por almacenar datos que nadie consulta. La ingesta que ya ha pagado no es recuperable, por lo que el creciente volumen de logs incrementa la factura mes tras mes.
Cómo funciona
- 1
Drenar o hacer bypass en el origen
Drene los grupos de logs existentes con el Mode A, o apunte los agentes al gateway compatible con PutLogEvents (Mode B) solo con una sobrescritura de endpoint y sin cambios en la aplicación.
- 2
Archivar en zstd en S3
Los eventos se escriben como JSONL estándar comprimido con zstd en S3 con sidecars de índice de rango de bytes y marca de tiempo, con costes de almacenamiento de uno a dos órdenes de magnitud inferiores a los de CloudWatch.
- 3
Buscar y restaurar bajo demanda
Grep y restore leen solo los frames que necesita una consulta mediante lecturas de rango de S3; puede consultar el archivo in situ con Athena y el dashboard muestra sus ahorros.
Características destacadas
Drenaje multicuenta de AWS Organizations a un único archivo sin lock-in.
WORM / S3 Object Lock (Governance + Compliance), verificado antes del bloqueo.
Dashboard de ahorro de costes + UI de búsqueda de restauración (binario único).
Qué incluye
- Gateway compatible con PutLogEvents más enrutamiento de drenaje del Mode A y bypass del Mode B
- Drenaje multicuenta de AWS Organizations que se distribuye mediante assume-role de STS en un único bucket agregado
- Retención WORM de S3 Object Lock en los modos Governance y Compliance (SEC 17a-4) con un log de auditoría por objeto
- Dashboard de ahorro de costes y búsqueda y restauración como un único binario independiente con assets integrados
- Los archivos se mantienen en zstd simple y son legibles por Athena, sin necesidad de herramientas de S4 para leer sus datos
- La CLI s4logs de código abierto incluida en la AMI (drain, serve, grep, restore, report, plan)
- CloudFormation con un solo clic que aprovisiona un bucket con Object Lock habilitado, un rol de IAM y el host del dashboard
Casos de uso
Centralizar y archivar los CloudWatch Logs de todas las cuentas de una AWS Organization en un único bucket
Mantener los logs regulados bajo la retención WORM de SEC 17a-4 para que nadie, incluido root, pueda modificarlos o eliminarlos de forma anticipada
Reducir la factura en cuentas con alta ingesta enrutando el tráfico de logs a través del gateway para evitar la tarifa de ingesta de $0.50/GB
Reducir los costes de almacenamiento en grupos de logs que se escriben una vez y apenas se leen, y luego acortar la retención de CloudWatch de forma segura
Preguntas frecuentes
¿Cuánto ahorraré realmente?
Depende del modo. El Mode B evita la ingesta, el coste principal, por lo que puede reducir la factura en aproximadamente un 70–90% debido a que predomina la tarifa de ingesta de $0.50/GB. El Mode A por sí solo únicamente reduce los costes de almacenamiento, en torno a un 50–70% en S3 Standard y hasta un ~90% con Glacier Instant Retrieval, y la ingesta que ya haya pagado no es recuperable.
¿Quedan mis datos cautivos en su producto?
No. Los archivos son frames zstd estándar concatenados conforme a RFC 8878 que contienen JSONL, legibles con zstd -dc y consultables in situ con Athena, sin necesidad de herramientas de S4. El formato en disco está congelado para la serie 1.x, por lo que cancelar la suscripción deja sus datos totalmente legibles.
¿Cumple con los requisitos de cumplimiento normativo y WORM?
Sí. El comando lock aplica S3 Object Lock en modo Governance o Compliance; el modo Compliance es irreversible y no puede ser eliminado ni acortado por nadie, incluida la cuenta root, lo que cumple con regulaciones como la SEC 17a-4. Se verifica la integridad de cada objeto frente a su manifiesto antes de bloquearlo.
¿Funciona en múltiples cuentas de AWS?
Sí. El drenaje multicuenta de Organizations enumera las cuentas miembro (todas, por OU o mediante una lista explícita), asume un rol cross-account en cada una a través de STS y las drena en un único bucket agregado particionado por ID de cuenta.
¿Dónde se ejecuta y requiere cambios en mis aplicaciones?
Se ejecuta como una AMI en su propia cuenta de AWS y VPC, facturado por horas más un pago anual a través de Marketplace, sin verificación de clave de licencia y sin que los datos salgan de su cuenta. Las aplicaciones no cambian: el gateway utiliza el protocolo de red PutLogEvents de CloudWatch Logs, por lo que Fluent Bit, el CloudWatch Agent o un SDK se migran únicamente con una sobrescritura de endpoint.
Modelo de precios
Tarifa de software por hora + EC2 (clase t3 / m5). Medición por tipo de instancia, opción anual disponible.
Otros productos S4
S4 — Squished S3
Gateway transparente de compresión S3 con GPU
S4 Metrics
Gobierna la cardinalidad de métricas de CloudWatch
S4 NAT
NAT optimizado en costes para Amazon VPC